Warum Truecrypt vermutlich doch sicher ist

Truecrypt Logo

Eine neue Veröffentlichung weiterer Snowden-Dokumente durch den Spiegel wirft ein neues Licht auf die Truecrypt-Affäre. Die Dokumente zeigen, dass die Festplattenverschlüsselungssoftware den Geheimdiensten ein ziemlicher Dorn im Auge war – und vermutlich noch immer ist. Diese Entwicklung könnte Verschwörungstheorien, die vermutet hatten, dass die Truecrypt-Entwickler durch Geheimdienste bedroht oder bestochen wurden, neuen Aufwind verleihen. Wir wollen die Geschichte von Truecrypt unter Einbeziehung der aktuellen Ereignisse nochmals unter die Lupe nehmen.

Das mysteriöse Verschwinden von Truecrypt

Screenshot der Truecrypt Webseite
Screenshot der Truecrypt Webseite (stand 11.01.2015)

Im Mai 2014 verschwand die Webseite des wohl populärsten open source Verschlüsselungsprogramms mit einer merkwürdigen Botschaft: „Warnung: Truecrypt ist nicht mehr sicher“. Eine kurze Anleitung für die Migration zum Microsoft Konkurrenzprogramm Bitlocker wurde ebenfalls hinzugefügt. Nach diesem Vorfall schienen die Entwickler des Projekts wie vom Erdboden verschwunden.

Dieser Vorfall führte innerhalb der Netzgemeinschaft zu einer Vielzahl von Verschwörungstheorien: Hatten die Entwickler tatsächlich eine kritische Sicherheitslücke in ihrem Programm gefunden und wollten ihre Nutzer warnen? Wurden sie eventuell von Geheimdiensten dazu gezwungen, das Projekt zu beenden oder war die Software zu einem früheren Zeitpunkt bereits von Gehimdiensten manipuliert worden?

Matthew Green
Matthew Green (Quelle: isi.jhu.edu)

Der Zeitpunkt des Verschwindens von Truecrypt hatte ebenfalls Spekulationen ausgelöst: 2013 sammelte der renommierte IT-Sicherheitsexperte Matthew Green Geld für eine unabhängige Untersuchung des Truecrypt-Quellcodes im Rahmen eines Security-Audits. Im April 2014, einem Monat vor dem Shutdown der Truecrypt-Webseite, wurde der erste Teil des Audits veröffentlicht. Resultat: Bis dato keine kritischen Sicherheitslücken. Hatten Geheimdienste etwa Angst, dass der zweite Teil des Audits der Öffentlichkeit ein ähnliches Ergebnis präsentieren und Truecrypt zum sichersten Programm seiner Art deklarieren könnte?

Was die neuen NSA/GCHQ-Dokumente enthüllen

Entgegen vieler Vermutungen könnte Truecrypt (zumindest in der Version 7.1a) durchaus sicher sein. Wie die neuen Dokumente des Spiegels zeigen, stuft die NSA Truecrypt als "Major Risk" für die Geheimdienstarbeit ein (Seite 20). Man sollte an dieser Stelle auch beachten, dass die Verschlüsselungssoftware Bitlocker in diesem Zusammenhang nicht genannt wird. Diese neuen Enthüllungen werden viele Truecrypt-Fans in ihren Vermutungen über einen Geheimdienst-Komplott weiter bestätigen, nach denen die Entwickler von Geheimdiensten dazu gebracht wurden, ihre Arbeit an Truecrypt einzustellen. Nach dem Ende der Software bieten viele große Nachrichtendienste, darunter auch der Heise-Verlag, die als sicher geltende Version Truecrypt 7.1a als Mirror-Download an.

Sollte man Truecrypt-Klonen wie Veracrypt trauen?

Nach dem Ende von Truecrypt drängten einige neue OpenSource-Projekte auf den Markt, die auf dem Truecrypt source code aufbauen. Der momentan populärste Abkömmling Veracrypt verspricht seinen Anwendern nach Angaben der Entwickler eine noch höhere Sicherheit als Truecrypt.

Die Vermutung liegt nahe, dass Geheimdienste nach dem Ende von Truecrypt versuchen könnten, Anwender mit neuer, kompromittierter Software zur Festplattenverschlüsselung auszustatten. Besonders kritische Anwender werden in einem closed source Produkt wie Microsofts Bitlocker keine Alternative sehen und neue, quelloffene Lösungen anstreben.

Unserer Meinung nach ist das Hauptproblem bei Veracrypt nicht die Qualität des Codes, sondern das Vertrauen in die Personen hinter dem Projekt. 

Ist Truecrypt immer noch sicher?

Wie das Security-Audit von Matthew Green zeigt, ist die Prüfung komplexer Verschlüsselungssoftware ein langwieriges und schwieriges Unterfangen, das nur echte Experten in diesem Bereich beherrschen. Wir als Anwender müssen uns auf die Aussagen solcher Experten verlassen und - noch wichtiger - den Personen hinter diesen Aussagen restlos Vertrauen können. Im Falle von Matthew Green kann das Vertrauen als sehr hoch eingestuft werden. Green hatte sich mit seinem Post On The NSA bereits in der Vergangenheit mit den Versuchen der Geheimdienste, Verschlüsselungen zu schwächen, beschäftigt und damit auch einigen Ärger auf sich gezogen.

Es bleibt abzuwarten, was der zweite Teil des Truecrypt Security-Audits enthüllen wird. Unter den aktuellen Umständen würde es aber nicht verwundern, wenn auch dieses Truecrypt eine hohe Sicherheit attestiert.

Update (2.4.2015)

Im März 2015 gab das Open Crypto Audit Project seine finalen Ergebnisse bekannt – Fazit: Keine größeren Probleme! Green kommentierte die abschließende Analyse u.A. mit folgendem Satz: „Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software„ (Quelle)