[Blockierte Grafik: http://wp.xin.at/wp-content/upl…ecrypt_logo.png]
[Truecrypt], die weit verbreitete Open-Source Verschlüsselungssoftware für Storage-Volumes auf Datei-, Partitions- und Festplattenbasis scheint entweder an sein Ende gekommen, oder mit seiner Webseite gehacked worden zu sein.
Die Software, die unter Windows, MacOS X, Linux und gewissen UNIX Systemen funktioniert, wurde nun in einer nur mehr zum Entschlüsseln befähigten Version 7.2 veröffentlicht, die einer 7.1a nachfolgt. Die digitalen Signaturen und Schlüssel erscheinen gültig und mit denen der früheren Releases deckungsgleich zu sein. Mittlerweile wurde auch der Quellcode publiziert und analysiert, und es scheint sich dabei um eine stark modifizierte Entwicklungsversion zu handeln, abgeändert um die VERschlüsselungsfähigkeiten zu entfernen.
Wesentlich mehr nach Fisch stinkt aber folgendes:
Auf der nunmehr auf SourceForge umgeleiteten Seite (laut SourceForge Administration gab es keine ungewöhnlichen Auffälligkeiten oder Hackverdacht für den TrueCrypt Account) erhalten User Kurzanleitungen für den Umstieg auf Microsoft Bitlocker und Apple FileVault, unter Linux solle man einfach "alle Pakete installieren die etwas mit Crypto zu tun haben, und die Dokumentation befolgen" (so ca.).
Zudem wurden mehrere Sicherheitswarnungen postuliert, die anzeigen, daß TrueCrypt eventuell nicht mehr sicher sei, da die Entwicklung mit dem Ende von Windows XP gestoppt wurde.
Die Seiten besprechen die dadurch entfallenden Features allerdings nicht (Kein Bitlocker auf kleinen Windows Versionen, keine Cross-Platform Fähigkeiten, keine Plausible Deniability) und das Design der Webseite weicht stark von der alten Truecrypt Seite ab.
[Blockierte Grafik: http://www.xin.at/thrawn/pics/sc…pt/TC72site.png]
Die seltsame Truecrypt 7.2 Webseite. (Klicken zum Vergrößern)
[Blockierte Grafik: http://www.xin.at/thrawn/pics/sc…backblocked.png]
(Beim Versuch, das Originaldesign zu Vergleichszwecken aus der WayBackMachine zu holen, wird der Zugriff verwehrt.)
Aktuell kursieren dazu folgende Theorien:
- Die Truecrypt Webseite wurde gehacked, sowie auch der SourceForge Account. Die Signierschlüssel wurden gestohlen, um ein neu erzeugtes, gefährliches Binary zu signieren und zu verbreiten.
- Eine 3-Letter Agency hat die TrueCrypt Foundation unter gerichtlichen Druck gesetzt, eine Backdoor einzubauen (NSA?), da das crowd-funded Audit keine kritischen Lücken hat aufdecken können. Die Entwickler fackeln die Software lieber ab.
- Die TrueCrypt Entwickler hatten die Nase voll vom völlig fehlenden finanziellen Support durch die Community und hauen den Hut selbst drauf.
Fakt bleibt, daß das ganze hochgradig seltsam aussieht, was Formulierung der Texte, Formatierung der Seite und die "Migrations-Version" angeht, die nur noch ENTschlüsseln kann, um auf BitLocker/FileVault/dm-crypt zu migrieren. Speziell das Statement zu Linux sieht hochgradig unprofessionell und "schnell hingefetzt" aus.
Aktuell gibt es keine weiteren offiziellen Statements, Verantwortliche des TrueCrypt Source Code Audits sind auf Anfrage genauso ratlos wie alle User. Die Entwickler zu erreichen ist nunmehr ganz ausgeschlossen, da auch der Mailserver an der TrueCrypt Domain keine eMails mehr annimmt. Auch das äußerst wertvolle Userforum - von sehr vielen sehr fähigen Leuten frequentiert - scheint ausgelöscht worden zu sein, sofern es sich hier nicht um einen "einfachen" Defaceangriff auf die Webseiten handelt.
Durch die unklare Situation würde ich dringendst empfehlen, die Finger von der TrueCrypt 7.2 "Migrationsversion" zu lassen, was die Binaries angeht, und den Quellcode zu studieren wenn man dazu in der Lage ist (diffs zwischen 7.1a und 7.2 existieren bereits). Abzuwarten erscheint hier vorerst die beste Strategie zu sein.
Weitere Links: