Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

News: Der Krimi geht weiter

Truecrypt: vertrauenswürdige Fortsetzung wird blockiert

Michael Nickles / 3 Antworten / Flachansicht Nickles

Der Krimi um die Verschlüsselungs-Software Truecrypt hat eine überraschende Fortsetzung gefunden. Nach der Einstellung des Projekts durch deren anonyme Schöpfer, gab es von anderen Entwicklern Interesse es fortzusetzen.

(Foto: mn)

Darunter auch der Professor für Kryptografie Matthew Green vom Truecrypt Audit Team, das sich mit der Analyse des Truecrypt 7.1a (die letzte Version die auch verschlüsseln kann) Quellcodes beschäftigt hat und bislang keine nennenswerten Sicherheitslücken oder Hintertüren erkennen konnte.

Obgleich Truecrypt quelloffen ist, kann es nicht einfach von anderen Entwicklern fortgesetzt werden, da die Nutzungsbedingungen das nicht zulassen, keine typischen Standard Open Source Lizenz-Spielregeln vorliegen. Matthew Green ist deshalb mit einem der Truecrypt-Entwickler in Kontakt getreten und hat um eine Änderung der Lizenzbedingung gebeten.

Begründet hat er seine Bitte unter anderem damit, dass mit hoher Wahrscheinlichkeit andere den Quellcode - ungeachtet der Nutzungsbedingungen - für einige Zwecke verwenden werden. Somit können neue Truecrypt-Ableger (Forks) entstehen, deren Vertrauenswürdigkeit dann zweifelhaft ist.

Nur unter Aufsicht von Experten ist laut Green eine sinnvolle Fortsetzung von Truecrypt möglich. Auf seine Anfrage hin hat der geschätzte Kryptografie-Professor eine kurze und deutliche Absage von einem der vermeintlichen Truecrypt-Schöpfer erhalten:

"I am sorry, but I think what you're asking for here is impossible. I don't feel that forking truecrypt would be a good idea, a complete rewrite was something we wanted to do for a while. I believe that starting from scratch wouldn't require much more work than actually learning and understanding all of truecrypts current codebase."

 ("Sorry, aber was Sie erbitten ist unmöglich. Ich glaube nicht, dass eine Fortsetzung von Truecrypt eine gute Idee wäre. Sinnvoller ist es, die Software komplett neu zu programmieren, was auch wir erwägt haben. Ich glaube, dass ein kompletter Neuanfang nicht mehr Arbeit machen würde, als den aktuellen Truecrypt-Quellcode zu analysieren und zu verstehen. Ich habe kein Problem damit, wenn der Quellcode als eine Referenz verwendet wird.")

Eine sinnvolle Weiterentwicklung von Truecrypt durch vertrauenswürdige Experten ist aktuell also sehr unwahrscheinlich.

Michael Nickles meint:

Eine sehr merkwürdige Geschichte. Es fängt bereits damit an, dass es sehr fraglich ist, ob Matthew Green tatsächlich mit einem ehemaligen Truecrypt-Entwickler in Kontakt war. Die ehemaligen Entwickler des Projekts sind schließlich unbekannt.

Was wäre denn, wenn Green auf die Einschränkungen in der Nutzungslizenz pfeifen und Truecrypt einfach weiterentwickeln würde? Das wäre moralisch gewiss bedenklich - aber wer könnte sich dagegen wehren, beweisen, dass er einer der "Rechteinhaber" beziehungsweise Truecrypt-Entwickler ist?

Warum es unmöglich ist der Bitte nachzukommen, ist schlichtweg unverständlich. Was hätte es ausgemacht, einfach zu sagen "okay, macht mit dem Quellcode was ihr wollt"? Green und sein Team sind gewiss selbst in der Lage zu entscheiden, ob ein komplettes Neuschreiben des Codes oder eine Einarbeitung in den alten Code sinnvoller ist. Der Fall Truecrypt bleibt also weiterhin ein Rätsel.

Aktuell gilt: trotz des Mysteriums ist Truecrypt in einer Version bis maximal 7.1a unverändert eine der vertrauenswürdigsten Verschlüsselungslösungen. Was jetzt zu beachten gilt, wird im Report Spionagegefahr bei Truecrypt - was Nutzer jetzt wissen müssen detailliert beschrieben.

Weiterhin gilt auch, dass man das Konzept von Truecrypt verstehen muss, wenn man diese  Verschlüsselungstechnik wirklich sinnvoll einsetzen will. Das wird alles in diesem Schwerpunkt erklärt: Daten perfekt verschlüsseln und verstecken.

bei Antwort benachrichtigen
Borlander reader „Vielleicht trauen sich die Entwickler nicht zu sagen da IST ...“
Optionen
hintertür

Zumindest im Rahmen des aktuell noch laufenden unabhängigen Reviews wurde wohl noch keine kritische Lücke entdeckt…

bei Antwort benachrichtigen