TrueCrypt-Entwickler verweigert Lizenz-Umstellung
In einer E-Mail lehnt ein Entwickler eine neue TrueCrypt-Version unter einer offeneren Lizenz rundweg ab. Statt dessen plädiert er für einen kompletten Neuanfang.
"Das ist nicht möglich" beschied einer der TrueCrypt-Entwickler die Anfrage um Erlaubnis, den Code unter eine der akzeptierten Open-Source-Lizenzen zu stellen und damit eine geregelte Nachfolge zu ermöglichen. Lediglich gegen eine Nutzung als Referenz für eine Neu-Implementierung hatte er keine Einwände.
Die Zukunft des verlassenen TrueCrypt-Projekts ist nach wie vor ungeklärt. Die Entwickler hatten das Projekt vor einigen Wochen überraschend für beendet erklärt und den Umstieg auf Microsofts Bitlocker empfohlen. Eines der Hauptprobleme für eine Weiterführung des Open-Source-Projekts ist die sehr eigenwillige Lizenz, die viele Nutzungsszenarien ausschließt. Der Koordinator der TrueCrypt-Audits Matthew Green bat deshalb die TrueCrypt-Entwickler um Erlaubnis, den Code unter einer der Standard-Open-Source-Lizenzen wie der GPL, der BSD- oder der MIT-Lizenz zu forken.
Doch der angeschriebene Entwickler lehnt dieses Ansinnen rundweg ab: "Es tut mir leid, das ist nicht möglich. Ich glaube nicht, dass ein Fork von TrueCrypt eine gute Idee wäre, wir wollten den Code ohnehin schon seit einiger Zeit komplett neu schreiben", heißt es in der von Green veröffentlichten Antwort. Das sei auch nicht viel mehr Arbeit als den aktuellen Code komplett zu analysieren und zu verstehen. "Ich habe kein Problem damit, wenn der Quellcode als Referenz genutzt wird" schließt er seine knappe Absage ab.
Und nun?
Damit stellt sich die Frage erneut, wie es mit TrueCrypt weitergehen soll. Dass es einen Nachfolger braucht, ist unstrittig; die von den Entwicklern skizzierten Umstiegsszenarien zieht niemand ernsthaft in Erwägung. TrueCrypt vereint eine ganze Reihe von einzigartigen Vorteilen. Der Quellcode ist komplett offen und ein professionelles Auditing förderte keine wesentlichen Schwächen zu Tage. Das Programm arbeitet sowohl mit einzelnen Dateien wie auch mit kompletten Festplatten und es läuft auf allen wichtigen Betriebssystemen.
Außerdem ist TrueCrypt – erstaunlicherweise – derzeit eines der wenigen Krypto-Projekte, die nach wie vor großes Vertrauen genießen. Dass einer der kommerziellen Konkurrenten die Nachfolge antreten kann, ist unwahrscheinlich. Nicht nur weil eigentlich alle Firmen, die sich im Security-Bereich engagieren, sich dem Generalverdacht der Kooperation mit Geheimdiensten ausgesetzt sehen. Sondern auch weil es ernste Zweifel an deren Qualität gibt. "Die meisten kommerziellen Verschlüsselungsprodukte sind Müll" twitterte etwa Matthew Green erst kürzlich. Der ist Professor für Kryptografie und mittlerweile einer der angesehensten, unabhängigen Experten auf dem Gebiet.
Ob ein nicht-autorisierter TrueCrypt-Fork wie das kürzlich angekündigte TrustedDisk OSS von Sirrix unter einer anderen Lizenz nach dieser Absage der Entwickler noch Chancen hat, ist ebenfalls zweifelhaft. Bleibt die von den Entwicklern angeregte, komplette Neuentwicklung – doch die ist ebenfalls nicht in Sicht. Die Diskussion, wie es weitergehen soll, ist also erneut eröffnet; bis sich der Nebel lichtet, kann man sich am heise-Security-Kommentar Truecrypt ist unsicher - und jetzt? orientieren. (ju)