Computer

Was steckt hinter der Warnung, "TrueCrypt" sei unsicher?

Was steckt hinter der Warnung, "TrueCrypt" sei unsicher?
Foto: © tom - Fotolia.com

31.05.14 - Seit Donnerstag, dem 29. Mai 2014, zeigt die Internetseite der bekannten Verschlüsselungs-Software "TrueCrypt" statt des üblichen Bilds die etwas seltsam anmutende Warnung: "Die Nutzung von Truecrypt ist unsicher, da nicht behobene Sicherheitslücken vorhanden sein können". Danach folgt eine ausführliche Erklärung, wie Nutzer von Truecrypt zu Bitlocker – einem Festplattenverschlüsselungsprogramm von Microsoft – wechseln können. Weitere Erklärungen beziehungsweise Hintergründe gibt es nicht, lediglich am Textende die erneute Warnung, dass Truecrypt angreifbar sei.

Über die Hintergründe kann im Moment nur spekuliert werden, da die Entwickler selbst nicht erreichbar sind und es nur wenige zusätzliche Informationen gibt. Wir haben die Entwickler der sicheren Linux-Umgebung "Ubuntu Privacy Remix" um Stellungnahme gebeten, die eine der wenigen unabhängigen Analysen des Programms erstellt haben. Sie schreiben: "Gegen die naheliegende Vermutung, dass es sich um einen 'Hack' der Webseite handelt, spricht die Tatsache, dass am Ende eine neue Version 7.2 zum Download angeboten wird, die mit demselben Schlüssel digital signiert ist wie die vorherigen Versionen. Das kann nur jemand gemacht haben, der Zugriff auf den geheimen Schlüssel der Entwickler hat. Vielmehr halten wir es für möglich, dass die Entwickler von TrueCrypt – ähnlich wie der Anbieter des von Edward Snowden benutzten E-Mail-Dienst 'Lavabit' – einen sog. 'National Security Letter' der NSA erhalten haben, der sie zur Herausgabe des Signaturschlüssels und/oder Manipulationen an TrueCrypt zwingen soll. Software- und Dienstanbieter in den USA drohen hohe Haftstrafen, wenn sie über solche Repressions- und Manipulationsmaßnahmen der NSA öffentlich sprechen. Es ist denkbar, dass die Truecrypt-Entwickler mit ihrer abstrusen Wechselempfehlung zu Bitlocker der Öffentlichkeit zwischen den Zeilen diesen Umstand mitteilen wollen. (1) In keinem Fall sollte man die angebotene Version 7.2 verwenden. Wir halten vielmehr die von uns geprüfte und in unserer Software verwendete Version 7.0a weiterhin für sicher."

Auch der US-amerikanische Experte Matthew Green, der mit anderen die Version 7.1a einer Überprüfung unterzogen hat, hält diese laut einer Twitter-Meldung für sicher.

(1) Diese Empfehlung ist vor allem deshalb absurd, weil es dabei um eine Microsoft-Produkt handelt, dessen Programmierung nicht einsehbar ist. Microsoft arbeitet bekanntermaßen mit den US-Diensten zusammen und Sicherheitslücken sind dort ohnehin legendär.