Einer der Entwickler von Truecrypt hat sich angeblich zu Wort gemeldet und die Beweggründe für das plötzliche Aus erklärt: Man habe das Interesse verloren. Einer Weiterentwicklung durch die Community steht er demnach kritisch gegenüber.
Aus für Truecrypt
- Warnung auf offizieller Seite: „Truecrypt ist nicht sicher“ [1]
Einen Tag nach dem plötzlichen Ende von Truecrypt, hat sich offenbar einer der Entwickler der Verschlüsselungssoftware zu Wort gemeldet. Auf Twitter hatte Matthew Green, einer der Entwickler, die den jüngsten Truecrypt-Audit initiiert hatten, einen Austausch mit Steven Barnhart [2], der angeblich mehrere Mails eines Truecrypt-Entwicklers namens „David“ erhalten hat. Demnach gebe es bei dem Entwicklerteam „kein Interesse“ mehr an dem Projekt: „Nichts hält ewig.“ Der gegenwärtige Audit [3] jedenfalls sei nicht der Auslöser gewesen, den habe man begrüßt.
Aus den kurzen Äußerungen zu dem E-Mail-Austausch geht noch hervor, dass die Truecrypt-Entwickler angeblich keinen Kontakt zu irgendeiner Regierungsbehörde hatten. Einzige Ausnahme sei eine Anfrage wegen eines „Support-Vertrags“ gewesen. Das soll offensichtlich den Theorien widersprechen, dass hinter den Kulissen bei Truecrypt ähnliches abläuft, wie vergangenes Jahr bei Lavabit [4]. In dem Fall dürften die Entwickler aber sowieso nicht darüber reden.
Außerdem habe sich der Entwickler noch zu einer möglichen Weiterentwicklung von Truecrypt unter anderer Lizenz geäußert. Demnach stehe er „persönlich“ einem Fork kritisch gegenüber und hielte das für gefährlich, da nur das Team den Code wirklich kennen würden. Der sei aber als Referenz weiterhin verfügbar. Außerdem habe er sich überzeugt gezeigt, dass Bitlocker „gut genug“ sei. Dass dieses Microsoft-Programm nur für Windows verfügbar sei, sei kein Problem, sei dieses Betriebssystem doch auch „das eigentliche Ziel des Projekts“ gewesen.
Einige Fragen offen
Sollte dieser Dialog so stattgefunden haben, würde er sicher nicht alle Fragen zu dem plötzlichen und überraschenden Ende beantworten. Auch nicht zu der Art und Weise wie dies geschehen ist. Ein Hack der Seite und des Projekts kann damit auch weiterhin nicht völlig ausgeschlossen werden, könnte doch der E-Mail-Account ebenfalls kompromittiert sein. Wie problematisch es ist, dass die Entwickler von Truecrypt nicht oder offenbar nur mit Glück zu erreichen sind, hat unterdessen einer der Entwickler von Desinfec’t 2014 [5] im heise Forum erklärt [6].
Unterdessen hat sich das Audit-Projekt für Truecrypt [7] geäußert und erklärt [8], man werde die Überprüfung des Quelltexts der Version 7.1. des Programms [9] fortsetzen. Am Ende soll ein abschließender Bericht stehen. Außerdem werde man eine vollständige Prüfung von OpenSSL durchführen. Die Verschlüsselungssoftware war jüngst durch den gravierenden Heartbleed-Bug [10] in den Fokus der Öffentlichkeit geraten. (mho [11])