truecrypt

TrueCrypt macht zu, empfiehlt BitLocker?!?

Ok, was zur Hölle ist da gerade bei TrueCrypt passiert? Die Macher (anonyme Entwickler) haben die eigene Webseite auf Sourceforge umgeleitet und empfehlen allen Nutzern einen Umstieg auf BitLocker (die in Windows integrierte Lösung zur Full Disk Encryption, FDE) oder „alternative“ Lösungen für Linux.

Der Grund dafür? Angeblich das Support-Ende von Windows XP. Und nicht näher spezifizierte Lücken.

Und das finde ich enorm seltsam. Nicht nur ist TrueCrypt eine Multi-Plattform-Lösung, nur weil Microsoft den Support eingestellt hat, bedeutet das ja nicht, dass niemand mehr XP nutzt. Im Gegenteil, leider. Zudem läuft gerade ein von der Crowd finanzierter Code-Test von TrueCrypt. Soweit ich sehen kann, hat der bislang keine massiven Lücken gefunden.

Also, was kann da dahinterstecken? Auf /r/netsec und Hackernews geht die Theorie um, dass es sich um einen Dead Man’s Switch oder einen Kanarienvogel handelt, ähnlich wie bei Lavabit. Wir erinnern uns: Lavabit, der Mail-Dienst, den auch Snowden nutzte, hat von einem Tag auf den anderen geschlossen, da die US-Behörden die Schlüssel zum entschlüsseln aller Nachrichten haben wollten (ob es die gab, ist erstmal irrelevant). Das Problem dabei: die US-Behörden können, wenn Fall vorliegt, der grob in den PATRIOT ACT passt, einen sogenannten National Security Letter, NSL, nutzen, um an Informationen zu gelangen. Diese NSLs sind nicht wie normale richterliche Beschlüsse, laut der EFF sind sie ohne wirkliche Aufsicht oder vorherige juristische Untersuchung erhältlich. Zudem enthalten sie eine Anordnung, nach der der Empfänger nicht einmal darüber reden darf, dass er einen NSL erhalten hat (nicht einmal gegenüber der eigenen Familie). Falls er es doch ausquatscht, macht er sich strafbar (selbst wenn er mit der eigentlichen Untersuchung nichts zu tun hat). Ladar Levision von Lavabit musste vor Gericht ziehen, um überhaupt sagen zu dürfen, dass er einen NSL erhalten hat.

Das, und der öffentliche Aufschrei rund um die NSA, hat zu sogenannten Warrant Canaries (frei übersetzt etwa Kanarienvögel für Anordnungen) geführt. Unternehmen wie Apple haben begonnen, in ihre öffentlichen Berichte (die sie regelmäßig vorlegen müssen) eine Textpassage einzufügen, etwa „We have received no warrants“. Falls nun ein NSL ins Haus flattert dürfen sie diese Passage nicht mehr verwenden, ohne sich strafbar zu machen. Der aufmerksame Leser bemerkt aber das Fehlen und kann selbst seine Schlüsse daraus ziehen.

Soweit, so Verschwörungstheorie. Leider sind die Entwickler von TrueCrypt anonym, entsprechend ist es nicht einfach, konkrete Informationen zu erhalten (so sie diese denn überhaupt nennen dürften). Dennoch ist die Art der Bekanntmachung mehr als seltsam. Wie alle Open Sourcler war auch die TrueCrypt Gemeine immer notorisch misstrauisch gegen Microsoft. Und nun wird das plötzlich als sicherer Alternative empfohlen? Sehr seltsam.

Aktuell kann man leider nicht mehr tun als spekulieren und abwarten. Sollte tatsächlich ein NSL hinter dem Ende von TrueCrypt stecken, dann wäre das ein harter Schlag. Nicht nur für die Entwicklung von Sicherheitssoftware, sondern auch für das Recht auf Privatsphäre.

Über Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

banner