Verwirrung um Verschlüsselungs-Software TrueCrypt
Dieser Artikel ist älter als ein Jahr!
TrueCrypt galt für viele Nutzer jahrelang als erste Wahl, wenn es um Verschlüsselungssoftware geht. Mit dem Tool konnte man Dateien oder wahlweise ganze Festplattenpartitionen verschlüsseln, verstecken und so vor unbefugtem Zugriff schützen. Seit kurzem leitet die offizielle URL von TrueCrypt jedoch zu einer SourceForge-Seite weiter, die ausdrücklich davor warnt, die Software weiterhin zu verwenden. „TrueCrypt zu verwenden ist nicht mehr sicher, da es offene Sicherheitslücken enthält“, heißt es dort.
Stattdessen sollen Nutzer auf das Windows-Bordmittel BitLocker zurückgreifen, was auch anhand von Bildern erklärt wird. Als Erklärung wird angegeben, dass die Entwicklung von TrueCrypt gestoppt wurde, nachdem Microsoft den Support von Windows XP eingestellt hat. Alle späteren Windows-Betriebssysteme hätten demnach ohnehin standardmäßig ein Verschlüsselungs-Tool integriert. Gleichzeitig wurde eine aktualisierte Version von TrueCrypt veröffentlicht, die ebenfalls diese Warnung enthält. Die Datei ist mit dem gleichen gültigen Schlüssel signiert, mit dem auch alle Versionen zuvor versehen waren. Eine offizielle Mittelung des Teams hinter TrueCrypt gibt es nicht.
Unklarheiten
Um welche Sicherheitslücke es sich dabei handelt, ist allerdings völlig unklar. Matthew Green, ein amerikanischer Verschlüsselungsexperte, der die letzte Sicherheitsüberprüfung von TrueCrypt Mitte April geleitet hat, gab auf Twitter an, er wisse nicht, was mit der Warnung gemeint sein könnte. In der umfangreichen Prüfung des Codes konnten damals zwar einige Bugs, aber keine sicherheitsrelevanten Probleme aufgedeckt werden. Das letzte, was er von den TrueCrypt-Verantwortlichen nach der Überprüfung hörte war, dass sie gespannt auf die Ergebnisse der zweiten Phase der Überprüfung warteten.
Eine offizielle Stellungnahme des Teams hinter TrueCrypt gibt es derzeit nicht. Es wird auch, etwa von Heise, spekuliert, dass es sich bei dem plötzlichen Schritt um eine Reaktion auf eine Drohung der US-Regierung handelt. Die US-Behörden hatte bereits Ende 2013 Druck auf den Webmail-Service Lavabit ausgeübt und so dessen Schließung ausgelöst.
Kommentare