TrueCrypt ist angeblich nicht mehr sicher

Den Entwicklern des Verschlüsselungs-Tools zufolge gibt es mehrere ungepatchte Sicherheitslücken. Das geben sie zumindest als Grund für die Einstellung der quelloffenen Software an. Als Alternative empfehlen sie Microsofts Festplattenverschlüsselung BitLocker.

TrueCrypt hat sein gleichnamiges Verschlüsselungstool eingestellt. Als Grund geben die Entwickler auf ihrer seit Mittwoch auf Sourceforge umgeleiteten Website an, die quelloffene Software sei „unsicher“ und enthalte möglicherweise ungepatchte Sicherheitslücken. Als Alternative für TrueCrypt empfehlen sie unter anderem Microsofts Festplattenverschlüsselung BitLocker. Obwohl Truecrypt quelloffen ist, handelt es sich wegen offener rechtlicher Fragen nicht um ein Open-Source-Projekt. Sie entspricht außerdem nicht der Definition der von Bruce Perens und Eric S. Raymond gegründeten Open-Source-Initiative.

„Die Entwicklung von TrueCrypt wurde im Mai 2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat“, heißt es derzeit auf der TrueCrypt-Website. „Windows 8, 7, Vista und später bieten eine integrierte Unterstützung für verschlüsselte und virtuelle Festplatten an. Diese integrierte Unterstützung ist auch für andere Plattformen erhältlich. Sie sollten alle mit TrueCrypt verschlüsselten Daten auf verschlüsselte Festplatten oder virtuelle Festplatten-Images übertragen, die von Ihrer Plattform unterstützt werden.“

Die Entwickler von TrueCrypt haben das Verschlüsselungs-Tool mit Hinweis auf ungepatchte Sicherheitslücken eingestellt (Screenshot: ZDNet).Die Entwickler von TrueCrypt haben das Verschlüsselungs-Tool mit Hinweis auf ungepatchte Sicherheitslücken eingestellt (Screenshot: ZDNet).

Für die meisten Windows-Nutzer ist BitLocker jedoch keine Alternative. Die Funktion ist nur in den Enterprise- und Ultimate-Versionen von Windows Vista, 7 und 8 enthalten. Erst seit Windows 8.1 liefert Microsoft auch die Professional-Version mit Bitlocker aus. Den Home-Ausgaben des Microsoft-Betriebssystems fehlt jedoch eine Datei- oder Festplattenverschlüsselung.

Auf Twitter wird seit Mittwoch über die wahren Gründe für das Aus von TrueCrypt spekuliert, zumal es keine Angaben zu den „ungepatchten Sicherheitslücken“ gibt. Die Entwickler des Tools können allerdings nicht kontaktiert werden, da ihre Identität nicht bekannt ist. Dieser Umstand war auch stets kritisiert worden.

Ein Projekt von Freiwilligen hatte deswegen vor Kurzem ein formelles Security-Audit begonnen. In Fefes Blog heißt es dazu, die Phase 1 sei „mit recht positiven Ergebnissen“ abgeschlossen worden. Die Phase 2 habe jedoch noch nicht angefangen.

Darüber hinaus rät der Autor des Blogs, Mitinhaber des Berliner Sicherheitsunternehmens Code Blau, davon ab, die seit Mittwoch erhältliche neue Version 7.2 von TrueCrypt zu installieren. Sie sei mit dem Schlüssel der Vorgängerversion signiert worden. Die Entwickler weisen außerdem bei der Installation ausdrücklich darauf hin, dass das Update nur zur Migration verschlüsselter Daten geeignet ist, also zur Entschlüsselung von Daten. Neue verschlüsselte Laufwerke lassen sich damit nicht anlegen.

Auch Matthew Green, Kryptograph, Professor an der John Hopkins University und Leiter des TrueCrypt-Audit-Projekts, sind nach eigenen Angaben keine weiteren Details bekannt. In einem Interview mit dem Sicherheitsexperten Brian Krebs sagte er, die Entwickler hätten ihre Arbeit wahrscheinlich einfach nur einstellen wollen und hätten das eben auf ihre Art mit einem „Knall“ getan.

Es wird aber auch vermutet, das TrueCrypt kompromittiert wurde. Aus einem Gespräch zwischen Green und dem Reporter Glenn Greenwald geht hervor, dass beide annehmen, dass es Behörden gelungen ist, auf eine mit TrueCrypt verschlüsselte Festplatte zuzugreifen, die Greenwalds Lebensgefährten gehört. „Einer nicht zertifizierten Windows-Anwendung von einer mysteriösen anonymen Organisation zu vertrauen ist keine vorbildliche Lösung“, sagte Green.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Open Source, Secure-IT, Software, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu TrueCrypt ist angeblich nicht mehr sicher

Kommentar hinzufügen
  • Am 30. Mai 2014 um 11:09 von Johann

    Ziemlich mysteriös die ganze Angelegenheit. Unglaublich auch, was für Gerüchte bereits die Runde machen angefangen davon, dass der NSA es entschlüsseln kann bis dass die Verschlüsselung nicht zu knacken ist und daher dem NSA ein Dorn im Auge ist. Bin gespannt was rauskommt. Und nein, Bitlocker ist auch für mich keine Alternative!

    • Am 31. Mai 2014 um 11:01 von Georg Schmitz

      Bei Truecrypt handelt(e) es sich nicht um Open Source.
      Bitte um Korrektur.

      • Am 31. Mai 2014 um 11:29 von Kai Schmerer

        Danke für den Hinweis. Richtig ist, dass Truecrypt quelloffen ist, aber nicht der Definiton der Open-Source-Initiative entspricht und damit auch nicht als Open Source bezeichnet werden sollte.

  • Am 30. Mai 2014 um 11:09 von In den ...

    … Internet Foren wird diskutiert, ob die Einstellung trotz fehlender Sicherheitslücken nicht darauf hinweist, dass die NSA sich Zugriffsrechte gesichert hat, und den Programmierern des Tools einen Maulkorb verpasst hat. Da sie nichts über den Maulkorb sagen dürfen, wählen sie den Weg, ihre Software als Unsicher zu markieren, und empfehlen eine Software (Bitlocker von Microsoft) als ’sicherer‘, die bereits als kompromittiert gilt. Ironie als Warnung.

    Truecrypt sollte man bis auf Weiteres meiden, zumindest aber die neueste Version nicht einsetzten.

    Passwort Manager sind offensichtlich auch nicht der Weisheit letzter Schluß.

  • Am 31. Mai 2014 um 13:16 von C

    Die plötzliche Einstellung – mit komischer Begründung & Empfehlung – deutet auf Background Aktivitäten der US-Spionage-Dienste hin.

    Die Empfehlung zu MS-Bitlocker zu wechseln ist eine Farce. MS ist NSA´s Darling…besonders der IE.

    Auch wurden seinerzeit Crypto-Mechanismen & Algorithmen (RSA, NIST) bewusst geschwächt, um diese eben angreifen zu können.

    Ähnlichen Druck hat man auch auf TCPCrypt versucht. Die haben wohl dem noch Standgehalten…Es wird immer schwieriger, sich gegen die Ausspäh-Verfahren zu wappnen. Unmöglich ist es jedoch nicht. Solche Gruppe (wie TCPCrypt) verdienen die USER-Unterstützung, ggf. auch finanziell. Meiden sollte man alle US-Angebote, da diese per se (Patriot-Act, FISC) kompromittiert sind.

  • Am 4. Januar 2015 um 11:37 von Markus

    Die Entwickler von TrueCrypt schrieben auf ihrer website:

    WARNING:(U)sing (T)rueCrypt (i)s (n)ot (s)ecure (a)s (i)t (m)ay (c)ontain (u)nfixed (s)ecurity (i)ssues

    Setzt man alle Anfangsbuchstaben zusammen:
    utinsaimcusi
    …ergeben sich diese lateinischen Wörter:
    uti nsa im ću si
    …was so viel heißt wie:
    falls ich wünsche, die NSA zu nutzen.

    Man könnte daraus folgende versteckte (wegen Maulkorb) Warnung interpretieren:
    TrueCryt ist unsicher, wenn Du die neueste, von der NSA kompromittierte Version (zur Migration Deiner Daten nach MS BitLocker) nutzt.
    Umkehraussage: die alten Versionen sind sicher.

    Liebe NSA:
    ich verurteile Terror – in JEDER Form – zutiefst. Ganz besonders generalstabsmäßig organisierten Terror gegen unschuldige Menschen und Völker!
    Ich habe daher Verständnis dafür, daß man sich und sein Volk vor schrecklichen Angriffen schützen will und es erschließt sich von selbst, daß dazu an Einsatz und stetiger Weiterentwicklung des zweitältesten Gewerbes der Welt kein Weg vorbeiführt.
    Schließlich funktioniert auch das vermeintlich intelligenteste Leben auf Erden primitiv nach Darwin.
    Aber und gerade deshalb wünsche ich niemandem von uns ein 4. Reich, mit Ihren Mitteln und Methoden in den Händen einer neuen Form von Gestapo oder Stasi. Jeder einzelne von uns hat daher ebenfalls Grund zu Präventivmaßnahmen, auch wenn sie oder er nichts verbrochen hat!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *