Truecrypt unsicher?
Seit gestern abend gibt es den Hinweis auf der Truecrypt-Site, dass das Programm unsicher sei. Man wird auf eine Seite bei Sourceforge umgeleitet. Dort wird einem erklärt, wie man Bitlocker installiert/aktiviert (was unter Linux nicht möglich ist). Und ganz am Ende der Seite gibt es eine neuere Version von Truecrypt zum Download. Diese Version enthält dann Einschränkungen - unter anderem lassen sich keine neuen Truecrypt-Container auf dem Datenträger anlegen.
Das Ganze klingt sehr dubios. Vermutungen werden vielfach geäußert, dass es sich wohl um einen Fake handelt oder die Site von Truecrypt gehackt wurde (sogenanntes Defacing).
Matthew Green, einer der mit dem Audit befaßten Personen, weist darauf hin, dass deren Audit keine Sicherheitslücke gezeigt hätte. Stufe 2 des Audits von Truecrypt sollte als nächstes durchgeführt werden.
Ich für meinen Teil gehe davon aus, dass mindestens einer der bisher geheimen Entwickler von Truecrypt enttarnt wurde. Und ihm ein sogenannter National Security Letter zugegangen ist (wie damals dem Lavabit-Betreiber). Und weil man ja dann zum Schweigen verdammt wird/ist, erfolgte jetzt diese sehr offensichtliche Täuschung.
Ich würde mir die neue Version von Truecrypt nicht herunterladen. Erst einmal abwarten. Die alte Version zeigte keinerlei Sicherheitslücken, die kann man meiner Meinung nach weiter verwenden.

Trackback-Adresse für diesen Beitrag
Trackback-URL (Rechtsklick und Verknüpfungs-/Link-Adresse kopieren)
1 Trackback

Truecrypt, die NSA und die NSL
So richtig klar wird das ganze Wirrwarr um Truecrypt noch nicht, allerdings verstärken sich die Anzeichen, dass es wohl einen oder mehrere Entwickler mit einem National Security Letter getroffen haben könnte.
Vielfach werden diese Vermutunge…