WeBLOG
TrueCrypt-Farce: Scheinbar meldete sich ein Entwickler (30.05.2014)
Die Kuriositäten nehmen zu - der Nebel wird dichter. Angeblich hat sich ein Entwickler gemeldet und verkündet, das TrueCrypt-Entwickler-Team hätte kein Interesse mehr an dem Projekt. Auch gäbe es keinen Kontakt zu Regierungsbehörden. Siehe diesen Tweet zwischen Steven Barnhart und Matthew Green.

Wenn dieser Austausch tatsächlich stattgefunden hat, dann liegt die Verschwörungstheorie, es handle sich um einen Maulkorb per NSL seitens der Regierung, näher denn je. In diesem Fall dürften die Entwickler ohnehin nicht darüber reden.
Es scheint doch sehr unwahrscheinlich, dass ein Entwicklerteam ein solches Projekt in DIESER ART UND WEISE hinwirft, d.h. auf der umgeleiteten TC-Website (die jetzt doch eher dilettantisch zusammengeschustert aussieht) von unsicher spricht und in gleichem Atemzug die Verschlüsselungssoftware Bitlocker (Closed-Source) empfiehlt, die schwer im Verdacht steht, Hintertüren zu enthalten. Und sich dann mit dem Kommentar "Interesse verloren" meldet, also kein Wort zur erwähnten Sicherheitsproblematik. Dies sieht schwer nach einem Wink mit dem Zaunpfahl aus, ohne sich gegenüber den Behörden strafbar zu machen - die nebulöse Taktik lässt auf eine Art "Warrant Canary" (auch Kanarienvogel genannt) schliessen, d.h. der aufmerksame Beobachter bemerkt die Fäulnis in der Aussage bzw. vermutet zu wissen, was wirklich dahinter steckt.

Anders ausgedrückt: Das TrueCrypt-Entwickler-Team hat sich jahrelang intensiv mit der wohl besten Verschlüsselungs-Software beschäftigt und diskreditiert nun plötzlich das eigene Projekt, um eine zweifelhafte - bisher wie die Pest gemiedene - Alternative zu empfehlen, weil man keine Lust mehr zur Weiterentwicklung hat? Wer hat denn ein so schlechtes Drehbuch geschrieben?

Halten wir die Möglichkeiten fest:
  • Die bisher, zu ihrem eigenen Schutz, anonymen TC-Entwickler wurden enttarnt und im Rahmen eines USA Patriot Act gezwungen das Projekt einzustellen und dürfen darüber per rechtlicher Anordnung (NSL) nicht reden (Gefahr für Leib und Seele), weil TrueCrypt den Regierungsbehörden ein Dorn im Auge ist (äquivalent zu LAVABIT). Für dieses Szenario sprechen die oben beschriebenen kryptischen Aussagen und Widersprüche. Trifft dies zu, sind TrueCrypt-Anwender wohl bestens aufgehoben :-)

  • Aus den gleichen Gründen (siehe ersten Punkt) wurden die TC-Entwickler gekauft, d.h. kein juristischer Druck ausgeübt, sondern finanzielle Anreize geboten, um das Projekt einzustellen. Auch hier wären TC-Anwender auf der sicheren Seite und im Besitz einer sehr guten Software.
  • Es wird per DEFACING versucht (von wem auch immer), TrueCrypt in Misskredit zu bringen, um Zweifel zu sähen, damit der Anwender auf leicht zu knackende oder manipulierte Verschlüsselungs-Software wechselt. In diesem Fall wäre der Mail-Account eines Entwicklers kompromittiert und die Meldung in obig verlinkten Tweet ein Fake. Ein eher unwahrscheinliches Szenario aber nicht auszuschliessen.
  • Das TC-Team ist zerstritten und einer der Entwickler schadet dem Projekt nun auf diese Art. So etwas gab es auch schon...

  • Es gibt eine gravierende Sicherheitslücke, die im zweiten Audit-Verfahren aufgedeckt werden würde, und man streicht deshalb schon vorher die Segel. Eine solches Leck könnte unabsichtlich aber auch absichtlich entstanden sein. In letzterem Fall wären die Entwickler bereits im Vorfeld gekauft worden. Eher ein unwahrscheinliches Szenario, weil im ersten Audit-Verfahren von Mattew Green keine Backdoors entdeckt wurden. TrueCrypt wäre in diesem Fall tot und der grösste Trojaner der Geschichte.
  • Die TC-Entwickler haben tatsächlich das Interesse an ihrem Projekt verloren. In diesem Fall wäre unseres Erachtens die Art und Weise der Projekt-Einstellung anders gelaufen, weshalb wir das vorerst nicht glauben wollen.
Fazit:
Man weiss nichts genaues - Panik ist aber absolut unangebracht! Vielmehr scheint TrueCrypt in Version 7.1a, gerade im Hinblick auf die Verschwörungstheorie, die sicherste Verschlüsselungslösung - bis zum Beweis des Gegenteils - zu sein. Wir berichten weiter, sofern sich Neues ergibt.

Version 7.1a können Sie sich von unserer Website (siehe vorherigen Beitrag vom 29.05.2014) herunterladen, weil diese wird auf der TrueCrypt-Seite nicht mehr angeboten.
Kommentieren