zurück zum Artikel

Das aus nicht ganz geklärten Gründen eingestellte Open-Source-Verschlüsselungs-Projekt TrueCrypt hat einen neuen Anwärter auf seine Nachfolge. Die angekündigte Software hat ihren direkten Ursprung in TrueCrypt.

Das deutsche IT-Sicherheitsunternehmen Sirrix [1] plant, eine erweiterte Version der vor Kurzem überraschend eingestampften Verschlüsselungssoftware [2] TrueCrypt als Open-Source-Software zu veröffentlichen. Vor drei Jahren habe Sirrix gemeinsam mit der escrypt GmbH TrueCrypt im Auftrag de Bundesamts für Sicherheit in der Informationstechnik [3] (BSI) einem umfassenden Audit unterzogen, teilte das Unternehmen mit. Die daraus gewonnenen Erkenntnisse seien in die neue Verschlüsselungssoftware namens TrustedDisk eingeflossen.

Dabei sei die TrueCrypt-Architektur und -Implementierung verbessert sowie Schwächen beseitigt worden, heißt es weiter. Verbessert worden seien unter anderem der Bootloader, die Zufallszahlenerzeugung sowie der Schutz des Schlüsselmaterials. TrustedDisk bestehe teils aus neu entwickelten und teils aus gepatchten TrueCrypt-Komponenten, erläutert Sirrix-Chef Ammar Alkassar gegenüber iX.

Open Source

Ursprünglich wollte Sirrix TrustedDisk als Open-Source-Software herausgeben, doch da nicht alle Teile eigenentwickelt waren und unter der von der Open Source Initiative (OSI) nie anerkannten TrueCrypt-Lizenz [4] standen, ging das Unternehmen zunächst einen anderen Weg. Es stattete das Verschlüsselungsprogramm mit Unternehmensfunktionen aus und brachte es nicht-quelloffen als TrustedDisk Enterprise auf den Markt. Die im Auftrag des BSI entstandene Software erhielt 2013 die Zulassung [5] für die Verarbeitung von Daten nach VS-NfD [6] (Vertraulichkeitsstufe "Nur für den Dienstgebrauch").

Nun will Sirrix das Versäumte nachholen und die aus lizenzrechtlichen Gründen nicht zu veröffentlichenden Code-Teile nachimplementieren. Anders als TrueCrypt soll TrustedDisk unter einer anerkannten Open-Source-Lizenz stehen. Die zukünftige TrustedDisk OSS soll für private wie kommerzielle Nutzung offen sein. Allerdings wird die weiterhin existierende kommerzielle Version TrustedDisk Enterprise einen größeren Funktionsumfang für den Unternehmenseinsatz haben (etwa zentrales Management, Smartcard-, Roll-out- und Multi-User-Support et cetera).

Auch für Linux

TrustedDisk soll nicht nur auf Windows-Plattformen laufen, auch eine Linuxversion ist bereits in Arbeit. Ein Veröffentlichungstermin stehe noch nicht fest, denn die rechtliche Prüfung, was erlaubt ist und welche Teile gegebenenfalls neu zu erstellen sind, werde noch einige Wochen brauchen, sagte Alkassar. (ur [7])

URL dieses Artikels:
https://www.heise.de/-2224105

Links in diesem Artikel:
[1] https://www.sirrix.de/
[2] https://www.heise.de/news/Ende-von-Truecrypt-Entwickler-hat-angeblich-Interesse-verloren-2211228.html
[3] https://www.bsi.bund.de/
[4] https://github.com/FreeApophis/TrueCrypt/blob/master/License.txt
[5] http://www.sirrix.de/content/news/65356.htm
[6] http://de.wikipedia.org/wiki/Geheimhaltungsstufe
[7] mailto:ur@ix.de

Copyright © 2014 Heise Medien