Nächster Paukenschlag: Die Open Source-Verschlüsselungssoftware TrueCrypt soll angeblich unsicher sein und vor der Verwendung wird offiziell auf der TrueCrypt-SourceForge-Seite gewarnt – so die knappe Botschaft für heute. Die Langfassung findet sich nachfolgend.
Anzeige
TrueCrypt ist ja eine Verschlüsselungslösung, die als Open Source-Lösung kostenlos unter truecrypt.sourceforge.net für verschiedene Betriebssysteme verfügbar ist. Und TrueCrypt ist vor allem für Privatanwender mit Windows interessant, da in diesem Bereich die Home-Versionen von Windows verwendet werden. Windows 7 Home Edition, Windows 8/8.1 Core unterstützen aber weder die EFS- noch die Bitlocker-Verschlüsselung. Also wurde TrueCrypt verwendet, um entweder eine ganze Partition zu verschlüsseln. Oder man setzte einen verschlüsselten Dateicontainer auf, der dann als verschlüsseltes Laufwerk fungiert. Was es bei Windows-Upgrades ggf. zu beachten gab, hatte ich z.B. im Beitrag Windows 8.1-Upgrade: Vorsicht bei TrueCrypt beschrieben.
So weit so gut. Angesichts der Spionage durch NSA und Co. stellte sich die Frage, wie sicher TrueCrypt-verschlüsselte Datenträger bzw. die Software ist. Das Projekt setzte daher einen Crowdfunding-Aufruf auf, um finanzielle Mittel für einen TrueCrypt-Sicherheitsaudit zu erhalten. Im Artikel TrueCrypt: Erst-iSEC-Audit abgeschlossen–ist aktuell sicher berichtete ich über erste Ergebnisse dieses Audits. Tenor: Gibt zwar einige kleine Mängel, aber TrueCrypt ist sicher.
Daher hat mich heute der Schlag getroffen, als ich auf der Webseite truecrypt.sourceforge.net eine dicke Warnung fand, dass TrueCrypt unsicher sei und vor einem weiteren Einsatz gewarnt wird. Es wird empfohlen, auf Bitlocker umzustellen (der Witz ist gut, die TrueCrypt-Nutzer können ja meist nicht auf Bitlocker umsteigen).
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
In dürren Worten: Die Entwicklung wurde im Mai 2014 eingestellt, weil Windows XP durch Microsoft nicht mehr supported wird.
Laut fefe wird seit einigen Stunden die TrueCrypt-Seite auf SourceForge umgeleitet (ich habe keine Erinnerung mehr, wie die TrueCrypt-Seite aussah). Könnte natürlich noch ein Fake sein, und die TrueCrypt-Webseite ist kompromittiert – diese Webseite macht sich einige Gedanken dazu. Dort führt man aus: die letzte nutzbare Version trägt die Versionsnummer 7.1a – die angebliche Version 7.2 sei ein Hoax. Dazu passt die Info hier, das in der Benutzer offenbar aufgefordert werden, das SourceForge Kennwort zu ändern. Das SourceForge-Team versichert, dass es keine Anzeichen gebe, dass die TrueCrypt-Seite kompromittiert sei. Das führt in diesem Fall aber nicht weiter – wenn ein Redirect der ursprünglichen TrueCrypt-Seite auf SourceForge erfolgt.
Ars Technica hat in diesem Artikel einige Informationen recherchiert und stuft die Meldung auf TrueCrypt.org als authentisch ein. Die neue TrueCrypt 7.2 sei mit dem offiziellen privaten TrueCrypt-Schlüssel signiert. Diese Version gibt aber den Hinweis, dass TrueCrypt unsicher sei und lässt auch keine neuen TrueCrypt-Volumes mehr anlegen. Also: Irgend etwas läuft da ab. Auch bei Twitter geht momentan die Post ab. Ich denke, man muss abwarten, ob sich eine Klärung ergibt.
Ähnliche Artikel:
a1: Windows 8.1-Upgrade: Vorsicht bei TrueCrypt
a2: Crowdfunding ermöglicht TrueCrypt Sicherheitsaudit
a3: WINDOWS 8.1 und TrueCrypt
a4: TrueCrypt: Erst-iSEC-Audit abgeschlossen–ist aktuell sicher
Anzeige
2015
Nachtrag: Bei heise.de findet sich dieser Artikel mit einige zusätzliche Informationen bzw. Annahmen.