Wie man bereits auf heise.de nachlesen konnte, hat es beim Open-Source-Projekt Truecrypt, welches ich für die Verschlüsselung von Dateicontainern verwende, ernste Veränderungen gegeben. In diesem Artikel schreibe ich, meinen Umgang damit.
Entwickler empfehlen Umstieg auf Bitlocker
Wenn man aktuell die Domain truecrypt.com ansurft, landet man auf truecrypt.sourceforge.net. Dort kann man lesen, dass die Entwickler den Umstieg auf BitLocker von Microsoft empfehlen. Es wird sogar eine Anleitung zum Umstieg gegeben. Die aktuelle Version von Truecrypt, TrueCrypt 7.2, eignet sich nur noch zum Entschlüsseln von Containern bzw. Festplatten, die mit einer älternen Version von Truecrypt verschlüsselt wurden. Laut heise.de haben die Entwickler kein Interesse mehr an der Weiterentwicklung. Einem Fork, der aktuell von der Open-Source-Community verfolgt wird, stehen die Entwickler kritisch gegenüber, da nur sie den Code genau kennen würden.
Ich bin jedoch eher der Meinung, dass die Entwickler von der NSA aufgespürt wurden (für sie ist ja Privatsphäre sehr wichtig) und diese einen national security letter (NSL) unterschreiben mussten. Diese Theorie unterstützt auch Fefe:
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Dieser Satz steht ganz oben auf der neuen Seite von Truecrypt truecrypt.sourceforge.net. Ob dies wahr ist oder nicht, wird man sicher noch sehen. Es ist auf jeden Fall klar, das Truecrypt der NSA schon lange ein Dorn im Auge war.
Ergebnis der Quellcodeüberprüfung
Das von unabhängiger Stello durchgeführte Code-Review hat Keine Backdoor, jedoch laxe Programmierstandards zu Tage gefördert. Lediglich ein paar Bugs sind laut heise.de gefunden worden. Die Nutzung der letzten vollwertigen Version von Truecrypt ist daher meiner Ansicht unbedenklich nutzbar.
Wie geht es weiter?
Wie schon Herr Schmidt von heise.de empfiehlt: abwarten und Tee trinken…
Bis durch das Codereview keine gravierenden Sicherheitslücken aufgedeckt wurden, werde ich die letzte gültige Version von Truecrypt nutzen. Diese kann man von
herunterladen. Die Version 7.2 würde ich aufgrund des Postings von Fefe nicht installieren. Auch einem Umstieg auf Bitlocker stehe ich kritisch gegenüber, da Microsoft leider auch als amerikanisches Unternehmen mit der NSA „zusammenarbeit“.