Das Gefühl, mit TrueCrypt ein vertrauenswürdiges Verschlüsselungswerkzeug zu haben, ist seit Mittwoch verloren. Die Website (truecrypt.org) des Projekts leitet nur noch auf SourceForge um, wo dann lapidar und ohne ernstzunehmende Begründung das Aus für TrueCrypt verkündet wird. Im Hintergrund wurde zeitgleich alles regelrecht abgefackelt. So wurde in Rekordzeit bewerkstelligt, dass der Google Cache die alte Originalseite nicht mehr vorhält und auch das Internet Archive meldet lapidar einen ‘Blocked Site Error‘.
Gute 10 Jahre lang hatte TrueCrypt mein vollstes Vertrauen, obgleich das Cryptowerkzeug einer Riege von anonymen Programmierern entstammt. In einer Welt, in der Kriminelle und vor allem wildgewordene Geheimdienste und übereifrige Ermittlungsbehörden allein der Machbarkeit wegen jeden Angriffsvektor auf das in elektronischen Daten abgebildete Leben der Leute nutzen, verhieß TrueCrypt trotz der Intransparenz einen gefühlt guten Schutz ohne Hintertüren und Zweitschlüssel. Auf diversen Computerevents konnte man es ab und an aus den Mündern von Cryptoexperten und Juristen hören, dass mit TrueCrypt angelegte Container in diversen Fällen trotz massivem Aufwand nicht eingesehen werden konnten. Auch rechtschaffene Computerfreunde werteten so etwas als Argument für die mit TrueCrypt zu bewerkstelligende Privatsphäre in der digitalen Moderne.
Die besagte SourceForge Seite weist unterhalb des kurzen Statement zum Ende noch einen Link auf eine Version 7.2 auf, welche zwar nicht zum Anlegen von Containern geeignet sein soll, angeblich jedoch beim Migrieren bestehender Daten hilft. Selbstverständlich rate ich dringend davon ab, diese Binärdatei auszuführen und auf die eigenen vertraulichen Daten loszulassen.
Neben alledem rät die TrueCrypt Seite, doch bittschön auf Microsofts Bitlocker umzusatteln. WAS? WIE BITTE? Selbst wenn die Entwickler von TrueCrypt das Interesse an der Fortarbeit verloren haben sollten, so würden diese Leute nach der zurückgelegten Wegstrecke und angesichts der globalen Verbreitung von TrueCrypt doch nicht einfach so die Luken schließen. Da wären eine Menge Wege denkbar, welche am Ende das Überleben der TrueCrypt Software sicherstellen würden. Aber nach dem äußerst ungewöhnlichen Shut Down auch noch eine Verschlüsselungssoftware von Microsoft empfehlen?
Der Guardian hat in der Pflichtlektüre ‘Microsoft handed the NSA access to encrypted messages‘ die besondere Form der Zusammenarbeit von Microsoft mit NSA und FBI aus unserer Sicht sehr treffend beleuchtet. Außerdem taucht speziell BitLocker auf den Snowden Folien in keinem guten Kontext auf. Lesenswert hierzu der Kryptologe Bruce Schneier in seinem Guardian-Artikel ‘NSA surveillance: A guide to staying secure‘ vom September 2013.
Was tatsächlich geschehen ist, lässt sich aufgrund des Fehlens belastbarer Informationen nicht sagen. Spekulationen allerorts. Allerdings habe ich da, gefördert auch durch die Vielzahl der verstörenden Veröffentlichungen des ehrenwerten Edward Snowden, meine ganz eigene Denke entwickelt: Hierzu stellen wir uns bittschön einmal vor, wir wären die NSA oder die GCHQ! Das würde bedeuten, wir hätten von ganz oben inoffizielll das OK für alle Sauereien. Zusätzlich hätten wir in diesem Szenario ein epochal-unverschämt hohes Budget und zudem noch tausende der besten Akademiker mit unterdurchschnittlich ausgeprägter Moral. Im Sinne der Interessen unserer Brötchengeber, aber auch im Kontext der Eigendynamik bzw. des sich alsbald manifestierenden Eigenlebens unseres Apparates, würden wir alle realisierbaren Abhör- und Auswertungsmechanismen ersinnen. Und all jene Dinge, die uns in unserem Tun bremsen, würden wir zu eliminieren trachten.Wäre da etwa eine effektive Verschlüsselungssoftware vermeintlich anonymer Macher, dann würden wir diese deutlich unterlegenen Feinde aufspüren und mit allen uns zur Verfügung stehenden Mitteln, derer es ja nun wahrlich nicht wenige sind, von ihrem Tun abzubringen versuchen. Im Falle amerikanischer Delinquenten gäbe es Geheimgesetze, Geheimgerichte und Geheimgefängnisse. Wären die Störer im Ausland, so ließen sich immer noch die jeweiligen nationalen Dienste im Rahmen tradierter Amtspartnerschaften zur Erfüllung dessen bewegen, was zu tun wäre. Man darf in diesem Zusammenhang nicht unterschätzen, wie ungeheuer entscheidungsbegünstigend auf solche Milchbubis die Offerte einer Eintragung in diverse Terror-Datenbanken und insbesondere der No Fly List sein kann. Nun denn. Denkbar wäre etwa, die so zur freiwilligen Zusammenarbeit bewegten Subjekte nach außen vom geschwundenen Interesse an der Sache reden zu lassen. Vielleicht würden wir aber auch eine uns genehme Verschlüsselungsalternative auf diesem Wege empfehlen lassen. Schlimmstenfalls wäre die Nennung dieser Alternative aber auch nicht vorher mit uns abgesprochen und am Ende nur ein Wink mit dem Zaunpfahl durch unsere hopsgenommenen Programmierer, um dergestalt trotz der gültigen Gag Order ein Signal an die Gemeinschaft zu senden?
Wer noch alte Versionen von TrueCrypt als Binärpaket oder im Quelltext sucht, der wird auf cyberside.net.ee fündig. Steve Gibson glaubt noch an TrueCrypt. In der Schweiz versucht man sogar eine mögliche Zukunft von TrueCrypt zu organisieren.
Mal sehen, welches der Privatsphäre dienliche Projekt als nächstes durch „plötzliche Unlust“ abtritt!
