Mittlerweile ist ziemlich klar: Das Verschlüsselungsprogramm TrueCrypt ist eigentlich Wasser auf die Mühlen kryptographiefeindlicher Politiker. Hinter dem angeblich von einer anonymen Gruppe betriebenen Projekt steckte der begabte Programmierer Paul le Roux, später Waffen- und Drogenhändler und Cyber-Ganove in ganz großem Stil.
Hinter dem TrueCrypt-Nachfolgeprogramm VeraCrypt steckt Mounir Idrassi, ein französischer IT-Sicherheitsexperte. Da stellt sich natürlich die Frage: Ist Idrassi, ist sein Programmcode vertrauenswürdig? Im Prinzip ja. Das ist das Ergebnis einer Untersuchung durch die IT-Sicherheitsfirma Quarkslab. Finanziert wurde das Software-Audit durch eine Spende der Suchmaschine DuckDuckGo.
Die meisten Sicherheitslücken in externen Open-Source-Quellen
Interessanterweise fanden die Gutachter die meisten potentiellen VeraCrypt-Sicherheitslücken in Softwarekomponenten, die Mounir Idrassi in gutem Glauben aus vermeintlich unkritischen Open-Source-Quellen in seinen Programmcode eingebaut hatte. Dazu der Programmierer:
"Das ist eine Lektion, die ich gelernt habe: Es ist sehr wichtig, bei externen Softwarekomponenten sehr vorsichtig zu sein und immer darauf zu achten: Was ist sehr ausgereift, was ist von anderen Leuten bereits überprüft."
Ein weiterer Rüffel der Gutachter: Der russische Kryptografie-Algorithmus GOST war in der in VeraCrypt verwendeten Version nicht so sicher wie die anderen eingebauten Verschlüsselungsverfahren. Mounir Idrassi hat GOST in der aktuellen Version von VeraCrypt entfernt, aber die Freiheit zur Auswahl der Kryptomethode liegt ihm sehr am Herzen:
"Die Idee ist, auch eigene Verschlüsselungsalgorithmen implementieren zu können. Das ist ja ein Aspekt von Open Source: Freiheit anzubieten, Freiheit zum Wechsel. VeraCrypt ist offen, keine monolithische Software, in der nur europäische oder amerikanische Verschlüsselungsalgorithmen funktionieren."
Mit VeraCrypt das gesamte System verschlüsseln
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält momentan sogar die letzte Version von TrueCrypt noch für akzeptabel. Aber auch das BSI beobachtet, was nach der Einstellung von TrueCrypt passiert. Pressereferent Joachim Wagner:
"Wir haben das Programm VeraCrypt auf jeden Fall auf dem Schirm. Dass jetzt ein Audit gemacht wurde, zeigt, dass an diesem Produkt großes Interesse besteht. Die neuen Informationen, die wir jetzt zu VeraCrypt haben, und auch das neue Audit, die müssen erst einmal analysiert werden. Das heißt, wenn wir gegebenenfalls selber noch einmal eine Untersuchung starten, könnte sich unsere jetzige Empfehlung in der Zukunft natürlich auch ändern."
VeraCrypt hat die meisten bislang erkannten Sicherheitslücken von TrueCrypt ausgebessert. Und es bietet jetzt auch die Chance, die gefährlichsten Fallstricke zu umgehen, die das Betriebssystem Windows mit sich bringen kann: Temporäre Dateien, Schlafmodus, Absturzabbilder - alles Datenspuren, normalerweise unverschlüsselt. Mounir Idrassi:
"Meine erste Empfehlung lautet: Verschlüsseln Sie Ihr gesamtes System. Das ist sehr wichtig. Ich konnte das bislang nicht empfehlen, weil das UEFI-Bootverfahren nicht unterstützt worden war. Und wer einen neuen PC mit Windows 10 gekauft hat, konnte das System bislang nicht komplett verschlüsseln. Aber jetzt ist das mit VeraCrypt möglich."
SSD-Festplatten ein Sicherheitsrisiko
Genauso sieht das auch der Kryptographie-Experte Dr. Peter Birkner vom BSI. Die Komplettverschlüsselung sei nicht allzu kompliziert und auf jeden Fall anzuraten. Auch in einem weiteren Punkt ist er ganz auf der Linie von Mounir Idrassi: Bei modernen Flash-Speicher-Festplatten, bei den SSD, hat der User keine Kontrolle mehr darüber, welche Daten von diskinternen Optimierungsalgorithmen umkopiert und deshalb nicht mehr verlässlich gelöscht werden können. Idrassi:
"Für mich ist das klar: Benutzen Sie niemals SSD. Ich benutze die selbst nicht. Und für Leute, die wirklich sicher gehen wollen: Keine SSD. Sie müssen wählen: Will ich Sicherheit oder Geschwindigkeit? Beides geht nicht."
Veracrypt scheint wirklich ein verlässliches Nachfolgeprojekt für TrueCrypt zu sein. Stellen Sie aber sicher, dass sie die Verschlüsselungssoftware nur von der durch das Sicherheitsaudit zertifizierten Quelle herunterladen - das ist die Website des Entwicklers Mounir Idrassi.