Blog

#Interview mit dem Programmierer von AxCrypt

Im Zuge der Truecrypt-Schlagzeilen, die das Ende des bisherigen Projektes bedeuten, habe ich mal wieder meine selbst genutzt Open Source Software aktualisiert. Dazu zählt unter anderem die Verschlüsselungssoftware AxCrypt. Die Software habe ich auch in meine Softwareempfehlungsliste aufgenommen. Der Grund: Einfach installiert! Einfach über das Kontextmenü in MS Windows nutzbar! Open Source! Zusätzlich habe ich das gemacht, was ich unregelmäßig tue: Dem Programmierer eine kleine Spende von 5 Euro zukommen lassen. Wie ich es nicht anders kenne von Open-Source-Entwicklern kam prompt ein Dank per eMail. Darüber sind wir ins Gespräch gekommen und ich habe ein paar Fragen formuliert. Der Programmierer, Herr Svante Seleborg, war so frei mitzumachen. Der Vollständigkeit wegen und falls meine deutsche Übersetzung nicht korrekt ist, findet Ihr am Ende auch das Original in Englisch. Ihr könnt mich gerne korrigieren, wenn ich etwas falsch gemacht habe. Vielleicht ist es für Euch von Interesse:

 

1. Haben Sie als Urheber ähnlich wie im Truecrypt-Fall bereits an ein Ende Ihrer Produkte gedacht?

Ein grundlegender Unterschied zwischen AxCrypt und TrueCrypt ist, dass es keine Unsicherheit über die Lizenz oder die Herkunft gibt. AxCrypt ist unter der GPL, die bekannt ist und jedermann nutzen kann, wenn ich meine Arbeit eingestellt habe. TrueCrypt hat eine individuelle Lizenz, die wahrscheinlich nicht zulassen wird, dass jemand das Projekt übernehmen kann. Außerdem verbringe ich Zeit und Mühe für jedes Major-Release, um sicherzustellen, dass AxCrypt mit kostenlosen Tools gebaut werden kann, und biete detaillierte Anweisungen, wie dies zu tun ist. TrueCrypt zu bauen ist offenbar eine größere Herausforderung. Also ich bin ziemlich zuversichtlich, dass, sollte ich nicht in der Lage oder nicht Willens sein die AxCrypt Entwicklung fortsetzen zu können, es keine praktischen oder rechtlichen Hindernisse für jemand anderen gibt zu übernehmen.

2. Würde es jemanden geben, um das Projekt fortzusetzen, wenn Sie nicht mehr wollen oder können?

Es gibt niemanden, der sich um die Entwicklung momentan weiter gekümmert hat. Aber für die Version 2.x, die komplett neu geschrieben ist, einfacher als C++, nämlich in C#, ist die Zahl der potenziellen Entwickler dramatisch höher.

3. Ist die Bereitschaft der Benutzer zu spenden bemerkbar?

Leider haben nur sehr wenige Nutzer eine Spende in Betracht gezogen, so dass ich die unbequeme Entscheidung treffen musste dem AxCrypt-Installationsprogramm die Option für zusätzliche Software beizufügen. Das ist nicht wirklich befriedigend, aber ich habe Rechnungen zu bezahlen. Für die Wartung von Servern, Entwicklungsmaschinen, Softwarelizenzen usw. laufen erhebliche Summen an. Den Aufwand für meine Arbeit noch nicht berücksichtigt.

4. Würden Sie sich mehr wünschen? Auch Hilfe bei der Programmierung, Prüfungen, etc?

Ein Traum wäre natürlich in der Lage zu sein die Entwicklung voll mit Spenden zu meistern, und mit Spenden in Vollzeit finanziert zu arbeiten. Das ist nicht wahrscheinlich, so dass ich eine andere typische Art und Weise für recht erfolgreiche freie Software einschlagen werde und eine freie Basisversion kostenlos anbiete, während eine erweiterte Premium-Version verkauft wird. Einige Programmierbeiträge wären auch toll, obwohl es ein bisschen schwieriger wäre, da jeder Code, der sicherheitsrelevanten Anforderungen entsprechen soll sehr sorgfältig geprüft werden muss

5. Falls Sie es erzählen dürfen: Haben jemals Behörden an Ihre Türen geklopft? Immerhin verteilen Sie Software mit denen Geheimnisse versteckt werden können.

Ich bin nie aufgefordert worden eine Hintertür von einer Regierungsbehörde hinzuzufügen. Aber einige Unternehmen haben mich für eine Unternehmensversion nach einem Hauptschlüssel oder einer ähnlichen Funktion gefragt – manchmal versteckt. Ich habe zwar keine wirklichen Probleme mit einer Schlüssel-Recovery-Funktion, so lange, wie es den Benutzern deutlich gemacht wird und kontrollierbar ist. Ich würde nie etwas implementieren, was als versteckte Funktion bezeichnet werden könnte.

Was mehrmals passiert ist, ist dass Polizei und Behörden aus verschiedenen Ländern um Hilfe bei laufenden Ermittlungen gebeten haben. In der Regel wegen illegaler Pornographie. Nach der Bestätigung der wahren Identität der anfragenden Stelle, habe ich den Code und einige grundlegende Unterstützung für eine Brute-Force-Methode zur Verfügung gestellt. Dieser gleiche Code steht jedem zur Verfügung der fragt. Ich werde Arbeiten mit Behörden in bestimmten Fällen unterstützen, aber nur in dem Umfang der Bereitstellung von Werkzeugen für Brute-Force-Attacken. Ich würde keinen Code einbauen der zum Beispiel eine versteckte Hintertür oder Keylogger oder so etwas enthalten würde. Ich würde keine Anstrengungen zur Verringerung der Sicherheit von AxCrypt unternehmen.

Ein Vorteil des Betriebs aus Schweden ist, dass es keine Vorschriften im schwedischen Rechtssystem gibt, die mich zwingen könnten solche Maßnahmen umzusetzen. In der Tat sollte die Tatsache, dass ich ein schwedischer Staatsbürger bin, der die Entwicklung von Open Source Software in Schweden erledigt, das allgemeine Vertrauen in die Software erhöhen. Verglichen mit einem Land mit einem weltweit aktiven Militär- und Geheimdienst.

6. Planen Sie Änderungen an AxCrypt oder mit Ihren anderen Angeboten?

Wie bereits erwähnt, schreibe ich die gesamte Anwendung von Grund auf in C#, wodurch es möglich ist mit dem Mono-Framework von Xamarin zu AxCrypt für Windows, Mac OS X, iOS, Android, Windows Phone und Linux zu gelangen. Als Teil dieser Bemühungen werde ich versuchen einen Übergang zu einem Freemium-Geschäftsmodell zu schaffen. Das Ziel ist, dass die gesamte Funktionalität, die heute kostenlos verfügbar ist, auch weiterhin frei und Open Source sein wird. Jeder kann den Fortschritt hier verfolgen: https://bitbucket.org/axantum/axcrypt-net.

7. Sie haben fünf Sätze, um etwas über Ihre Projekte und Ihre Person zu sagen!

Nach fast 15 Jahren der Entwicklung an AxCrypt, ist das Basismodell der Datei-Verschlüsselung noch gültig und noch mehr als je zuvor mit dem Aufkommen der dateibasierten Cloud-Speicher wie Dropbox und Google Drive etc nötig. Neue Erkenntnisse zeigen, dass das, was wir in der Wolke speichern, für Spionage von vielen Institutionen offen und starke Verschlüsselung der einzige wirkliche Schutz für Individuen als auch Unternehmen und Regierungen ist. Ich hoffe, dass ich weiterhin die Open-Source-Gemeine unterstützen kann, mit ordnungsgemäß umgesetzter hochwertiger Verschlüsselungssoftware, sowohl in kostenlosen Versionen und Bezahl-Versionen, die erfolgreich genug sind, um die weitere Entwicklung für die kommenden Jahren zu ermöglichen. Ich persönlich träume von dem Tag, als dass ich alle meine Arbeitszeit auf AxCrypt konzentrieren und von überall auf der Welt erledigen kann, vor allem aus einem Berggebiet mit guter Internetanbindung und großen Steigungen für Off-Piste-Fahrten.

Freundliche Grüße
Svante Seleborg
Axantum Software AB

 

Wenn Ihr Open-Source-Software nutzt, vergesst nicht zu spenden! Wenn Ihr AxCrypt nutzt oder nutzen wollt, habt Ihr jetzt die Gelegenheit! :c)

 

Hier die englische Version:

 

1. Have you ever thought of the end of AxCrypt and the other products just like it currently happened to TC?

A fundamental difference between AxCrypt and TrueCrypt is that there is uncertainty about the license or the provenance. AxCrypt is licensed under GPL which is well known and anyone can pick up where I would have left off. TrueCrypt has a custom license which probably does not allow anyone to take over. Also, I spend time and effort for
each major release to ensure that AxCrypt can be built with free tools, and provide detailed instructions on how to do so. Building TrueCrypt is apparently more of a challenge. So I am fairly confident that should I be unable or unwilling to continue development on AxCrypt, there are no practical or legal obstacles for someone else to take over.

2. Would there be anyone to continue the project if you couldn’t anymore or don’t want anymore?

There is no one who has signed up to continue development right now, but for version 2.x which is completely rewritten using a more easy-to-work-with language than C++, namely C#, the number of potential developers who can take over increase dramatically.

3. Is the willingness to donate from users noticable?

Unfortunately, very few users donate which has led me to the uncomfortable decision to bundle the AxCrypt installer with various offers for additional software. This is not really satisfactory either, but I do have bills to pay. Just maintaining servers, development machines, software licenses etc runs to significant sums. This is without counting the cost of my time.

4. Would you wish for more? Also help with programming, audits, etc?

A dream would of course be to be able to support development fully with donations, and thus be able to work on it full-time financed with donations. This is not likely to happen anytime soon though, so instead I’m looking to go the other typical way of reasonably successful free software into a freemium model where the basic version is free, while an advanced premium version is sold. Some programming contributions would also be great, although it’s a bit harder since any code that is security sensitive needs to be very carefully audited.

I would really appreciate an independent audit such as was recently launched for TrueCrypt at http://istruecryptauditedyet.com/ . Such an audit would of course be made slightly easier by the fact that I publically acknowledge authorship of AxCrypt, there is no mystery about me or the provenance of AxCrypt and it’s relatively easy to build.

5. In case You can say this: Has the government authorities ever koncked on your doors? After all, you distribute software with secrets that can/should be kept.

I have never been asked to add a backdoor by any government authority, but some companies have asked me for corporate versions with a master key or similar feature – sometimes hidden. While I have no real issue with a key-recovery feature, as long as it’s clearly advertised to users and under control of a known and visible entity, I would never implement anything that could be termed hidden.

What has happened several times though is that police authorities in various countries have asked for help in ongoing criminal investigations, typically concerning illegal pornography. After ensuring the real identity of the requester, I have provided the some code and some basic assistance in writing a brute-force engine. This
same code is available to anyone who asks. I will co-operate with authorities in specific investigations, but only to the extent of providing tools for brute force attacks. I would not provide code that would for example include a hidden back-door or key-logger or something like that. I would not co-operate in any general blanket effort to reduce the security of AxCrypt.

An advantage of me operating from Sweden is that there are no provisions in the Swedish legal system that could force me to implement such measures. In fact, the fact that I am a Swedish citizen developing open source software in Sweden should increase the general confidence in the software, compared to it being developed in a country with a more globally active military and intelligence agency.

6. Are you planning any changes with AxCrypt or with your other offers?

As mentioned earlier, I am rewriting the entire application from the ground up in C#, and thus making it possible with the Mono framework from Xamarin to provide AxCrypt for Windows, Mac OS X, iOS, Android, Windows Phone and Linux. As part of this effort, I’ll try to make a transition to a freemium business model. The goal is that all functionality that is available today for free, will continue to be free and open source in the future as well. Anyone can follow the progress here: https://bitbucket.org/axantum/axcrypt-net .

7. You have five sentences to your projects and your person!

After almost 15 years of development with AxCrypt, the basic model of file-encryption is still valid and even more so than ever with the advent of file-based cloud storage such as DropBox and Google Drive etc. Recent findings show that what we store in the cloud is open for inspection by many entities, and strong encryption is the only real protection for invididuals as well as corporations and governments. I am hoping that I can continue to provide the community with open source, properly implemented high-quality encryption software both in free versions and for-pay versions that are successful enough to allow continued development for many years to come.

Personally I dream of the day when I can spend all my working time on AxCrypt and do so from anywhere in the world, especially from a mountain area with good Internet and great slopes for off-piste skiing!

Best regards,

Svante Seleborg
Axantum Software AB

 

Don’t forget to donate for Open Source Software you are using!

Tagged , , , , ,