Nachdem die Entwickler von Truecrypt das Ende ihrer Arbeit am beliebten Verschlüsselungsprogramm Truecrypt Anfang Juni bekanntgaben, mochte man anhand der ungläubigen Kommentare im Internet das Gefühl haben, dass eine Welt zusammenbreche. Natürlich ist es sehr schade um Truecrypt, welches ich seit Jahren dazu verwende, um meine Arbeits-USB Festplatten zu verschlüsseln, aber der immer größer werdende Abstand zwischen den Releases deutete doch bereits seit einigen Jahren darauf hin, dass hier nicht mehr mit dem gleichen Enthusiamus gearbeitet wurde wie noch zu Zeiten von Windows XP (für das Truecrypt laut Aussage der offiziellen Homepage eigentlich entwickelt wurde).
Kann man Truecrypt weiterhin verwenden?
Natürlich ist hier keine Welt zusammengebrochen. Selbstverständlich kann man Truecrypt noch immer problemlos weiter verwenden, denn die Version 7.1a ist noch immer verfügbar. Außerdem lässt der andauernde Security Audit des Truecrypt Quellcodes bisher keine absichtlichen Fehler oder Hintertüren vermuten, sondern fand nur Mängel, deren Behebung für gewiefte Programmierer kein unüberwindbares Hindernis darstellen sollte. Der weiteren Nutzung von Truecrypt steht momentan also nichts im Wege – theoretisch.
Eine Alternative für TrueCrypt
Genau hier liegt nämlich die Crux, denn nicht viele Menschen haben Verständnis für das komplexe Softwarekonstrukt und noch weniger für die dahinter steckende Kryptographie, so dass eine Korrektur der gefundenen Fehler im TrueCrypt Code, sich schwierig darstellen könnte. Doch da gibt es doch noch VeraCrypt, den Code-Fork, der TrueCrypt wie ein Ei dem anderen ähnelt, aber im Bereich der Hashfunktionen die Sicherheit durch eine um ein Vielfaches höhere Anzahl an Iterationen erhöhen möchte.
For example, when the system partition is encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with 1000 iterations whereas in VeraCrypt we use 327661. And for standard containers and other partitions, TrueCrypt uses at most 2000 iterations but VeraCrypt uses 655331 for RIPEMD160 and 500000 iterations for SHA-2 and Whirlpool.
Startbildschirm von VeraCrypt 1.0d
Wäre IDRIX, die Firma hinter VeraCrypt, dann nicht prädestiniert dafür? Bisher waren ihre Änderungen am Code wohl eher kosmetischer Natur, doch da IDRIX auch angab neue Hash-Algorithmen einbauen zu wollen, kann man nur hoffen, dass sie im gleichen Atemzug auch die erkannten Fehler beheben, ggf. die Kompatibilität mit neuen Betriebssystemversionen aufrecht erhalten werden und alles dafür tun, dass die Idee Truecrypt weiterlebt. Das wäre mir und sicherlich auch vielen anderen Nutzern einen angemessenen Geldbetrag Wert, denn weitere derart ausgiebig getestete Programme mit ähnlichem Funktionsumfang, vergleichbarer Geschwindigkeit und Kompatibilität mit anderen verschiedenen Betriebssystemen, findet man eigentlich nirgends.
Kein Geschwindigkeitsunterschied zwischen TrueCrypt und VeraCrypt
Gibt es etwas, das man vor dem Umstieg auf VeraCrypt beachten sollte?
Mounten dauert länger – Das Mounten und Unmounten von Containern unter VeraCrypt dauert deutlich länger (in meinem Test 15s gegenüber 1s). Bei der anschließenden Arbeit auf den gemounteten Containerdateien, konnte ich jedoch keinen Geschwindigkeitsunterschied feststellen.
Inkompatibilität – TrueCrypt und VeraCrypt Container sind auf Grund der unterschiedlichen Hashwertberechnungen zueinander inkompatibel und es gibt momentan keinerlei Möglichkeit Container zu konvertieren.
Persönliche Paranoia – VeraCrypt ist ein Code-Fork, aber niemand kann garantieren, dass dort nicht Lücken in den abweichenden Quellcode eingebaut wurden. Das ist zwar unwahrscheinlich, aber nicht unmöglich. Wer sicherheitsrelevante Daten schützen möchte, sollte deswegen besser den Security Audit TrueCrypts abwarten und eher nicht wechseln.
Fazit
Ich bleibe noch ein paar Monate bei TrueCrypt und warte das Ergebnis des Security Audits ab. Sollte VeraCrypt dessen Ergebnisse dazu verwenden seinen eigenen Quellcode zu korrigieren, dann werde ich mehr als bereitwillig wechseln.