TrueCrypt-Benutzung (Bild © PCMasters)
Bei zahlreichen PC-Usern kommt die Verschlüsselungssoftware TrueCrypt zum Einsatz, denn diese ist nicht nur frei erhältlich, sondern besitzt zudem zahlreiche Optionen, die auch in kommerziellen Profi-Lösungen zum Einsatz kommen.
Allerdings hält sich das hartnäckige Gerücht, dass die Open-Source-Software mit einer Hintertür ausgestattet ist, die die Verschlüsselung umgehen kann. Der erste Bericht zu TrueCrypt wurde bereits im Oktober 2013, von einem kanadischen Studenten, verfasst. Dieser hat herausgefunden, dass die Binärdateien, die für Windows in der 32-Bit-Version ausgeliefert werden, identisch sind mit dem Quellcode, und konnte deshalb keinen schädlichen Code oder eine Hintertür in der Software finden.
Doch die Meinung des Studenten hat vielen Usern nicht ausgereicht, die aus diesem Grund die Initiative "The TrueCrypt Audit" gegründet haben. Dank zahlreicher Spender, unter anderem durch die Crowdfundig-Plattform Indiegogo, wurden 50.000 US-Dollar gesammelt, mit der ein kompletter Audit der Software erstellt werden sollte. Mit diesem wurde die Firma iSEC beauftragt, die gestern ihren fertigen Bericht vorlegte. Auch das unabhängige IT-Unternehmen konnte keinen schädlichen Code finden, weist in seinem Audit allerdings auf elf Probleme hin, die jedoch nicht sonderlich kritisch sein sollen. Drei davon sind rein informeller Natur, denn der Code sei teils nachlässig geschrieben, sodass er keinen hohen Qualitätsanforderungen standhalte. Aus diesem Grund sei es schwierig, mögliche Fehler ausfindig zu machen. Positiv äußert sich iSEC allerdings zur Ausführlichkeit und Qualität der Dokumentation.
Mit dem veröffentlichten Bericht ist die Untersuchung von TrueCrypt aber noch nicht beendet. So ist für die nahe Zukunft eine öffentliche Kryptoanalyse von TrueCrypt 7.1a geplant. Zudem will man die Open-Source-Lizenz 3.0 auf juristische Schwachstellen untersuchen und ihre Kompatibilität mit der GPL prüfen.