WeBLOG
TrueCrypt-Farce: Fork in Sicht? (04.06.2014)
Das TrueCrypt-Projekt wurde von den Entwicklern beendet. Die Gründe sind nach wie vor unklar, siehe unsere Beiträge vom 30.05.2014 sowie vom 29.05.2014 (inkl. Download von TrueCrypt 7.1a).

Licht am Horizont erscheint insofern, als sich eine evtl. Weiterentwicklung (Fork des Quellcodes) von zwei Organisationen abzeichnet. Zum einen vom "Open Crypto Audit Project" unter Federführung von Matthew Green, Professor für Kryptographie an der Johns-Hopkins-Universität in Baltimore und Gutachter des laufenden Auditverfahrens von TrueCrypt. Zum anderen von "TrueCryptNext" aus der Schweiz unter Leitung von Thomas Bruderer und Joseph Doekbrijder.
Allerdings gibt es hierzu grosse Probleme mit der Lizenz. Der Quellcode ist zwar veröffentlicht aber die obskuren Lizenzbestimmungen sind nicht OpenSource-fähig und in Teilen sehr restriktiv ausgelegt, u.a. auch was den fortführenden Namen des Projekts betrifft. Erschwerend kommt hinzu, dass die Entwickler gar nicht oder sehr schwer zu erreichen sind - um nicht zu sagen, ein zuverlässiger Kontakt ist derzeit nicht möglich. So wird nun auch die Klärung von rechtlichen Fragen zur Farce. Kurz gesagt, die rechtliche Lage für einen Fork ist alles andere als einfach und die Erbschaft nicht leicht anzutreten.

Das zweite grosse Problem ist der Quellcode, der durch den historisch bedingten Wachstum unübersichtlich ist (jeder, der selbst programmiert, kennt das, wie ein Code aussieht, der im Laufe der Jahre anwächst, weil immer wieder neue Features eingebaut wurden...). D.h. wirklich auskennen können sich nur die beteiligten Entwickler selbst. Es besteht somit für die Nachfolger die grosse Gefahr, unabsichtlich ein Sicherheitsleck in der Software zu öffnen.

Zu hoffen ist dennoch, dass das Projekt weitergeführt wird, weil es gibt aktuell keine vergleichbare plattform-übergreifende und quelloffene Verschlüsselungslösung, sondern nur Projekte, die das eine aber nicht das andere können (z.B. GnuPG, Open/Libre SSL, LUKS) oder Closed-Source sind und somit u.E. nicht vertrauenswürdig sein können (nicht, wenn es um Verschlüsselung geht - hier muss der Quellcode einfach offen liegen!).

Wie in unseren Vorgängerbeiträgen zum Thema bereits erklärt, ist TrueCrypt 7.1a - bis zum eindeutigen Beweis des Gegenteils - als sicher zu betrachten und wird von uns deshalb bis auf weiteres weiter verwendet. Uns ist jedenfalls nichts anderes bekannt, als sich alle Ermittlungsbehörden dieser Welt und andere "Interessierte" an einem richtig verwendeten TrueCrypt die Zähne ausbeissen :-) . Auch deutsche Ermittlungsbehörden fragten bei uns schon desöfteren an, Teile unseres TC-Tutorials und dazugehöriger Grafiken in internen Präsentationen und Vorträgen verwenden zu dürfen, um sicherlich auch die Aussichtslosigkeit eines Ermittlungserfolgs aufzuzeigen.

Siehe unsere ausführliche Anleitung zu TrueCrypt (Version 7.1a). PRIVACY IS NOT A CRIME!

Kommentieren