TrueCrypt: Verschlüsselungstool angeblich nicht mehr sicher

Die Entwickler halten die Open-Source-Software für unsicher und geben als Grund für die Einstellung unter anderem mehrere ungepatchte Sicherheitslücken an. Sie empfehlen als Alternative Microsofts Festplattenverschlüsselung BitLocker.

TrueCrypt hat sein gleichnamiges Verschlüsselungstool eingestellt. Als Grund geben die Entwickler der Open-Source-Software auf ihrer seit Mittwoch auf Sourceforge umgeleiteten Website an, die TrueCrypt-Software sei „unsicher“ und enthalte möglicherweise ungepatchte Sicherheitslücken. Als Alternative für TrueCrypt empfehlen sie unter anderem Microsofts Festplattenverschlüsselung BitLocker.

„Die Entwicklung von TrueCrypt wurde im Mai 2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat“, heißt es derzeit auf der TrueCrypt-Website. „Windows 8, 7, Vista und später bieten eine integrierte Unterstützung für verschlüsselte und virtuelle Festplatten an. Diese integrierte Unterstützung ist auch für andere Plattformen erhältlich. Sie sollten alle mit TrueCrypt verschlüsselten Daten auf verschlüsselte Festplatten oder virtuelle Festplatten-Images übertragen, die von Ihrer Plattform unterstützt werden.“

Die Entwickler von TrueCrypt haben das Verschlüsselungs-Tool mit Hinweis auf ungepatchte Sicherheitslücken eingestellt (Screenshot: ZDNet).

Die Entwickler von TrueCrypt haben das Verschlüsselungs-Tool mit Hinweis auf ungepatchte Sicherheitslücken eingestellt (Screenshot: ZDNet).

BitLocker ist für die meisten Windows-Nutzer jedoch keine Alternative. Die Funktion ist nur in den Enterprise- und Ultimate-Versionen von Windows Vista, 7 und 8 enthalten. Erst seit Windows 8.1 liefert Microsoft auch die Professional-Version mit Bitlocker aus. Den Home-Ausgaben des Microsoft-Betriebssystems fehlt jedoch eine Datei- oder Festplattenverschlüsselung.

Auf Twitter wird seit Mittwoch über die wahren Gründe für das Aus von TrueCrypt spekuliert, zumal es keine Angaben zu den „ungepatchten Sicherheitslücken“ gibt. Die Entwickler des Tools können allerdings nicht kontaktiert werden, da ihre Identität nicht bekannt ist. Dieser Umstand war auch stets kritisiert worden.

Ein Projekt von Freiwilligen hatte deswegen vor Kurzem ein formelles Security-Audit begonnen. In Fefes Blog heißt es dazu, die Phase 1 sei „mit recht positiven Ergebnissen“ abgeschlossen worden. Die Phase 2 habe jedoch noch nicht angefangen.

Darüber hinaus rät der Autor des Blogs, Mitinhaber des Berliner Sicherheitsunternehmens Code Blau, davon ab, die seit Mittwoch erhältliche neue Version 7.2 von TrueCrypt zu installieren. Sie sei mit dem Schlüssel der Vorgängerversion signiert worden. Die Entwickler weisen außerdem bei der Installation ausdrücklich darauf hin, dass das Update nur zur Migration verschlüsselter Daten geeignet ist, also zur Entschlüsselung von Daten. Neue verschlüsselte Laufwerke lassen sich damit nicht anlegen.

Auch Matthew Green, Kryptograph, Professor an der John Hopkins University und Leiter des TrueCrypt-Audit-Projekts, sind nach eigenen Angaben keine weiteren Details bekannt. In einem Interview mit dem Sicherheitsexperten Brian Krebs sagte er, die Entwickler hätten ihre Arbeit wahrscheinlich einfach nur einstellen wollen und hätten das eben auf ihre Art mit einem „Knall“ getan.

Es wird aber auch vermutet, das TrueCrypt kompromittiert wurde. Aus einem Gespräch zwischen Green und dem Reporter Glenn Greenwald geht hervor, dass beide annehmen, dass es Behörden gelungen ist, auf eine mit TrueCrypt verschlüsselte Festplatte zuzugreifen, die Greenwalds Lebensgefährten gehört. „Einer nicht zertifizierten Windows-Anwendung von einer mysteriösen anonymen Organisation zu vertrauen ist keine vorbildliche Lösung“, sagte Green.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu TrueCrypt: Verschlüsselungstool angeblich nicht mehr sicher

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *