Die Entwickler des Open-Source-Verschlüsselungsprogramms TrueCrypt warnen scheinbar vor ihrer eigenen Software. Ist es eine Falschmeldung? Seit gestern herrscht große Verwirrung.

Auf der Web-Seite der Open-Source-Software TrueCrypt liest man momentan (2014-05-29, 12:30 Uhr) folgendes:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Offenbar seit gestern wird diese Mitteilung dargestellt. Darunter findet sich eine Anleitung zur Migration von TrueCrypt auf die Microsoft-Konkurrenz BitLocker.

Nun fragen sich alle: Was hat das zu bedeuten?

Bisher gibt es anscheinend keine zusätzlichen Informationen aus dem TrueCrypt-Umfeld. Es ist nicht bekannt, von welchen “unfixed security issues” TrueCrypt betroffen sein soll. Klar ist immerhin: TrueCrypt galt bisher als kostenlose, einfache und sehr sichere Lösung zum Verschlüsseln von Computer-Daten.

TrueCrypt

Auf Klausis Krypto Kolumne habe ich bereits darüber berichtet, dass TrueCrypt auch bei Kriminellen beliebt ist und von der Polizei offensichtlich nicht geknackt werden kann (siehe hier und hier). Ich habe sogar entsprechende Fälle gesammelt und auf einer Seite zusammengefasst (diese Fälle betreffen jedoch nicht nur TrueCrypt). Auch der berühmte Maskenmann könnte TrueCrypt verwendet haben (die Polizei hat nicht verraten, welches Produkt es war).

Banner-Kryptografie

Was also steckt hinter der TrueCrypt-Warnung? Im Netz werden momentan folgende Erklärungen angeboten:

  • Die Meldung ist echt. Das halte ich für unwahrscheinlich. Ich kann mir kaum vorstellen, dass man im TrueCrypt-Lager auf BitLocker verweisen würde. Außerdem würde ich im Falle einer Sicherheitslücke eine deutlich aussagekräftigere Meldung erwarten.
  • Die Web-Seite von TrueCrypt wurde gehackt. Bisher hat dies jedoch noch niemand aus dem TrueCrypt-Umfeld bestätigt.
  • Die TrueCrypt-Macher wurden von offizieller Stelle gezwungen, diese Meldung zur veröffentlichen. Der E-Mail-Plattform Lavabit erging es bekanntlich ähnlich. Aber hat hier wirklich eine Behörde das TrueCrypt-Team gezwungen, eine Falschmeldung zu verbreiten, die innerhalb von Tagen als solche bekannt werden würde. So dämlich kann eigentlich keiner sein.
  • Es handelt sich um eine PR-Aktion: Die Macher einer Sicherheits-Software machen Werbung mit einer angeblichen Sicherheitslücke? Das wäre zumindest ein sehr riskantes Manöver. Fragwürdig wäre es obendrein, denn TrueCrypt wird auch von Menschen verwendet, deren Leben und Freiheit daran hängt (z. B. Oppositionsgruppen in totalitären Staaten).

Am Ende erscheint mir die gehackte Web-Seite am wahrscheinlichsten. Ich bin gespannt, was hinter dieser mysteriöse Affäre steckt.

Kommentare (27)

  1. #2 Pnugi
    München
    29. Mai 2014

    Könnte es eine Kombinantion aus 1) und 3) sein?
    Vielleicht hat die NSA TrueCrypt gezwungen, eine Hintertür einzubauen und aus Protest hat TrueCrypt dazu aufgerufen, das Produkt nicht mehr zu verwenden.

    • #3 Klaus Schmeh
      29. Mai 2014

      Möglich, aber warum verweisen die dann ausgerechnet auf BitLocker? Ein Verweis auf eine andere Open-Source-Software (z. B. CrossCrypt) wäre viel wahrscheinlicher.

  2. #4 hugo
    29. Mai 2014

    Gegen einen Hack der Website spricht, dass die neue TrueCrypt-Version 7.2 (die dieselbe seltsame Nachricht anzeigt) mit dem bekannten TrueCrypt PGP-Key signiert wurde. Den Key zu übernehmen ist eine deutlich größere Sache als ein relativ einfacher Hack der Website.

  3. #5 sven
    29. Mai 2014

    Man sollte vielleicht dazu sagen, dass TrueCrypt nicht wirklich Open Source oder gar Freie Software ist (oder muss man inzwischen sagen “war”?). Siehe http://en.wikipedia.org/wiki/TrueCrypt#License_and_Open_Source_status und von dort verlinkte Seiten.

    • #6 Klaus Schmeh
      29. Mai 2014

      Das ist richtig, TrueCrypt hat einen eigenen Lizenztyp. Meines Wissens kann man es aber problemlos herunterladen und nutzen.

  4. #7 Pnugi
    München
    29. Mai 2014

    > Möglich, aber warum verweisen die dann ausgerechnet
    > auf BitLocker? Ein Verweis auf eine andere Open-
    > Source-Software (z. B. CrossCrypt) wäre viel
    > wahrscheinlicher.
    Vielleicht ist Crosscrypt von der gleichen Maßnahme der Behördne betroffen.

  5. #8 sven
    29. Mai 2014

    @Klaus Schmeh:
    Bei echter Open Source Software gäbe es keine rechtlichen Hürden für ein neues Team, die Entwicklung unter einem anderen Namen fortzusetzen. Die seltsame TrueCrypt-Lizenz macht einen solchen Fork aber sehr schwierig. Deshalb ist hier der Unterschied zwischen echter Open Source und Software mit veröffentlichtem Quellcode schon wichtig.

  6. #9 aa
    29. Mai 2014

    Ich denke, (a) einer oder mehrere Devs sind frustriert wegen ausbleibender Unterstützung aka Spenden und haben deswegen diese Aktion gestartet, oder (b) der Account eines Devs wurde gehackt, und jemand ist so an die Passwörter gekommen und macht auf diese Weise die “Lücke” publik

    (a) wäre zwar fragwürdig, wie im Artikel geschrieben, aber auf jedenfall werbewirksam.

    Schon interessant, dass die Sachen auch bei web archive gesperrt sind. Dafür werden die alten Versionen gerade massiv gespiegelt.

  7. #10 DasKleineTeilchen
    29. Mai 2014

    “…eine Behörde das TrueCrypt-Team gezwungen, eine Falschmeldung zu verbreiten…So dämlich kann eigentlich keiner sein.”

    wer? die etwaige behörde? seit wann zeichnen sich behörden generell durch besonders intelligente vorgehensweise aus? zur verbreitung der falschmeldung wurden sie ja nicht *direkt* gezwungen, sondern durch den umstand einer behördlichen “anordnung” oder whatever;

    der explizite verweis auf bitlocker ist vielmehr der eindeutige hinweis auf die gründe der “schliessung”, nämlich behörde, ob jetzt durch eine verdeckt eingeschleuste backdoor in den quellcode (“…is not secure (anymore)…) oder durch “anordnung” ist erstmal egal.

    • #11 Klaus Schmeh
      29. Mai 2014

      Stimmt, so könnte es gewesen sein. Demnach wäre das Ganze keine Falschmeldung, sondern ein Verweis auf eine tatsächlich vorhandene Lücke, die irgendeine Behörde erzwungen hat.

  8. #12 hugo
    29. Mai 2014

    @aa:
    Wie ich oben schon schrieb, reicht ein Hack der Website oder eines Entwickler-Accounts nicht aus, da der Verursacher offensichtlich auch über den privaten PGP-Schlüssel verfügt. Und hätten die TrueCrypt-Entwickler den so gespeichert, dass man an ihn mit dem “einfachen” Übernehmen eines Accounts gelangen konnte, wäre das grob fahrlässig gewesen. Deshalb halte ich einen Hack für sehr unwahrscheinlich.

    Dagegen spricht auch, dass sich das TrueCrypt-Team bisher noch nicht gemeldet hat.

  9. #13 Tobi
    30. Mai 2014

    – Der google-cache wurde bereinigt
    https://web.archive.org/web/http://www.truecrypt.org/ => auch hier scheinen Probleme aufgetreten zu sein.

    Vermutlich ist truecrypt tatsächlich sicher (bei sicherer Handhabung offline usw.) und wurde seitens einer Behörde gesperrt.

    • #14 Klaus Schmeh
      30. Mai 2014

      Das heißt, eine gehackte Web-Seite kann man so langsam ausschließen. Weiß jemand, wie man Google zum Bereinigen des Caches und das Internet Archive zum Löschen der Daten veranlasst? Kann das der Seitenbetreiber tun? Oder die NSA?

  10. #15 Chemiker
    30. Mai 2014

    WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

    Bin ich der einzige, dem hier etwas auffällt?

    Der Verweis auf BitLocker ist absurd. Ich glaube aber nicht, daß TrueCrypt eine Hinter­tür enthält, eher, daß die Ent­wickler dicht­gemacht haben, ehe sie zum Einbau einer solchen gezwungen werden konnten. Das wäre parallel zum Lavabit-Skandal.

    Und da sie nicht sagen dürfen, was passiert ist, sagen sie es eben durch die Blume.

    Schade, daß der NSA-Skandal auf Science­blogs nieman­dem einen aus­führ­lichen Kommentar wert zu sein scheint. Genug Sach­verstand vom techni­schen und völker­rechtlichen Stand­punkt wäre ja vorhanden.

    • #16 Klaus Schmeh
      30. Mai 2014

      Das ist sicherlich alles denkbar, aber eben nicht sicher.

  11. #17 DasKleineTeilchen
    30. Mai 2014

    aha. angeblich war der grund verlorenes interesse:

    http://www.heise.de/newsticker/meldung/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228.html

    wenn das wirklich von einem der enwickler kommt, halte ich das trotzdem für ne nebelkerze; warum dann nicht genau *das* auf die website schreiben, sondern was von “unsicher” faseln & zusätzlich eine endfassung anbieten, die nur mehr entschlüsselt?! this is so smelly.

  12. #18 Chemiker
    30. Mai 2014

    @KS

    Klar ist das alles Spekulation, aber ich finde die drei Buch­staben im ge­quote­ten Text schon sehr aussagekräftig.

    Es bleibt natürlich auch die Alter­native, daß die Ent­wickler keine Lust mehr haben, ent­weder aus Zeit­mangel oder auch, weil der Code zu brüchig ge­wor­den ist. Viel­leicht wollten sie sich mit einem Knall­effekt ver­abschie­den und eine Staub­wolke von Legenden zurück­lassen.

    • #19 Klaus Schmeh
      30. Mai 2014

      Oh, das mit den drei markierten Buchstaben habe ich übersehen. NSA ist natürlich verdüchtig, zumal der Satz nach meinem Dafürhalten etwas holprig klingt.

  13. #20 Frank Schildheuer
    30. Mai 2014

    Mittlerweile ist eine simple, einleuchtende Erklärung online. Mit dem Ende von XP hat man das Interesse verloren, weil ab Vista beteits eine Verschlüsselung in awindows integriert ist. Ende der Spekulation.

    • #21 Klaus Schmeh
      30. Mai 2014

      Ist diese Erklärung bestätigt? Ich dachte, dass viele Nutzer Microsoft nicht vertrauen und deshalb lieber TrueCrypt einsetzen. Außerdem ist Bitlocker nur in einigen Business-Versionen von Windows enthalten (kann aber natürlich nachgerüstet werden).

  14. #22 Chemiker
    30. Mai 2014

    @KS

    Genau die Holprigkeit mit dem as hat mich dazu ge­bracht, genauer hin­zuse­hen (ich hatte zu­nächst einen Ver­gleich er­war­tet). Ich inter­pretiere das als einen sehr bewußt ge­pflanz­ten Hin­weis (was aber nicht aus­schließt, daß der Hin­weis als red herring dienen soll).

    Aber vielleicht lese ich ja auch zuviel Dan Brown. Digital Fortress war übrigens ein Alp­traum, mit Plot­löchern so groß, daß die Giralda von Sevilla kreuz und quer hinein­passen würde.

    @Frank Schildheuer

    Ich kann mir nicht vorstellen, daß sicherheit­s­bewußte Leute, also die An­wender von TrueCrypt, mit BitLocker glücklich werden. Und noch weniger glaube ich, daß die Autoren von TrueCrypt das an­neh­men. Am aller­unglaublich­sten erscheint es mir aber, daß das TrueCrypt-Team erwartet, diese Erklärung werde von irgend­wem geglaubt.

    Irgendwo habe ich einmal die Anekdote gelesen, daß US-Piloten, die in nord­việtnamesi­sche Gefangen­schaft ge­rieten, im Fernsehen vor­geführt wurden; dabei mußten sie ihre Einsätze öffent­lich bedauern und er­klären, daß sie lieber Kom­munisten als Amerikaner wären. Einer kam dabei auf den Gedanken, während seiner Aussage mit den Augen­lidern zu zwinkern. Es waren Morse­signale T-O-R-T-U-R-E.

    • #23 Klaus Schmeh
      30. Mai 2014

      >Einer kam dabei auf den Gedanken, während seiner Aussage mit
      >den Augen­lidern zu zwinkern. Es waren Morse­signale T-O-R-T-U-R-E.
      Stimmt, diese Geschichte steht in meinem Buch “Versteckte Botschaften”.

  15. #24 Wikka
    Templin
    2. Juni 2014

    Etwas mehr Verschwörungstheorie aber in dem Zusammenhang passt es zum Thema Zitat: “Laut Quellen aus der NSA gibt es noch einige wenige Tools um Daten zu verschlüsseln und Informationen zu schützen. Wenn es den Mitgliedern der Bilderberg – Gruppe gelingt ihren Plan umzusetzen gehört die Privatsphäre schon bald der Vergangenheit an.” von http://epochtimes.de/Bilderberg-Treffen-2014-Gehoert-der-Datenschutz-bald-der-Vergangenheit-an-a1156696z.html

  16. #25 Dave
    4. Juni 2014

    Habe in einem Forum diesen Eintrag gefunden.
    Dachte mir ich Poste das mal hier rein.

    Dass die Anfangsbuchstaben der Warnung “Using TrueCrypt is not secure as it may contain unfixed security issues” (uti nsa im cu si) übersetzt von Latein auf Englisch “If I wish to use the NSA…” heißt, ist sicherlich auch nur Zufall

  17. #26 Wikka
    Templin
    5. Juni 2014

    Diese Deutung aus einem anderem Forum ist auch nicht schlecht 😉

    >> R1D1 Blödsinn. Das sind, wie ich weiter unten schon schrieb, recht
    gebräuchliche englische Abkürzungen. Ich kopiere mal:

    “uti” ist eine Abk. für “under the influence”, allgemein
    juristisch und auch z.B. wenn man im Suff Blödsinn macht.

    Dann hätte wir also (U)sing (T)rueCrypt (I)s (N)ot (S)ecure (A)s:
    Unter Einflussnhame der NSA.

    Und weiter: (I)t (M)ay (C)ontain: (I) (M)ust (C)oncede
    Und: (U)nfixed (S)ecurity (I)ssues: Glasklar (U)nited (S)tates
    (I)ntelligence

    Gesamt: Unter dem Einfluß der NSA muss ich mich den US-Geheimdiesnten
    geschlagen geben.
    Noch Fragen, ernsthaft?

  18. #27 Tobias Claren
    25. Februar 2016

    Hier wurde nie die Möglichkeit eines “National Security Letter” erwähnt.
    Wenn die so einen bekommen haben, dürfen die nicht mal erwähnen einen Solchen bekommen zu haben.

    Es heisst auch “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues” bzw. die Reihenfolge “not secure as” (“NSA”) wäre eine im englischen unübliche Formulierung.