Nach über einem Jahrzehnt haben die bislang immer anonym gebliebenen Verschlüsselungsexperten das Projekt TrueCrypt eingestellt. Seit gestern wird die offizielle Webseite auf sourceforge.net umgeleitet, wo eine Warnung vor dem Tool zu lesen ist und eine Anleitung veröffentlicht wurde, wie man von TrueCrypt auf Microsofts BitLocker umsteigen kann.
TrueCrypt.org gehackt oder geschlossen?
Derzeit ist aber noch überhaupt nicht klar, was da genau geschehen ist. Denn nachdem zunächst vermutet wurde, dass www.truecrypt.org gehackt wurde, fanden sich bislang noch keine Beweise für einen Angriff. Bereits seit der Umleitung der Warnung gestern Abend beschäftigen sich nun sowohl einige involvierte Entwickler, die den letzten Security-Audit mit begleitet hatten, wie auch die riesige TrueCrypt-Fan- und Nutzergemeinde mit dem plötzlichen Aus.
Die veröffentlichte Warnung
Besucht man derzeit www.truecrypt.org geht die Weiterleitung auf truecrypt.sourceforge.net. Dort wurde eine Warnung veröffentlicht:
"WARNUNG: Die Nutzung von TrueCrypt ist nicht sicher, da nicht behobene Sicherheitslücken vorhanden sein können. Diese Seite existiert nur, um bei der Migration von mit TrueCrypt verschlüsselten Daten zu helfen. Die Entwicklung von TrueCrypt wurde 05/2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." (Übersetzung)
Anschließend folgt ein Verweis auf das Verschlüsselungstool BitLocker von Microsoft, mit dem Nutzer nun stattdessen Vorlieb nehmen sollten, sowie eine Kurzanleitung zur Migration.
Das Ganze macht einen so konfusen und unglaubwürdigen Eindruck, dass bereits einige Gerüchte in der Welt sind, die diesen Schritt zu erklären versuchen. Da aber die Hintermänner von TrueCrypt seit Beginn nicht in die Öffentlichkeit traten, wird es vorerst sehr wahrscheinlich keine bessere Erklärung geben, als die die jetzt veröffentlicht wurde.
Bei Twitter gab es innerhalb kurzer Zeit eine ganze Welle von Tweets, die sich mit diesem Aus des Verschlüsselungsprogramms beschäftigen. Unter anderem wurde über den Kurznachrichtendienst die Verbindung zu dem Aus von Lavabit hergestellt. Bei dem stillgelegten E-Mail-Dienstes Lavabit hatte der Macher im vergangenen Jahr durch die Einstellung seines Dienstes die Daten seiner Nutzer geschützt. Vieles deutete damals daraufhin, dass die NSA oder weitere Behörden ihn per Strafbefehl zur Kooperation zwingen wollten. Ob nun tatsächlich bei TrueCrypt etwas ähnliches in Gang gesetzt wurde ist nicht bekannt, und wird aufgrund der Sache der Natur auch nicht so einfach bekannt werden können. Denn bei solchen Behördenanfragen wird per "National Security Letter" Geheimhaltung erzwungen.
Aktuell kann man nur abwarten. Von einer Neuinstallation des Tools sollte abgeraten werden, falls es tatsächlich Sicherheitslücken gibt oder falls die US-Behörden den Zugriff auf die Schlüssel vor Gericht erzwingen wollen.
Quelle: winfuture
TrueCrypt.org gehackt oder geschlossen?
Derzeit ist aber noch überhaupt nicht klar, was da genau geschehen ist. Denn nachdem zunächst vermutet wurde, dass www.truecrypt.org gehackt wurde, fanden sich bislang noch keine Beweise für einen Angriff. Bereits seit der Umleitung der Warnung gestern Abend beschäftigen sich nun sowohl einige involvierte Entwickler, die den letzten Security-Audit mit begleitet hatten, wie auch die riesige TrueCrypt-Fan- und Nutzergemeinde mit dem plötzlichen Aus.
Die veröffentlichte Warnung
Besucht man derzeit www.truecrypt.org geht die Weiterleitung auf truecrypt.sourceforge.net. Dort wurde eine Warnung veröffentlicht:
"WARNUNG: Die Nutzung von TrueCrypt ist nicht sicher, da nicht behobene Sicherheitslücken vorhanden sein können. Diese Seite existiert nur, um bei der Migration von mit TrueCrypt verschlüsselten Daten zu helfen. Die Entwicklung von TrueCrypt wurde 05/2014 beendet, nachdem Microsoft den Support für Windows XP eingestellt hat." (Übersetzung)
Anschließend folgt ein Verweis auf das Verschlüsselungstool BitLocker von Microsoft, mit dem Nutzer nun stattdessen Vorlieb nehmen sollten, sowie eine Kurzanleitung zur Migration.
Das Ganze macht einen so konfusen und unglaubwürdigen Eindruck, dass bereits einige Gerüchte in der Welt sind, die diesen Schritt zu erklären versuchen. Da aber die Hintermänner von TrueCrypt seit Beginn nicht in die Öffentlichkeit traten, wird es vorerst sehr wahrscheinlich keine bessere Erklärung geben, als die die jetzt veröffentlicht wurde.
Bei Twitter gab es innerhalb kurzer Zeit eine ganze Welle von Tweets, die sich mit diesem Aus des Verschlüsselungsprogramms beschäftigen. Unter anderem wurde über den Kurznachrichtendienst die Verbindung zu dem Aus von Lavabit hergestellt. Bei dem stillgelegten E-Mail-Dienstes Lavabit hatte der Macher im vergangenen Jahr durch die Einstellung seines Dienstes die Daten seiner Nutzer geschützt. Vieles deutete damals daraufhin, dass die NSA oder weitere Behörden ihn per Strafbefehl zur Kooperation zwingen wollten. Ob nun tatsächlich bei TrueCrypt etwas ähnliches in Gang gesetzt wurde ist nicht bekannt, und wird aufgrund der Sache der Natur auch nicht so einfach bekannt werden können. Denn bei solchen Behördenanfragen wird per "National Security Letter" Geheimhaltung erzwungen.
Aktuell kann man nur abwarten. Von einer Neuinstallation des Tools sollte abgeraten werden, falls es tatsächlich Sicherheitslücken gibt oder falls die US-Behörden den Zugriff auf die Schlüssel vor Gericht erzwingen wollen.
Quelle: winfuture
