Schon vor über einem Jahr haben die damaligen Entwickler von TrueCrypt die Weiterentwicklung der Verschlüsselungssoftware eingestellt. Über die Gründe wurde heftig spekuliert. So weit, so gut. Doch jetzt tauchen zwei kritische Sicherheitslücken auf, die also nicht mehr gefixt werden.

Dass es keine Weiterentwicklung mehr gab, war zuerst kein wirklich großes Problem. Immerhin hat eine erste unabhängige Überprüfung von iSEC im Februar 2014 ergeben, dass es keine wirklichen Sicherheitsprobleme oder Backdoors geben würde. Auch ein zweiter Audit im Frühjahr 2015 blieb ohne Befund. Doch nun hat James Forshaw von Googles Project Zero zwei als kritisch eingestufte Sicherheitslücken entdeckt. Diese sind unter der Kennung CVE-2015-7538 und CVE-2015-7539 in die einschlägigen Datenbanken eingetragen.
Die Sicherheitslücken befinden sich nicht direkt in der TrueCrypt Anwendung, sondern in einem Windows Treiber, den das Krypto Tool mitliefert. Nur, wie konnte das Problem in den beiden Audits übersehen werden? Forshaw kommentierte diese Frage via Twitter mit dem Kommentar: “Windows-Treiber sind komplexe Biester”.

Da die Entwicklung an TrueCrypt eingestellt wurde, werden die gefundenen Sicherheitslücken also auch nicht geschlossen. Ein Alternative stellt der Ableger “VeraCrypt” dar, in dem die beiden Lücken bereits geschlossen wurden.

Truecrypt wird zwar nicht weiterentwickelt, trotzdem ist die Verbreitung noch recht hoch. Deshalb dürfte es viele beruhigen, dass in einer Untersuchung unbeteiligter Dritter keinerlei Hintertüren gefunden wurden.

Aus dem abschließenden Bericht der NCC Group geht hervor, dass es weder für die NSA noch für irgendjemanden anderen eine Hintertüre für die äußerst erfolgreiche Verschlüsselungssoftware Truecrypt gibt. Es wurden zwar einige kleinere Sicherheitslücken gefunden, die allerdings nicht als sonderlich beunruhigend eingestuft werden. Am stärksten wurde die Nutzung einer offiziellen Programmierschnittstelle von Windows zur Erstellung von Zufallszahlen kritisiert. Würde sich diese als fehlerhaft herausstellen, würde dadurch auch die Sicherheit von Truecrypt in Mitleidenschaft gezogen.

Nachdem Truecrypt mittlerweile eingestellt wurde gibt es inzwischen unter anderem die Open Source Anwendung VeraCrypt, die auf der Code Basis von Truecrypt aufbaut und daher von den Ergebnissen der Überprüfung ebenfalls profitieren sollte.