TrueCrypt: “The development of TrueCrypt was ended in 5/2014”

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • TrueCrypt: “The development of TrueCrypt was ended in 5/2014”

      TrueCrypt schwenkt die weiße Fahne, die Entwicklung der Open-Source-Verschlüsselungssoftware wurde gerade eingestellt – allerdings unter reichlich seltsamen Umständen. Die offizielle Website existiert nicht mehr, truecrypt.org leitet auf truecrypt.sourceforge.net/ weiter, dort liest sich die Ankündigung wie folgt:

      TrueCrypt schrieb:

      WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

      This page exists only to help migrate existing data encrypted by TrueCrypt.

      The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.

      Die letzte Version des Programms ist verschwunden (wird aber von vielen externen Seiten noch angeboten), stattdessen gibt es eine neue Fassung, die nur noch das Entschlüsseln der Daten erlaubt, aber keine Verschlüsselung mehr.

      Soweit es sich feststellen lässt, zeichnen tatsächlich die »offiziellen« TrueCrypt-Entwickler für diesen Schritt verantwortlich – die Frage ist deshalb eher, warum man diesen Weg gegangen ist. Die wahrscheinlichste Erklärung ist, dass sich die Entwickler bewusst von ihrer Software distanzieren wollen, um die Benutzer zu warnen. Möglich ist zum Beispiel, dass sich die Regierung der USA mit einem »National Security Letter« eingemischt hat:

      Wikipedia schrieb:

      Mit einem National Security Letter können Telekommunikationsanbieter,[1] sowie Banken und Finanzunternehmen verpflichtet werden, Daten über ihre Kunden herauszugeben. In der Regel enthält ein National Security Letter eine Geheimhaltungsanordnung, die es dem Empfänger verbietet, über den Inhalt oder auch nur den Erhalt eines National Security Letter zu sprechen.
      Weil die Empfänger nicht darüber reden dürfen, wurde das Prinzip des »Warrant Canary« entwickelt, quasi ein »Die Regierung war nicht hier«-Gütesiegel, das entfernt wird, wenn ein NSL ins Haus flattert. Statt Informationen herauszugeben, werden also Informationen zurückgezogen – was legal ist, aber den gleichen Zweck erfüllt.

      Das Changelog zur letzten Version distanziert sich beispielsweise von der ursprünglichen Website (aus »truecrypt.org« wird »truecrypt«) und kommt mit leicht veränderten Lizenzbedingungen daher, die es in Zukunft erlauben, Forks von TrueCrypt zu entwickeln, ohne dabei die Ursprungssoftware (also TrueCrypt) referenzieren zu müssen.

      Bin gespannt, was da noch kommt :thinking:
      Hier könnte meine Signatur stehen!
    • Ja, habe die Diskussion auch mitverfolgt und denke auch, dass es wohl mit einem wie auch immer gearteten NSL zu tun hat. Meiner Erinnerung nach hat Snowden TrueCrypt explizit erwähnt, als er in einem Interview im ZDF andeute, wie er seine Daten sichert bzw. sicher aus der NSA herausbekommen hat. Vielleicht ist die Software unter anderem daher den Schlapphüten ein Dorn im Auge.

      Was auch immer es war, die letzte Version davor (7.1a) hatte auch schon einige Zeit auf dem Buckel und ein Ende der Entwicklung deutete sich ohnehin an. Eventuell eine prima Chance um dies nun in eine quelloffene Software zu überführen, die zumindest prinzipiell Hintertüren erschwert.

      Ärgerlich ist es trotzdem, zumal »Bitlocker« von Microsoft hinsichtlich Schutz vor dem amerikanischen großen Bruder, weitaus weniger vertrauenswürdig sein dürfte… Alternativen sind also schwer auszumachen.
    • Horstj schrieb:

      Du meinst, damit (a la heartbleed) jeder Hintertüren einbauen kann? Oder ließt du dir immer den Quellcode durch und kompilierst den dann selbst?

      Deswegen schrieb ich »prinzipiell«. :stuck_out_tongue: Und ich bezweifle, dass Heartbleed eine Hintertür war. Das war schlicht ein (peinlicher) Fehler, den niemand so wirklich bemerkt hat, weil das Anwendungsszenario auch sehr speziell ist. Macht’s am Ende natürlich nicht besser… :slight_frown:
    • Horstj schrieb:

      Oder ließt du dir immer den Quellcode durch und kompilierst den dann selbst?
      Selbst kompilieren ist jedenfalls machbar, das ist ja nicht schwer^^ Ob man sich als normaler Endanwender selbst jede Codezeile durchlesen muss, bezweifle Ich mal. TrueCrypt wurde im Laufe der Jahre reichlich unter die Lupe genommen und man hat nie (echte) Schwachstellen gefunden, egal ob Regierung oder unabhängige Experten sich damit beschäftigt haben. Insofern ist mir das Prinzip auch lieber als irgendeine Software, deren Inhalt/Sicherheit für Außenstehende völlig unnachvollziehbar ist.

      Dass das nicht gegen alles schützt, ist klar, aber dennoch ist es das bessere Prinzip. Gerade bei Verschlüsselungssoftware versuchen Regierungen/Regierungsbehörden ja gerne mal, die Hersteller zur Implementierung von Hintertürchen zu verpflichten …
      Hier könnte meine Signatur stehen!
    • Nerdus schrieb:

      Selbst kompilieren ist jedenfalls machbar, das ist ja nicht schwer^^

      Es ging mir auch mehr darum, dass man ja den "sauberen" Quellcode veröffentlichen kann, und die "vorkompilierte" Version mit Hintertürchen, Virus, wasweißich ausstattet.

      Nerdus schrieb:

      TrueCrypt wurde im Laufe der Jahre reichlich unter die Lupe genommen und man hat nie (echte) Schwachstellen gefunden, egal ob Regierung oder unabhängige Experten sich damit beschäftigt haben.

      Bleibt die Frage wie unabhängig die unabhängigen Experten wirklich sind, und ob die Regierung eventuell gefundene Schwachstellen bekanntgiebt oder doch lieber für den Eigenbedarf behält.

      Nerdus schrieb:

      Insofern ist mir das Prinzip auch lieber als irgendeine Software, deren Inhalt/Sicherheit für Außenstehende völlig unnachvollziehbar ist.

      Ok, dagegen kann ich nicht gegenanargumentieren. :ugly: