Verschlüsselungsprogramme wie Truecrypt sind spätestens seit den Überwachungsenthüllungen um NSA & Co. für breitere Kreise interessant geworden – etwa, um sensible Daten bei Cloudspeicherdiensten zu schützen. Open-Source-Programme gelten dabei zugleich als letzte Hoffnung, denn nur hier kann überprüft werden, welche Verfahren dahinterstehen und ob der Programmcode manipuliert wurde. Wie die Snowden-Enthüllungen gezeigt haben, ist gerade die konkrete Umsetzung der Verschlüsselung entscheidend.
Allerdings: Jemand muss die Programme dann auch tatsächlich überprüfen. Matthew Green, Informatikprofessor an der Johns-Hopkins-Universität und sein Forscherkollege Kenneth White rufen daher zu einem Audit für Truecrypt auf und sammeln derzeit Geld über Crowdfunding. Auf IsTrueCryptAuditedYet.com fassen sie ihr Vorhaben zusammen.
Rechtliche und technische Prüfung
Mit dem geplanten Audit verbinden sie vier Ziele: Erstens soll die von Truecrypt verwendete Lizenz daraufhin geprüft werden, ob sie mit den bei freier Software gebräuchlichen Lizenzen wie der GPL kompatibel ist. Dann könnte das Programm etwa bei Linux-Systemen gleich mitgeliefert werden. Zweitens soll der Prozess verbessert werden, in dem aus dem Programmcode das ausführbare Programm erstellt wird. Das „Ubuntu Privacy Remix Team” hatte hier bereits auf mögliche Risiken hingewiesen.
Neben weiteren Fehlerbehebungen soll dann viertens die gesamte Codebasis einer Kryptoanalyse unterzogen werden, Green und White wollen Sicherheitsfirmen dafür gewinnen. Tatsächlich sind die eigentlichen Urheber von Truecrypt unbekannt, wie Green in einem Blogpost schreibt. Zugleich legt er Wert darauf, dass er lediglich mögliche Probleme aufzähle, die auch jedes andere Programm betreffen könnten:
Let me be clear: I am not implying anything like this. Not even a little. The ‘problem’ with Truecrypt is the same problem we have with any popular security software in the post-September–5 era: we don’t know what to trust anymore.
Wieviel von den Plänen letztlich umgesetzt wird, steht noch nicht fest; ein festes Crowdfunding-Ziel haben die Forscher nicht festgelegt. Aktuell haben sie bereits gut 41.000 Dollar gesammelt. Die Wahl sei auf Truecrypt gefallen, weil das Programm weit verbreitet sei und zu den wenigen Lösungen gehöre, die auch von durchschnittlichen Anwendern leicht bedient werden können.