Nachdem wir das offenbar noch gar nicht haben: National Security Letters sind "Kooperations-Aufforderungen" von 3-Buchstaben-Organisationen im Namen der nationalen Sicherheit (der USA). Man darf darüber nicht berichten und hat eigentlich keine Rechtsmittel - im Namen der nationalen Sicherheit sind Gesetze zweitrangig und Geheimgerichte üblich
Bekannt geworden im Zusammenhang mit IT-Projekten ist der Fall Lavabit. Dessen Gründer verweigerte die Kooperation mit den Behörden und sperrte letztlich seinen Dienst lieber zu, bevor er die geheimen Schlüssel herausgab. Anlass für die NSL war offenbar, dass Edward Snowden diesen eMail-Dienst zur Kommunikation nutzte. (Link: NSA-Affäre: E-Mail-Anbieter Lavabit lieferte sich Katz-und-Maus-Spiel mit US-Justiz | heise online )
Heute überraschte nun Truecrypt mit einer Warnseite, dass die Software nicht mehr sicher sei, und man doch stattdessen BitLocker (von Microsoft) benutzen sollte Eine neue Version der Software kann nur mehr vorhandene Truecrypt-Volumes entschlüsseln. Da die bekannten Schlüssel zur Signatur benutzt wurden, muss die Version für echt gehalten werden.
Link: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher" | heise online
Wie kommt es also dazu, und was bedeutet das nun? Ein Hackerangriff erscheint unwahrscheinlich. Von einer behaupteten Sicherheitslücke zeigte sich bei einem ersten Audit auch keine Spur. Als mögliche Ursache gilt nun ein NSL, woraufhin die Autoren im Stil von Lavabit ebenfalls lieber die Entwicklung einstellten.
Auffällige Hinweise auf der Seite:
Meine persönliche Einschätzung ist, dass Truecrypt 7.1a nach wie vor sicher ist, und ich würde keine Veranlassung sehen, seine Daten weg zu migrieren. Besser wäre natürlich sowieso der Einsatz von Linux mit LUKS/dmcrypt...
Bekannt geworden im Zusammenhang mit IT-Projekten ist der Fall Lavabit. Dessen Gründer verweigerte die Kooperation mit den Behörden und sperrte letztlich seinen Dienst lieber zu, bevor er die geheimen Schlüssel herausgab. Anlass für die NSL war offenbar, dass Edward Snowden diesen eMail-Dienst zur Kommunikation nutzte. (Link: NSA-Affäre: E-Mail-Anbieter Lavabit lieferte sich Katz-und-Maus-Spiel mit US-Justiz | heise online )
Heute überraschte nun Truecrypt mit einer Warnseite, dass die Software nicht mehr sicher sei, und man doch stattdessen BitLocker (von Microsoft) benutzen sollte Eine neue Version der Software kann nur mehr vorhandene Truecrypt-Volumes entschlüsseln. Da die bekannten Schlüssel zur Signatur benutzt wurden, muss die Version für echt gehalten werden.
Link: Warnung auf offizieller Seite: "Truecrypt ist nicht sicher" | heise online
Wie kommt es also dazu, und was bedeutet das nun? Ein Hackerangriff erscheint unwahrscheinlich. Von einer behaupteten Sicherheitslücke zeigte sich bei einem ersten Audit auch keine Spur. Als mögliche Ursache gilt nun ein NSL, woraufhin die Autoren im Stil von Lavabit ebenfalls lieber die Entwicklung einstellten.
Auffällige Hinweise auf der Seite:
- Der erste Satz lautet: "WARNING: Using TrueCrypt is Not Secure As it may contain unfixed security issues" Die Autoren waren zwar schon bisher nicht stilsicher in Englisch, trotzdem ist diese Formulierung nicht unbedingt üblich...
- Die Anleitung zur Datenmigration für MacOS enthält ein Bild mit "Encryption: none" - Absicht?
- Ausgerechnet die Empfehlung für BitLocker, wo bekannt ist, dass Microsoft mit der NSA kooperiert? Man muss davon ausgehen, dass das unsicher ist...
- Die Empfehlung für Linux, irgendwas mit Encryption zu nehmen ist auch eher bewusst schlampig
Meine persönliche Einschätzung ist, dass Truecrypt 7.1a nach wie vor sicher ist, und ich würde keine Veranlassung sehen, seine Daten weg zu migrieren. Besser wäre natürlich sowieso der Einsatz von Linux mit LUKS/dmcrypt...