Verschlüsselung: Plötzlich ist TrueCrypt nicht mehr sicher

Grosses Rätseln um die Verschlüsselungs-Software TrueCrypt. Die TrueCrypt-Entwickler warnen, TrueCrypt sei nicht mehr sicher und empfehlen zum Umstieg das Microsoft-Tool BitLocker. Seit Mittwoch leitet die Hauptseite Truecrypt.org auf die Unterseite von Sourceforge.net um. Rätselhaft mutet die Umstiegsempfehlung auf Microsofts Tool BitLocker an, gilt doch Microsoft nicht unbedingt als Vorzeigeunternehmen in Belangen wie Sicherheit bei der Verschlüsselungstechnik. Auch Edward Snowden setzte auf TrueCrypt.

Enthüllungen eines ehemaligen BitLocker-Entwicklers gegenüber Mashable zeugen davon, dass Microsoft sich im regen Austauch mit US-Behörden befindet und FBI-Agenten angeblich wiederholt nach einer Hintertür bei BitLocker gefragt hätten. Betrachtet man die Umstiegsempfehlung vor diesem Hintergrund, könnte man auf eine andere Erklärung spekulieren: Die TrueCrypt-Macher wurden möglicherweise aufgefordert, kryptografische Informationen den US-Aufsichtsbehörden offenzulegen. Dafür gibt es einen Präzedenzfall. So wurde auch der von Edward Snowden genutzte E-Mail-Dienst Lavabit von den Entwicklern eingestellt. Zunächst wurden die Entwickler zu Stillschweigen angehalten. Erst später wurde in einem ausführlichen Abschiedsschreiben klar, dass FBI-Agenten per Gerichtsbeschluss die Betreiber des E-Mail-Dienstes nach einem privaten Schlüssel gefragt hätten.

Mittlerweile gibt es laut Heise.de neue Statements aus TrueCrypt-Kreisen, die besagen, man habe lediglich das Interesse an der Weiterentwicklung verloren. Auf Twitter wird seit Mittwoch über die wahren Gründe für das Aus von TrueCrypt spekuliert, zumal es auch keine Hinweise zu ungepatchten Sicherheitslücken gibt. Die Entwickler des quelloffenen Tools können allerdings nicht kontaktiert werden, da ihre Identität nicht bekannt ist.

Der Schweizer IT-Rechtsanwalt Martin Steiger ist der Überzeugung, dass es für ein Open-Source-Projekt eher unüblich ist, dass die Entwickler nicht bekannt sind. Damals, im Frühling 2009, äusserte er zu TrueCrypt gewisse Vorbehalte wegen fehlender Transparenz in Belangen wie Bugtracking, Changelogs und Code, aus dem TrueCrypt in den jeweiligen Versionen kompiliert wird.