[Netzwelt] Truecrypt.org warnt vor weiterem Einsatz des Tools

Seltsame Dinge geschehen gerade auf der Website des beliebten Verschlüsselungstools. Die offizielle Homepage (http://truecrypt.org) leitet seit heute auf eine Sourceforge-Projektseite (http://truecrypt.sourceforge.net/) um. Dort wird vor kritischen Sicherheitslücken in der Software und einem geplanten Ende der Truecrypt-Entwicklung zum Supportende von Windows XP gewarnt. Als Alternative wird die Windows-eigene Bitlocker-Laufwerksverschlüsselung empfohlen.

Ob Unbekannte Zugriff auf den Server erlangt haben oder ob es sich dabei um eine (überraschende) Meldung der Truecrypt-Entwickler handelt, ist bisher noch unklar. Bis auf weiteres sollte man Abstand von den Downloads der Website halten.

Update: Neue Informationen zum Thema finden sich hier.


Quelle: Fefe/caschy

 

[thom53281]

@p3Eq
Entweder ich bin blöd oder irgendwas stimmt mit Archive.org nicht. Ich bekomme für beide Seiten die selbe Fehlermeldung:

Zugriffsfehler

Der Zugriff auf den Inhalt ist gesperrt. Blocked Site Error

Bitte auch den Edit beachten.


Grüße
Thomas

 

[Lokalrunde]

p3Eqs Edit habe ich auch gerade bemerkt, da wurde ja truecrypt.ch ebenfalls erwähnt.

 

[Novgorod]

Allein aufgrund der robots.txt ist die Seite schonmal nicht aus dem Webarchiv gelöscht worden, dann kommt nämlich eine andere Fehlermeldung.

normalerweise gibts eine option, womit man die waybackmachine zwingt, die robots.txt sofort (erneut) einzulesen und alte versionen ggf. zu löschen, danach kann die robots.txt sofort selbst gelöscht werden.. sollte das nicht funktionieren (oder will man dauerhaft ein cachen verhindern), kann man als seitenbetreiber auf anfrage alte versionen auch ohne robots.txt löschen lassen bzw. in zukunft sperren.. jedenfalls hat der seitenbetreiber selbst die kontrolle darüber, wenn er sich entsprechend ausweisen kann (z.b. email-adresse von der domain), und es muss nicht unbedingt von der NSA kommen..

 

[The Snake]

Einer der Entwickler von Truecrypt hat sich angeblich zu Wort gemeldet und die Beweggründe für das plötzliche Aus erklärt: Man habe das Interesse verloren. Einer Weiterentwicklung durch die Community steht er demnach kritisch gegenüber.

Einen Tag nach dem plötzlichen Ende von Truecrypt, hat sich offenbar einer der Entwickler der Verschlüsselungssoftware zu Wort gemeldet. Auf Twitter hatte Matthew Green, einer der Entwickler, die den jüngsten Truecrypt-Audit initiiert hatten, einen Austausch mit Steven Barnhart, der angeblich mehrere Mails eines Truecrypt-Entwicklers namens "David" erhalten hat. Demnach gebe es bei dem Entwicklerteam "kein Interesse" mehr an dem Projekt: "Nichts hält ewig." Der gegenwärtige Audit jedenfalls sei nicht der Auslöser gewesen, den habe man begrüßt.

Aus den kurzen Äußerungen zu dem E-Mail-Austausch geht noch hervor, dass die Truecrypt-Entwickler angeblich keinen Kontakt zu irgendeiner Regierungsbehörde hatten. Einzige Ausnahme sei eine Anfrage wegen eines "Support-Vertrags" gewesen. Das soll offensichtlich den Theorien widersprechen, dass hinter den Kulissen bei Truecrypt ähnliches abläuft, wie vergangenes Jahr bei Lavabit. In dem Fall dürften die Entwickler aber sowieso nicht darüber reden.

Außerdem habe sich der Entwickler noch zu einer möglichen Weiterentwicklung von Truecrypt unter anderer Lizenz geäußert. Demnach stehe er "persönlich" einem Fork kritisch gegenüber und hielte das für gefährlich, da nur das Team den Code wirklich kennen würden. Der sei aber als Referenz weiterhin verfügbar. Außerdem habe er sich überzeugt gezeigt, dass Bitlocker "gut genug" sei. Dass dieses Microsoft-Programm nur für Windows verfügbar sei, sei kein Problem, sei dieses Betriebssystem doch auch "das eigentliche Ziel des Projekts" gewesen.

Einige Fragen offen
Sollte dieser Dialog so stattgefunden haben, würde er sicher nicht alle Fragen zu dem plötzlichen und überraschenden Ende beantworten. Auch nicht zu der Art und Weise wie dies geschehen ist. Ein Hack der Seite und des Projekts kann damit auch weiterhin nicht völlig ausgeschlossen werden, könnte doch der E-Mail-Account ebenfalls kompromittiert sein. Wie problematisch es ist, dass die Entwickler von Truecrypt nicht oder offenbar nur mit Glück zu erreichen sind, hat unterdessen einer der Entwickler von Desinfec't 2014 im heise Forum erklärt.

Unterdessen hat sich das Audit-Projekt für Truecrypt geäußert und erklärt, man werde die Überprüfung des Quelltexts der Version 7.1. des Programms fortsetzen. Am Ende soll ein abschließender Bericht stehen. Außerdem werde man eine vollständige Prüfung von OpenSSL durchführen. Die Verschlüsselungssoftware war jüngst durch den gravierenden Heartbleed-Bug in den Fokus der Öffentlichkeit geraten.

Quelle: heise.de/security

 

[TheOnly1]

Man naiv gefragt: Ist eine Weiterentwicklung überhaupt zwingend notwendig?
Die Software (7.1a) funktioniert ja afaik unter allen aktuellen Betriebssystemen problemlos und an den eigentlichen Verschlüsselungsalgorithmen hat das TC-Team ja eh nicht gearbeitet.
Sollten keine relevanten Bugs/Schwachstellen auftauchen, kann die 7.1a doch einfach weiterverwendet werden, oder?

 

[gelöschter Benutzer]

Joah, man könnte vielleicht mal den Code aufräumen.

Aber gibt ja eh bessere Lösungen, wie Bitlocker. Ääääh LUKS/eCryptFS/encFS. Normalbenutzer brauchen eh keine Verschlüsselung, dann kann nämlich der PC-Otto um die Ecke keine Daten mehr retten, wenn man wieder 12.000 Viren installiert hat.

 

[Kugelfisch]

Sollten keine relevanten Bugs/Schwachstellen auftauchen, kann die 7.1a doch einfach weiterverwendet werden, oder?

Ja, allerdings ist bei solch sicherheitsrelevanter Software wichtig, dass auch zukünftig eine Website für das Projekt existiert, wo eventuelle Schwachstellen gemeldet werden können und dann zumindest veröffentlicht werden. http://truecrypt.ch/ ist dahingehend interessant. Wenn TrueCrypt jedoch auch zukünftig keinen Maintainer und keine zentrale Website erhält, würde ich es nicht mehr produktiv einsetzen wollen.

 

[mathmos]

Aber gibt ja eh bessere Lösungen, wie Bitlocker. Ääääh LUKS/eCryptFS/encFS.

EncFS hat aber leider die eine oder andere Schwachstelle.

https://defuse.ca/audits/encfs.htm

 

[accC]

Der/die TrueCrypt-Entwickler ist/sind doch nicht dumm. Man müsste doch wissen, dass BitLocker keine Alternative zu TrueCrypt war/ist/sein können wird.

Zum NSL, wenn das Projekt beendet wird, hätte man auch veröffentlichen können, dass man einen solchen erhalten hat. Soweit ich weiß ist es nur verboten darüber zu sprechen, solange man das Projekt fortführen möchte. Da das aber scheinbar nicht der Fall ist, müsste man darüber sprechen dürfen.

 

[FTtk]

Langsam kommt mir die Theorie, dass es nur 1 Entwickler war und der einfach keinen Bock mehr hat, am glaubwürdigsten vor.
Aber warum er das nicht einfach so sagt ist mir ein Rätsel...

 

[Pleitgengeier]

Völlig egal, dank des Audits gibt es bald ein Gutachten über die Sicherheit von 7.1a und es wurden schon größere Projekte geforkt.

 

[Asseon]

das Hauptproblem ist nicht die Größe sondern die Lizenz

 

[Pleitgengeier]

das Hauptproblem ist nicht die Größe sondern die Lizenz

Es gab noch nicht mal bei kommerzieller Abandonware je einen Prozess - und dabei geht es um Kopien.
Wie ähnlich muss der Fork dem Original sein um als Kopie zu gelten?
Mit welcher Begründung will man zB auf Schadensersatz klagen, wenn man das Projekt freiwillig eingestellt hat?

 

[thom53281]

Mit Abandonedware bist Du aber schon weit weg von der jetzigen Situation. Diese wird meist weiterverbreitet, ohne dass sie verändert und weiterentwickelt wird. Dass sich die rechtlichen Schwierigkeiten in Grenzen halten, liegt wohl vor allem daran, dass sich kaum mehr einer für diese Software interessiert, weil sie aus den Urzeiten der Computergeschichte stammt. Man könnte aber bestimmt dem einen oder anderen einen Strick drehen.

Bei Truecrypt handelt es sich einmal grundsätzlich um OpenSource-Software. Allerdings gilt hier nicht die GPL, sondern die Truecrypt License (welche man leider nun nicht mehr einsehen kann). Streng genommen ist Truecrypt daher nur Freeware, bei der der Quelltext einsehbar ist. Zudem stehen wohl einige Programmbestandteile unter abweichenden Lizenzen. Das ist eine sehr schlechte Basis, wenn man das Programm weiterführen und vor allem weiterentwickeln möchte. Dabei ist es auch vollkommen egal, wie ähnlich ein Fork dem Original ist, rechtlich gesehen darf man keine einzige Codezeile übernehmen solange die Lizenz nicht stimmt.

Man könnte natürlich die Software jetzt nehmen, Forken und "inoffiziell" weiterführen. Das müsste aber absolut anonym geschehen, da man sich rechtlich auf extrem dünnen Eis befindet. Die Chancen für eine richtig "offizielle" Weiterführung sind wohl eher gering. Ob man einem inoffiziellen Fork dann soweit vertrauen möchte, ist wiederum eine andere Frage.


Grüße
Thomas

 

[mathmos]

@thom53281:

TrueCrypt ist bei den meisten Distributionen vermutlich noch nicht aus den Paketquellen verschwunden. Von daher ist das Einsehen der TC-Lizenz nicht das Problem. Hier kann man sich die Lizenzdatei aus dem TC-Paket von Arch-Linux zu Gemüte führen.

Bleiben eigentlich "nur" die Teile mit der angeblich abweichenden Lizenz. Wobei ich mich da frage, wie das bisher in der TC-Lizenz nicht mal ansatzweise angesprochen wurde, wo doch diese Forks nicht ausschließt. Kommt mir eher so vor, wie wenn der/die Entwickler Nebelkerzen werfen um jetzt einen Fork zu verhindern. Aber das nur als Bauchgefühl.

 

[thom53281]

Da ich das hier bei Debian sowieso nie über die Paketverwaltung hätte installieren können, hatte ich die Repositories anderer Distributionen gar nicht auf dem Schirm. Letztendlich wird auf die Fremdlizenzen auch in der Truecrypt-Lizenz hingewiesen:

Third-Party Licenses

This Product contains components that were created by third parties and that are governed by third-party licenses, which are contained hereinafter (separated by lines consisting of underscores).

Nach dem Überfliegen der Lizenz sieht es aber gar nicht so schlimm aus, wie ich anfangs dachte. Da ich die Truecrypt-Lizenz nicht zur Hand hatte, bezog ich mich vor allem auf Wikipedia.

Die Lizenz-Version 3.0 erlaubt nur eine Weitergabe in unveränderter Form für das komplette Programm. Allerdings kann man Teile der Software bzw. des Quellcodes verwenden und in eigenen Projekten benutzen, wenn Lizenz und Urheber im Programm bzw. Projekt angegeben werden und das eigene Projekt keinen ähnlich klingenden Namen trägt.

Das Programm -so wie es ist- kann man aber wohl nicht "einfach so" nehmen und unter einem anderen Namen wieder auf den Markt bringen. Ich vermute, dass hier doch einige Arbeit notwendig wäre, damit das auch "offiziell" funktionieren könnte. "Inoffiziell" ist natürlich viel möglich.


Grüße
Thomas

 

[Cyperfriend]

Was die Lizenz angeht: Wenn der / die Entwickler diese ggf. vor Gericht durchsetzen wollten müsste er / sie sich offenbaren und wäre bekannt. Das aber ist offenbar gerade nicht gewollt.

 

[bevoller]

Google Webcache sieht auch so aus!
Riecht nach einer Regierungsbehörde, oder?

Und was soll daran jetzt ungewöhnlich sein? Ein Screenshot wäre vielleicht besser gewesen.

 

[thom53281]

@ Cyperfriend
Der Truecrypt-Entwickler himself ist unbekannt, ja. Nicht aber die restlichen Entwickler der Programmteile, die bei Truecrypt verwendet werden.


Grüße
Thomas

 

[Trolling Stone]

Scheint wohl ein "Umzug" in die Schweiz stattzufinden.

http://www.pro-linux.de/news/1/21144/truecrypt-findet-neue-heimat-in-der-schweiz.html