Das wars mit Truecrypt!
Gestern kam die Meldung, dass die Entwickler der Verschlüsselungssoftware Truecrypt auf ihrer eigenen Homepage vor ihrem Produkt warnen:
"WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
This page exists only to help migrate existing data encrypted by TrueCrypt."
Erstmal ein paar Fakten zu Truecrypt:
- Truecrypt wurde seit 2 Jahren nicht mehr weiterentwickelt
- Ein Audit des Codes 2014 ergab im ersten Teil der Prüfung, dass es sicher ist und keine Hintertüren enthält
- Der Code ist von sehr schlechter Qualität und die Bedingungen die Software selbst zu kompilieren sind grotesk (u.a. wird Software aus dem Jahr 1992 dazu benötigt)
- Unter Windows war Truecrypt die beliebteste Software zum Verschlüsseln von Daten in Containern. Das ganze lief einfach und bequem und war sogar unter anderen Plattformen verfügbar.
Es stellt sich zuerst einmal die Frage, ob TC nun Sicherheitslücken aufweist und ob es wirklich unsicher ist.
Wenn der eigene Entwickler vor Sicherheitslücken warnt, dann sind dies entweder Lücken in der eigenen Software, oder ihm bekannte Lücken in Windows die ebenfalls die Verschlüsselungssoftware kompromittieren. In beiden Fällen ist der Betrieb nicht mehr empfehlenswert!
Für mich kommt Windows durch seine automatisierten Updatemechanismen (auf die ja wohl auch die Geheimdienste zugriff haben) nicht mehr als sicheres System in Frage (genauso wenig MacOS). Beide Systeme sind rein amerikanisch und unterliegen offensichtlich auch dem Einfluss amerikanischer Geheimdienste.
Meine Meinung dazu ist etwas zwiegespalten:
Mehrere Punkte sind hier von Bedeutung:
Erstens wissen wir noch nicht alle Fakten! Es gibt wilde Spekulationen, warum die Entwickler vor ihrem Projekt warnen. Einschüchterung seitens amerikanischer Geheimdienste, bzw. auch die Unfähigkeit ihr System an UEFI und den Bootvorgang von Windows 8 anzupassen sind einige davon. Ich denke, zu den wahren Hintergründen werden wir in den nächsten Tagen noch einiges erfahren.
Zweitens fordern nun viele Windowsanwender eine Weiterentwicklung unter einer freien Lizenz. Von der Ironie mal abgesehen, dass gerade die Windowswelt nun gerne "Zuflucht" bei freier Software sucht, müssten die bisher anonym gebliebenen Programmierer erstmal ihren Code freigeben. Ob sie das tun werden scheint fraglich. Dazu kommt eine schlechte Codequalität, so dass ein Neuanfang sicherlich sinnvoller wäre. Hinzu kommt, dass man als Anwender unter Umständen sicherheitsrelevanter Software echte Menschen als Ansprechpartner haben möchte.
Jetzt rächt es sich einfach, dass TrueCrypt keine freie Software ist! Wie immer, wenn jemand sich keine Gedanken zu der Lizensierung seiner Projekte nur wenig Gedanken macht, sondern unter einer proprietären Lizenz entwickelt.
Drittens ist noch nicht raus, worin die eigentliche Schwäche der Software Truecrypt liegt! Vermutlich ein bislang unerkanntes Problem, das im verwendeten uralten Windows-Compiler oder einer externen DLL liegt, so dass im Grunde ein Implodieren des Schlüsselraumes vorhersagen kann.
Ist Open-Source also besser?
Die Open-Source-Bewegung hat beim Heartbleed-SSL-Bug vor einigen Wochen schlecht ausgesehen! Ein Bug, der dumm war und massiv ausgenutzt wurde. Nun sieht die proprietäre Windows-Softwarewelt am Pranger! Eine wesentliche, vielleicht die einzige, Software, die zum Verschlüsseln sicher war, wurde kompromittiert. Obwohl ich Windows nicht nutze, finde ich es sehr bedauerlich, dass man dort nun keine Möglichkeit hat, Daten wirklich sicher abzulegen!
Werden wir mal sehen, welche Seite mit ihrem Angriff besser umgeht. Beim SSL- Bug wurde wenigstens innerhalb weniger Tage reagiert und es entstand unter BSD auch sofort ein Fork. Was mit Truecrypt passiert ist heute zumindest fraglich. Wenn es überhaupt eine Chance zur Wiederbelebung gibt, dann am ehesten unter einer freien Lizenz.
Ein Howto wie man unter linux Festplatten schnell verschlüsselt, findet man hier!