Truecrypt Audit: ist das beste Verschlüsselungsprogramm nach Snowden noch sicher?

Als eines der meistverwendeten Programme zur Verschlüsselung wertvoller Daten verfügt die kostenlose und quelloffene (open-source) Lösung Truecrypt bereits über eine hervorragende Erfolgsbilanz. Teile dieser nachweisbaren Erfolgsgeschichte bestehen aus Berichten im Internet, wonach es  Behörden und forensischen Abteilungen nach mehrjähriger Arbeit nie gelungen war, beschlagnahmte und mit Truecrypt verschlüsselte Datenträger einzusehen. Sind selbst die Möglichkeiten staatlicher Organisation ausgeschöpft, so sind eure privaten oder geschäftlichen Daten ziemlich wahrscheinlich ausreichend gesichert gegenüber krimineller Ausforschung oder dem Zufallsfund eures verlorenen Laptops. Die Umstände bei Entwicklung des Programms – anonyme Urheber, schwer nachvollziehbare Rekompilierung – haben zuletzt trotzdem einige Zweifel aufkommen lassen.

Sicherheitsaspekte der Gesellschaftsform

Jeder Softwareentwickler hat ohne Zweifel das Recht die Früchte seiner Arbeit als Firmengeheimnis zu schützen, indem er den Programmcode verschlossen hält. Ein Großteil der Nutzer hält sicherheitsrelevante Software aber gerade dann für vertrauenswürdig, wenn der Quellcode offen einsehbar ist und möglichst viele Personen diesen gesehen haben. Merkwürdige Funktionen oder Fehler würden dann mit hoher Wahrscheinlichkeit entdeckt und publik gemacht. Es ist von daher nicht sehr verwunderlich, daß gerade in Open-Source Gemeinschaften viele, zum Teil sehr schwer wiegende, Fehler öffentlich bekannt werden.

Wäre der Entwickler der Software ein profitorientiertes Unternehmen, so hätte dieses vermutlich ein Interesse daran, negative Schlagzeilen zu unterbinden, indem es bekannte Fehler gar nicht an die Öffentlichkeit trägt um potentielle Käufer nicht abzuschrecken. Alleine, daß über ein Produkt nichts Negatives bekannt ist lässt also nicht den Schluß zu, daß diesem Unternehmen mehr zu trauen ist als einem Open-Source-Projekt, wo es der Presse zufolge drunter und drüber zu gehen scheint.

Sind die Urheber von Truecrypt vertrauenswürdig?

 Die Truecrypt Foundation verteilt ihr Programm kostenfrei, gibt Einblick in den Quellcode und die Autoren dahinter bevorzugen es anonym zu bleiben. Besonders letzterer Umstand hat schon zu vielen Spekulationen zur Vertrauenswürdigkeit dieser Organisation geführt.  Nicht zuletzt deshalb hat es sich das Projekt IsTrueCryptauditedyet jenes zur Aufgabe gemacht, wofür sie im Namen stehen. Es werden ein professionelles Audit des Programmcodes durchgeführt und Prämien für aufgefundene Fehler ausgezahlt.

Vorläufiges Ergebnis des Audits: nichts Verdächtiges

Erste Ergebnisse des Projekts liegen nun vor und Benutzer der Software können erleichtert aufatmen. Das Audit hat bisher wenige kleinere Fehler zu Tage gefördert, aber keine unerwünschten Funktionen wie Backdoors oder zero-day-exploits. Damit halte ich es nach wie vor für eine der sichersten Verschlüsselungslösungen. Eine der schlimmsten Befürchtungen, es könnte anonym eine Abhörschnittstelle in den Programmcode eingeschleust worden sein, hat sich nicht bestätigt.

Fazit

Das durchgeführte Audit ohne negativen Befund stützt natürlich die Zuverlässigkeit von Truecrypt ungemein. Die Entwickler der Software verzichten es mit eigenem Namen in Erscheinung zu treten und Verdienste für sich in Anspruch zu nehmen. Es besteht damit keine Profiterwartung, welche die Entwicklung des Programms kompromittieren könnte. Diese Tatsache, sowie das unabhängig durchgeführte Audit machen Truecrypt zu einer vertrauenswürdigen Lösung. Wer das Audit unterstützen möchte und wem die Sicherheit seiner Daten wichtig ist, dem ist es möglich eine Spende zu leisten von dem Geld, was durch die nicht vorhandenen Anschaffungskosten eingespart werden konnte.

Links:

Schreibe einen Kommentar