Posse um Verschl체sselungssoftware TrueCrypt verunsichert die Anwender

Die Ver짯schl체s짯se짯lungs짯soft짯ware True짯Crypt ist seit Jah짯ren ein belieb짯tes Tool in der IT-Welt, gera짯de bei Anwen짯dern, die gro짯횩en kom짯mer짯zi짯el짯len Anbie짯tern im Zwei짯fel erst ein짯mal miss짯trau짯en. Mit True짯Crypt lie짯횩en sich ver짯schl체s짯sel짯te Con짯tai짯ner erstel짯len, die dann als Lauf짯wer짯ke ein짯ge짯bun짯den wer짯den konn짯ten. Ohne den pas짯sen짯den Schl체s짯sel war der Con짯tai짯ner nur eine Datei voll mit Daten짯m체ll, f체r Angrei짯fer oder Daten짯die짯be unbrauch짯bar. Selbst gan짯ze Par짯ti짯tio짯nen lie짯횩en sich mit짯tels True짯Crypt ver짯schl체s짯seln, ide짯al f체r Au횩en짯dienst-Mit짯ar짯bei짯ter, die sen짯si짯ble Daten, z.B. von Patienten/Klienten auf ihren Lap짯tops mit sich f체h짯ren. Auch hier galt: ohne Schl체s짯sel kein Zugriff auf die ver짯schl체s짯sel짯te Par짯ti짯ti짯on. Die Art der Ver짯schl체s짯se짯lung konn짯te vom Anwen짯der vor짯ab fest짯ge짯legt wer짯den, je nach zur Ver짯f체짯gung ste짯hen짯der Hard짯ware-Leis짯tung. Das Bes짯te an True짯Crypt war jedoch: es kos짯te짯te nichts und wur짯de nicht von gro짯횩en US-Soft짯ware-H채u짯sern ent짯wi짯ckelt, wo man nach den j체ngs짯ten Ent짯h체l짯lun짯gen bei짯na짯he schon vor짯aus짯set짯zen kann, dass f체r die ein짯hei짯mi짯schen Geheim짯diens짯te pas짯sen짯de Hin짯ter짯t체r짯chen offen짯ge짯las짯sen wurden.

In letz짯ter Zeit jedoch war es bei der Ent짯wick짯lung erstaun짯lich still gewor짯den um True짯Crypt. Die letz짯te Ver짯si짯on 7.1a war bei짯na짯he 2 Jah짯re alt. Die Ent짯wick짯ler selbst blie짯ben bis dato anonym, ver짯mut짯lich auch, um sich nicht angreif짯bar zu machen.

Gestern, am 29.05.2014, jedoch wur짯de die offi짯zi짯el짯le Web짯sei짯te truecrypt.org auf ein짯mal auf truecrypt.sourceforge.net wei짯ter짯ge짯lei짯tet. Dort fand der erstaun짯te Besu짯cher die Mitteilung:

WARNING: Using True짯Crypt is not secu짯re as it may con짯tain unfi짯xed secu짯ri짯ty issues

Also sinn짯ge짯m채횩 체ber짯setzt: 쏷rue짯Crypt ist nicht sicher, da es m철g짯li짯cher짯wei짯se nicht beho짯be짯ne Sicher짯heits짯lecks ent짯h채lt. Zeit짯gleich wur짯de die bis짯her aktu짯el짯le Ver짯si짯on 7.1a off짯line genom짯men und durch die Ver짯si짯on 7.2 ersetzt, die jedoch nur noch das Lesen bereits erstell짯ter Con짯tai짯ner erm철g짯licht, jedoch nicht mehr das Erstel짯len neu짯er. Zudem wird auf der Web짯sei짯te der Umstieg auf die Micro짯soft-Ver짯schl체s짯se짯lungs짯soft짯ware Bit짯lo짯cker beschrie짯ben, die in man짯chen Ver짯sio짯nen von Win짯dows Vista/7/8 ent짯hal짯ten ist.

Was sich zun채chst nach einem April짯scherz anh철rt, h철chs짯tens jedoch nach einer gehack짯ten Web짯sei짯te, scheint sich lang짯sam als ernst gemeint her짯aus짯zu짯kris짯tal짯li짯sie짯ren. Die neue Nur-Lese-Ver짯si짯on 7.2 scheint mit einem g체l짯ti짯gen Key der True짯Crypt-Ent짯wick짯ler signiert zu sein. Die Akti짯on kommt zudem zu einem Zeit짯punkt, an dem True짯Crypt durch ver짯schie짯de짯ne unab짯h채n짯gi짯ge Stel짯len unter짯sucht wor짯den war, die zwar eini짯ge (nicht unge짯w철hn짯li짯che) Schlam짯pe짯rei짯en im Quell짯code ent짯deck짯ten, jedoch kei짯ne Sicher짯heits짯l체짯cke an sich fanden.

Spe짯ku짯la짯tio짯nen
Seit짯her r채t짯selt die IT-Welt was es mit die짯ser vir짯tu짯el짯len Voll짯brem짯sung auf sich hat. Wir haben die g채n짯gigs짯ten Spe짯ku짯la짯tio짯nen zusammengetragen:

1. Dro짯hung durch Geheimdienste
Am h채u짯figs짯ten wird der짯zeit der Pr채짯zen짯denz짯fall Lav짯a짯bit genannt. Lav짯a짯bit war ein US-ame짯ri짯ka짯ni짯sches Unter짯neh짯men, das ver짯schl체s짯sel짯te E멝ail-Diens짯te anbot. Es wur짯de nach 9 Jah짯ren Betrieb im Jahr 2013 kur짯zer짯hand ein짯ge짯stellt, da man die For짯de짯run짯gen der US-Beh철r짯den nicht erf체l짯len woll짯te, die eine Her짯aus짯ga짯be von SSL-Schl체s짯seln gefor짯dert haben soll, womit die Beh철r짯den die gesam짯te Kom짯mu짯ni짯ka짯ti짯on der Lav짯a짯bit-Nut짯zer h채t짯ten lesen k철n짯nen. Offi짯zi짯ell durf짯te Lav짯a짯bit dies jedoch nicht als Grund f체r die Schlie짯횩ung nen짯nen, da bereits dies zu juris짯ti짯schen Pro짯ble짯men f체r die Betrei짯ber h채t짯te f체h짯ren k철nnen.
Vie짯le Beob짯ach짯ter sehen hier die Par짯al짯le짯le zu True짯Crypt. Eben짯so wie die Lav짯a짯bit-E-Mails sind auch True짯Crypt-Lauf짯wer짯ke nach heu짯ti짯gen Ma횩짯st채짯ben nicht mit ver짯tret짯ba짯ren Mit짯teln zu kna짯cken; f체r Geheim짯diens짯te nat체r짯lich unbe짯quem. Die Spe짯ku짯la짯tio짯nen gehen nun dahin, dass die True짯Crypt-Ent짯wick짯ler eine neue Ver짯si짯on mit Hin짯ter짯t체r f체r die Geheim짯diens짯te h채t짯ten ent짯wi짯ckeln sol짯len. Um das nicht tun zu m체s짯sen, wur짯de die Ent짯wick짯lung mit dem Ver짯weis auf die Unsi짯cher짯heit der Soft짯ware (den wah짯ren Grund d체rf짯ten sie nicht nen짯nen, falls es sich bei den Ent짯wick짯lern um US-B체r짯ger han짯delt) eingestellt.

2. Das Wis짯sen um Sicherheitsl체cken
Wie erw채hnt hat True짯Crypt bereits eini짯ge Quell짯code-Ana짯ly짯sen ohne gr철짯횩e짯re Bean짯stan짯dun짯gen 체ber짯stan짯den. Im Sep짯tem짯ber jedoch soll ein zwei짯tes Audit ver짯철f짯fent짯licht wer짯den. Eini짯ge Spe짯ku짯la짯tio짯nen gehen in die Rich짯tung, dass die Ent짯wick짯ler selbst um Sicher짯heits짯l체짯cken oder gar eine selbst ein짯ge짯bau짯te Back짯door wuss짯ten und mit der Ein짯stel짯lung des Pro짯jekts einer m철g짯li짯chen Ent짯tar짯nung zuvor kom짯men woll짯ten. Wie das m철g짯lich sein soll짯te? Zwar ist True짯Crypt prin짯zi짯pi짯ell quell짯of짯fen, jedoch anders als vie짯le Open짯so짯ur짯ce-Soft짯ware nicht nach GPL-Lizenz ver짯철f짯fent짯licht. Zudem wur짯den immer wie짯der Zwei짯fel ge채u짯횩ert, ob die ange짯bo짯te짯nen Bina짯ries auch wirk짯lich aus den ver짯철f짯fent짯lich짯ten Quell짯codes kom짯pi짯liert wurden.

3. Gekr채nk짯ter Stolz
Wie erw채hnt war True짯Crypt von den anony짯men Ent짯wick짯lern zwar eigent짯lich quell짯of짯fen kon짯zi짯piert, lief jedoch nie unter g채n짯gi짯gen Open짯so짯ur짯ce-Lizen짯zen wie GPL. Das macht es auch schwie짯rig, das Pro짯jekt nach der Ein짯stel짯lung durch ande짯re Frei짯wil짯li짯ge wei짯ter짯f체h짯ren zu las짯sen (Fork), wie es z.B mit Libre짯Of짯fice gesche짯hen ist nach der 횥ber짯nah짯me von Open짯Of짯fice durch Ora짯cle. Wes짯halb die Ent짯wick짯ler sich bei der Open짯so짯ur짯ce-Lizenz der짯art zier짯ten, kann nur spe짯ku짯liert wer짯den. Wom철g짯lich hat짯ten die Ent짯wick짯ler vor, mit짯tel짯fris짯tig doch mal Geld zu ver짯die짯nen mit ihrer Ent짯wick짯lungs짯ar짯beit. Da w채re eine GPL-Lizenz hin짯der짯lich gewesen.
Doch statt ihre Ent짯wick짯lungs짯ar짯beit finan짯zi짯ell hono짯riert zu bekom짯men, muss짯ten die Ent짯wick짯ler mit anse짯hen, wie die Leu짯te lie짯ber 46.000 US-Dol짯lar in den erw채hn짯ten Audit steck짯ten, also in die Suche nach Sicher짯heits짯l체짯cken in einer Soft짯ware, die Frei짯wil짯li짯ge unent짯gelt짯lich ent짯wi짯ckelt hat짯ten. Auf den ers짯ten Blick mag es kin짯disch klin짯gen, wenn man jedoch ein klein wenig Gesp체r daf체r hat, wie die Welt der frei짯en Soft짯ware tickt, ist es kei짯nes짯wegs abwe짯gig anzu짯neh짯men, dass der True짯Crypt-Ent짯wick짯lungs짯stopp eine Trotz-Reak짯ti짯on der Pro짯gram짯mie짯rer auf die bei짯den Audits dar짯stellt. Dar짯in ste짯hen auf zig Sei짯ten aus짯ge짯brei짯tet die Ver짯s채um짯nis짯se der Coder, da wer짯den feh짯len짯de Kom짯men짯ta짯re ange짯pran짯gert, ver짯misch짯te Daten짯ty짯pen, und so wei짯ter. Jemand, der das alles unent짯gelt짯lich in sei짯ner Frei짯zeit pro짯gram짯miert hat, mag sich das aber wom철g짯lich nicht unter die Nase rei짯ben las짯sen von einer Orga짯ni짯sa짯ti짯on, die allein 46.000 US-Dol짯lar f체r die Ana짯ly짯se des fer짯ti짯gen Codes ein짯ge짯stri짯chen hat. Der Satz 쏷rue짯Crypt ist nicht sicher, da es m철g짯li짯cher짯wei짯se nicht beho짯be짯ne Sicher짯heits짯lecks ent짯h채lt l채sst sich mit auf짯ge짯setz짯ter Trotz-Bril짯le durch짯aus so interpretieren

쫢nd das sind nur die g채n짯gis짯ten der der짯zeit kur짯sie짯ren짯den Theo짯rien 체ber das pl철tz짯li짯che Able짯ben des True짯Crypt-Pro짯jekts. In unse짯rem Forum wird bereits eif짯rig dis짯ku짯tiert, wes짯we짯gen wir auf den bereits gut besuch짯ten Dis짯kus짯si짯ons짯th짯read im Forum ver짯wei짯sen.

Abge짯se짯hen davon lie짯gen die 채lte짯ren True짯Crypt-Ver짯sio짯nen bereits seit 2 bzw. 4 Jah짯ren auf unse짯rem Down짯load-Ser짯ver her짯um. Wer also auf Num짯mer Sicher gehen will, im Zuge der aktu짯el짯len Irri짯ta짯tio짯nen kei짯ne nach짯tr채g짯lich mit Tro짯ja짯nern ver짯seuch짯te Ver짯si짯on unter짯ge짯scho짯ben zu bekom짯men, kann sich die letz짯ten bei짯den Ver짯sio짯nen hier bei uns herunterladen:

Down짯load: