Schlechte Nachricht: TrueCrypt ist leider doch nicht so sicher, wie der erfolgreiche Audit hoffen ließ. Die haben zwei „Klopper“ (Fefe) übersehen.

Was ich bei der Gelegenheit aber lerne: Es gibt einen Fork namens VeraCrypt, in dem die Lücken gerade geschlossen wurden. Gibts für Windows, Linux und Mac, ist Open Source und kann wohl auch TrueCrypt-Container und -Partitionen lesen. Ich sehe auf die Schnelle auch was von „Hidden Volume“ und „Portable Mode“ – das klingt vielversprechend.

Ein Nachteil verschlüsselter Daten ist, dass sie sich so schlecht durchsuchen lassen. Das gilt zumindest für On-the-fly-Verschlüsselungen wie TrueCrypt oder EncFS, wo die Daten erst beim Öffnen tatsächlich entschlüsselt werden und vorher eben nicht in sinnvoll durchsuchbarer Form vorliegen. Das schreit nach einer portablen Desktop-Suche.

Auftritt: DocFetcher. Der kleine Spürhund ist eine Java-Anwendung, die unter Linux, Windows und OS X (nicht getestet) direkt vom Stick bzw. aus dem Container läuft, und die Dateien dabei clevererweise mit relativen Pfaden indizieren kann. Somit können alle Programmversionen mit einer Datenbank arbeiten, und es ist egal, ob ein Container nun als Laufwerk (Win) oder Verzeichnis (Linux) eingehängt ist. Und beim eigentlichen Kerngeschäft – der Suche – bezweifle ich, dass ich jemals alle Optionen nutzen werde:

Über simple Konstrukte wie OR, AND und NOT hinaus unterstützt DocFetcher unter Anderem: Wildcards, Phrasen-Suche, Fuzzy-Suche („finde Wörter, die folgenden Wörtern ähneln: …“), Nachbarschafts-Suche („folgende Wörter sollen höchstens 10 Wörter voneinander entfernt sein“), Boosting („gib Dateien höheres Gewicht, die folgende Wörter enthalten: …“)

Auch wenn die Faktenlage derzeit noch mehr als dünn ist, müssen wir uns von TrueCrypt wohl verabschieden. Die Begründungen „möglicherweise unsicher“, „durch das Ende von XP obsolet“ und „keinen Bock mehr“ sind sicherlich Quatsch, denn die Seite mit der Empfehlung auf Microsofts BitLocker umzusteigen ist eine einzige Satire. Mir erscheint derzeit das Lavabit-Szenario am plausibelsten, aber wer weiß.

Eine gute Nachricht gibt es immerhin: Das Audit des Quellcodes von Version 7.1 wird fortgesetzt und die gibt es auch weiterhin bei heise. Außerdem gibt es ein umfangreiches Archiv mit Sourcecodes und Binaries aller Versionen.