Verschlüsselung: Erste Bemühungen um Truecrypt-Nachfolge

Nach der spontanen Selbstauflösung des Truecrypt-Projektes arbeiten mindestens zwei verschiedene Organisationen daran, die Software weiterzuentwickeln. Allerdings begeben sich die Entwickler mit dem Vorhaben auf einen sehr steinigen Pfad.

In Pocket speichern vorlesen Druckansicht 374 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Das Open Crypto Audit Project, welches Spendengelder gesammelt hatte, um den Quellcode des Verschlüsselungsprogramms zu begutachten, möchte seine Untersuchung von TrueCrypt 7.1 auch nach dem offiziellen Ende des Truecrypt-Projektes weiterführen. Man erwäge außerdem, einen etwaigen Fork des Quellcodes finanziell zu unterstützen. Das Projekt erhält im Rahmen der Core Infrastructure Initiative der Linux Foundation selbst finanzielle Unterstützung für seine Arbeit. Hier federführend beteiligt ist unter anderem Matthew Green, Professor für Kryptografie an der Johns-Hopkins-Universität.

Auch TruecryptNext will in der Schweiz einen Neuanfang schaffen. Das Vorhaben unter der Leitung von Thomas Bruderer und Joseph Doekbrijder hat es sich zum Ziel gesetzt, einen Fork des Truecrypt-Quellcodes zu organisieren. Auf der dazugehörigen Webseite heißt es, man habe als allererstes Truecrypt wieder als Download bereitstellen wollen. Als nächstes soll die rechtliche Lage ausgelotet werden, damit der Quellcode unter der Ägide eines Schweizer Vereins weiterentwickelt werden kann.

Allerdings ist die rechtliche Lage alles andere als einfach. Die Truecrypt-Lizenz wurde von der Open Source Initiative (OSI) nie als Open-Source-Lizenz anerkannt. Laut OSI-Präsident Simon Phipps hatten die Entwickler den Antrag auf Annerkennung ihrer Lizenz bei der OSI im Jahr 2006 zurückgezogen, nachdem sich abzeichnete, dass die Lizenz den Anforderungen der OSI nicht genügen würde.

Auch das Team des Open Crypto Audit Projects weist auf die Probleme mit der Truecrypt-Lizenz hin

Besonders Klausel III.1.d der Lizenz könnte so ausgelegt werden, dass jeglicher Code, der in einem Fork in Kontakt mit dem Truecrypt-Quellcode kommt, unter der gleichen Lizenz veröffentlicht werden muss. Andere Teile der Lizenz schließen aus, dass ein auf Truecrypt basierendes Projekt einen Namen führt, der die Bezeichnung "TrueCrypt" oder Abwandlungen davon enthält. Der Name TruecryptNext wäre damit schon problematisch. Laut des Open-Crypto-Audit-Teams kommt noch hinzu, dass es sehr schwer ist, die Truecrypt-Entwickler zuverlässig zu kontaktieren und rechtliche Fragen zu klären.

Die Entwickler müssen sich angesichts dieser Schwierigkeiten durchaus zum Vorwurf machen lassen, dass sie der Allgemeinheit keine bessere Grundlage auf Basis einer erprobten Open-Source-Lizenz hinterlassen haben, meint auch heise Security-Chefredakteur Jürgen Schmidt. (fab)