Thema: Truecrypt abgeschaltet - das Ende der Demokratie?

An die Moderation: Das Thema wurde extra im Politikforum eröffnet, da es eher um gesellschaftliches als um technisches geht.


Völlig überraschend ist seit heute auf der Webseite des Truecrypt-Projektes zu lesen, dass die Software nicht mehr als sicher angesehen und die Entwicklung ab sofort eingestellt werde.

Truecrypt, das ist die weltweit einzige wirksame, unkommerzielle Verschlüsselungssoftware für Windows, Mac und Linux. Erst Anfang 2014 hatte eine Überprüfung durch unabhängige Softwareexperten keine schwerwiegenden Sicherheitslücken im TrueCrypt-Sourcecode ergeben. Insbesondere wurden keine NSA-Hintertüren gefunden. Deshalb gilt eine Truecrypt-Verschlüsselung bisher als relativ sicher. Sogar das BSI empfiehlt den Einsatz von Truecrypt zur Verschlüsselung privater Daten. In der Computerwelt wäre der Wegfall von TrueCrypt ein gewaltiger Erdrutsch, denn es gibt im Open Source-Bereich keinerlei Software mit vergleichbarem Umfang. Die kommerzielle Hochleistungsverschlüsselung stammt dagegen praktisch ausnahmslos aus den USA, dem Heimatland der NSA-Backdoor.

Einen ganz merkwürdigen Beigeschmack bekommt die Angelegenheit dadurch, dass die Truecrypt-Website den Umstieg auf Bitlocker empfiehlt. Bitlocker ist Bestandteil von Windows und unterliegt somit komplett der amerikanischen Gesetzgebung; enthält also nach aller bisherigen Erfahrungen Hintertüren für alle möglichen Sicherheitsdienste.

Die TrueCrypt-Entwickler sind für offizielle Stelungnahmen zur Zeit nicht zu erreichen. Das Informationsbedürfnis der völlig geschockten Fachwelt wird daher nur durch Gerüchte gestillt: Spekuliert wird über Druck der US-Regierung, Backdoors in Truecrypt einzubauen.

Damit ergibt sich langsam ein großes, ganzes, hässliches Bild: Auf der einen Seite die vollständige Überwachung durch die westlichen Geheimdienste. Auf der anderen Seite mit dem Wegfall von Truecrypt die Zerstörung des möglicherweise wirksamsten Mittels gegen Datenklau. Dazu dann noch die voraussichtliche Weigerung der Bundesanwaltschaft, überhaupt erst Ermittlungen wegen der NSA-Spionage aufzunehmen (Tenor: "Wir können sowieso nichts dagegen machen."). Der einfache Bürger steht also jetzt vollkommen ohne Schutzmöglichkeit gegen (staatliche) Schnüffelei da.

Willkommen im totalen Überwachungsstaat.

Was meint Ihr dazu?

Ehrlich gesagt: Ich bin skeptisch, weil für mich stinkt das im Moment irgendwie nach "die Page wurde gehackt" weil so von hier auf jetzt geschieht. Und vor allem, warum empfehlen die ausgerechnet BitLocker und nicht GPG oder LUKS (okay, das ist Linux only, aber immernoch besser)? Eine Verschlüsselungssoftware, die mit Sicherheit (sry) unter der Fuchtel der NSA steht. Das ergibt keinen Sinn.

Also für meinen Teil stimmt da was nicht.

Es ist schon sehr verdächtig, dass in der neuen Truecrypt Version 7.2 die Container Funktion entfernt wurde.
Das es Firmen gibt, die Systempartition entschlüsseln gegen Bares, ist ja bekannt, aber mit den Containern scheinen wohl Staat und Polizei auch hier sehr zu kämpfen. Man sollte also nicht von Truecrypt 7.1a auf 7.2 wechseln.

Generell klingt das alles für mich danach, als hätte die NSA auf die Truecrypt Foundation Druck ausgeübt. Vielleicht ist die Empfehlung auf Bitlocker hier der entscheidende Hinweis, den darüber sprechen dürfen die Entwickler nicht, sonst würden sie sich nach US Recht strafbar machen.

Generell würde ich erstmal abwarten. Es ist ja nicht so, als würde es keine Alternativen zu TC geben. Benutzen würde ich TC sowieso nur zur Vorbeugung von primitiven Datendiebstahl. Die Geheimniskrämerei um die Entwickler von TC hat mir noch nie zugesagt.

Dass Truecrypt die einzig wirksame, unkommerzielle Verschlüsselungssoftware (gewesen) sein soll, wage ich zu bezweifeln.

Was ist z.B. mit OpenPGP, entwickelt aus PGP, der Mutter aller hybriden Verschlüsselungsverfahren ? PGP kann ja nicht mehr als sicher angesehen werden, nachdem es zuerst an McAffee und dann an Symantec verkauft wurde, aber OpenPGP hat sich gerade deshalb von PGP abgespaltet ...

Einen ähnlichen Fall gab es wohl schon:

Das ZDF berichtet auch über die gemeinsame Einflussnahme von Bundesnachrichtendienst und NSA auf das Schweizer Verschlüsselungsunternehmen Crypto AG. Demnach veränderte die Firma in den 70er Jahren auf Druck der Geheimdienste die mathematischen Formeln ihrer Verschlüsselungstechnik, um BND und NSA die Entschlüsselung von abgefangener, interner Kommunikation einiger Regierungen leichter zu machen. Das bestätigte ein ehemaliger Mitarbeiter der Crypto AG dem ZDF.

Doku: "Verschwörung gegen die Freiheit": Ex-CIA-Chef wirft Merkel Täuschung der Öffentlichkeit vor - heute-Nachrichten

Die aktuellen Vermutungen im Fall TrueCrypt gehen dahin, dass die Entwickler unter Druck gesetzt wurden, weil Snowden seine Dokumente mit TrueCrypt verschlüsselt hat.
Das hätte er sicherlich nicht, wenn die NSA TrueCrypt knacken könnte...

Alle anderen Verschlüsselungstools sind entweder kommerzielle Entwicklungen eines NSA-Partnerunternehmens wie Microsoft, oder besitzen einen wesentlich geringeren Funktionsumfang (z.B. keine Plattformunabhängigkeit). Somit scheint die NSA tatsächlich die weltweit sicherste Verschlüsselung platt gemacht zu haben. Tja, so ist das in Ländern in denen Redefreiheit gilt. Da darf alles gesagt werden - so lange jemand mithören und entscheiden kann, ob der Gedankengang dahinter erlaubt ist.

Ich behaupte, das verschlüsselte Komprimierung in fragmentierte Parts eine Form der Verschlüsselung ist, die Weiterhin effektiv funktioniert. Bis jetzt sind solche Dateistrukturen nur zu Knacken, wenn sie über ein einfaches Passwort verfügen (ansonsten kann das Jahrzehnte beanspruchen sie zu Brutforcen, selbst mit Supercomputern) und wenn man ganz Paraonid ist, könnte man sie so zichmal zersplittern um die dauer zu erhöhen bis man sie knackt. Mag sein, das es dann eine Weile dauert größere Dateien zu öffnen, bzw. zu entpacken, aber das funktioniert Effektiv da die Ursprungsdatei nur durch das Passwort zur Entschlüsselung führt.

Aber diese Form der Entschlüsselung funktioniert mit alles und Jedem. Es geht nur eben schneller wenns eine Backdoor hat. Solange es also noch diese Form der Verschlüsselung gibt, die im Internet etwa laut Szenestatistik noch 3,4% nutzen, kann das NSA auch nicht einfach auf Dateien zugreifen.

Aber mal so neben bei: Ich finde es scheiße was die NSA seid Jahrzehnten tut, aber mir ist es auch herzlich egal ob ich persönlich Überwacht werde. Sehen die sich halt meine Fotos an, na und? Sorgen müssen sich nur Psychopathen machen und jene, die in hohen Positionen stehen (da diese gerne schon im Wirtschaftlichen Bereich gerne putscht werden). Aber diese könnten wie eben erwähnt ihre Dateien verschlüsseln, fragmentieren und dann einfach auf einer externen Festplatte Speichern. Dann sollte man einfach möglichst Offline sein wenn man drauf zugreift. Selbst wenn dann ein autonomer Trojaner versucht ein Dateiabbild zu machen, wird da nichts bei rumkommen, da diese Dateien in der Regel riesig werden, je mehr man sie füllt und Fragmentiert einzeln absolut unbrauchbar sind. Es funktioniert nicht wie ein Puzzle, sondern wie ein Schlüssel, von dem du alle Teile brauchst um am Ende etwas brauchbares Rauszukriegen. Ansonsten wäre es nur Datenmüll. Man könnte diese Fragmente auch Physisch teilen, z.B. einfach den letzten Part auf einer offline Festplatte Speichern. Selbst wenn die NSA dann den Rest der Parts kriegt, gibt es keine Möglichkeit da etwas wiederherzustellen.

Abgesehen davon: hier ist von dem Ende der Demokratie die Rede. Von welcher Demokratie bitte? Wenn die Merkel sich das einfach so gefallen lässt, dann war das schon vorher keine.

Da braucht es weder Studien noch Experten um zu verstehen, das es der deutschen Demokratie an autonomie Mangelt um sich als solche zu bezeichnen.