Schon vor über einem Jahr haben die damaligen Entwickler von TrueCrypt die Weiterentwicklung der Verschlüsselungssoftware eingestellt. Über die Gründe wurde heftig spekuliert. So weit, so gut. Doch jetzt tauchen zwei kritische Sicherheitslücken auf, die also nicht mehr gefixt werden.
Dass es keine Weiterentwicklung mehr gab, war zuerst kein wirklich großes Problem. Immerhin hat eine erste unabhängige Überprüfung von iSEC im Februar 2014 ergeben, dass es keine wirklichen Sicherheitsprobleme oder Backdoors geben würde. Auch ein zweiter Audit im Frühjahr 2015 blieb ohne Befund. Doch nun hat James Forshaw von Googles Project Zero zwei als kritisch eingestufte Sicherheitslücken entdeckt. Diese sind unter der Kennung CVE-2015-7538 und CVE-2015-7539 in die einschlägigen Datenbanken eingetragen.
Die Sicherheitslücken befinden sich nicht direkt in der TrueCrypt Anwendung, sondern in einem Windows Treiber, den das Krypto Tool mitliefert. Nur, wie konnte das Problem in den beiden Audits übersehen werden? Forshaw kommentierte diese Frage via Twitter mit dem Kommentar: “Windows-Treiber sind komplexe Biester”.
Da die Entwicklung an TrueCrypt eingestellt wurde, werden die gefundenen Sicherheitslücken also auch nicht geschlossen. Ein Alternative stellt der Ableger “VeraCrypt” dar, in dem die beiden Lücken bereits geschlossen wurden.