TrueCrypt Tutorial: Wirklich tragbare Datenverschlüsselung

Eine kurze Präsentation der Funktionen des Programms

TrueCrypt ist eine kostenlose Software, die Daten “on-the-fly” verschlüsselt. Die neueste veröffentlichte Version ist derzeit Version 4.3. Mit TrueCrypt können Sie ein verschlüsseltes Laufwerk, eine separate Partition oder ein Verzeichnis erstellen. Es verschlüsselt nicht nur den Inhalt von Dateien, sondern auch deren Namen und die Namen der Verzeichnisse, in denen sie sich befinden. Darüber hinaus gibt es keine Möglichkeit, die Größe des verschlüsselten Verzeichnisses/HDD/Partition zu überprüfen. TrueCrypt ist für Windows und Linux verfügbar.

Vorteile von TrueCrypt:

erstellt ein verschlüsseltes Laufwerk und bindet es ein,
verschlüsselt ein gesamtes Laufwerk, eine ausgewählte Partition/ein Verzeichnis und sogar einen USB-Stick,
die Verschlüsselung erfolgt automatisch, on-the-fly und ist für den Benutzer transparent,
es gibt keine Möglichkeit, die Größe der verschlüsselten Partition/des Verzeichnisses zu überprüfen,
verwendet Verschlüsselungsalgorithmen wie: AES -256, Serpent, Twofish,
ermöglicht die Erstellung eines versteckten Volumens,
im Gebrauch kann man zwischen dem erstellten Volumen und gewöhnlichen Daten nicht unterscheiden,
es ist sehr einfach zu bedienen,
die mit TrueCrypt erstellten virtuellen Laufwerke sind völlig unabhängig vom Betriebssystem,
Autorisierungsschlüssel können auf einem USB-Stick gespeichert werden.
und vieles mehr…

Es gibt drei Möglichkeiten, die verschlüsselten Daten zu sichern:

mit einem Passwort,
mit einem speziellen Schlüssel,
mit sowohl einem Passwort als auch einem Schlüssel.

Was ist dieser Schlüssel? Der Schlüssel kann jede Datei von Ihrer Festplatte sein, z.B.: *.avi, *.mpg oder *.txt und sogar ein ganzes Verzeichnis, das einige Dateien enthält. Warnung! Seien Sie vorsichtig, wenn Sie eine *.txt-Datei als Schlüssel verwenden, denn wenn Sie sie ändern, ändert sich der Schlüssel und Sie können Ihre Daten nicht entschlüsseln. Was passiert, wenn Sie Ihren Schlüssel verlieren? Sie werden Ihre Daten niemals wiederherstellen! Deshalb empfehle ich, sowohl den Schlüssel als auch das Passwort als die beste Methode zu verwenden. In diesem Fall können Sie, wenn Sie Ihren Schlüssel verlieren, ihn ändern, indem Sie das richtige Passwort eingeben, und umgekehrt. Natürlich gibt es keine ideale Lösung, denn Sie können Ihr Passwort vergessen und gleichzeitig Ihren Schlüssel verlieren.

Ein kurzer Vergleich von TrueCrypt und DM-Crypt

Tatsächlich ist es sehr schwierig zu sagen, welches dieser Programme besser ist. Nach einer mühsamen Überprüfung der Beschreibungen ihrer Optionen und Überlegungen zu beiden, wurde mir klar, dass die beste Lösung darin besteht, beide zu kombinieren. Beide ermöglichen es Ihnen, einen sogenannten “Container” zu erstellen, der eine verschlüsselte Datei ist, die wie ein Verzeichnis funktioniert, in dem Sie Ihre privaten Dateien speichern können (eine sehr nützliche Funktion, wenn Sie nicht die gesamte Partition verschlüsseln möchten). Der große Vorteil dieser Programme ist, dass sie Daten während des Brennens auf eine CD/DVD verschlüsseln können. Ein kleiner Nachteil von TrueCrypt könnte sein, dass Sie nach dem Neuladen des Kernels das TrueCrypt-Modul erneut installieren müssen. Andererseits — in TrueCrypt können Sie gleichzeitig verschiedene Verschlüsselungsalgorithmen verwenden! Es läuft auch unter Windows, sodass TrueCrypt die bessere Wahl ist, wenn Sie beide Systeme verwenden.

Wie wählt man den besten Schlüssel aus?

Persönlich empfehle ich nicht, eine beliebige Datei oder ein Verzeichnis von Ihrer Festplatte als Schlüssel auszuwählen. Der beste Weg ist die Verwendung eines speziellen Schlüsselgenerators, der in TrueCrypt integriert ist. RNG - Zufallszahlengenerator - ist die Funktion, die einige zufällige Daten mit einer maximalen Größe von 320 Bytes erstellt und diese in einer zuvor gewählten Datei speichert. Wie werden zufällige Daten generiert? Wenn es sich um Linux handelt, verwendet RNG /dev/random oder /dev/urandom, die all das Rauschen repräsentieren, das von Geräten erzeugt wird, die an Ihren PC angeschlossen sind, wie z.B. Maus und Tastatur.

Wie funktioniert TrueCrypt?

Der gesamte Verschlüsselungsprozess ist für den Benutzer transparent. Beim Kopieren einer Datei auf das verschlüsselte Laufwerk werden ihre Bestandteile (wenn es sich um eine große Datei wie einen Film handelt) in den RAM kopiert, dann verschlüsselt und in die Zieldatei gespeichert. Der Entschlüsselungsprozess ist derselbe. Zuerst wird die Datei, in Fragmenten, in den RAM entschlüsselt und anschließend an den Benutzer weitergegeben. TrueCrypt speichert niemals unverschlüsselte Daten auf dem Laufwerk, verschlüsselte Daten werden immer im RAM gespeichert. Dies ist eine sehr sichere Methode, die einen versehentlichen Zugriff auf Ihre Dateien verhindert.

TrueCrypt herunterladen

Die neueste Version des Programms finden Sie immer auf http://www.truecrypt.org. TrueCrypt benötigt ein Tool namens dmsetup, um korrekt zu funktionieren. Dmsetup ist ein Tool, das es Ihnen ermöglicht, mit logischen Laufwerken zu arbeiten, die mit dem Gerätetreiber gemappt sind. Die neueste Version von dmsetup ist auf http://sources.redhat.com/dm/ verfügbar. Das erste, was Sie nach dem Herunterladen des Quellcodes tun müssen, ist die Installation von dmsetup:

tar -zxvf device-mapper.*your_version_no*  
cd device-mapper.*your_version_no*  
./configure  
make  
make install (als root oder sudo)

Wenn alles gut gelaufen ist, versuchen Sie, TrueCrypt zu installieren:

tar -zxvf truecrypt-*your_version_no*  
cd truecrypt-*your_version_no*

Geben Sie das Verzeichnis linux ein und installieren Sie:

cd linux  
./build.sh

Überprüfung der Build-Anforderungen...  
Bauen des Kernelmoduls... Fertig.  
Bauen von truecrypt... Fertig.

Zuerst überprüft das Skript, ob Ihr System alle Anforderungen erfüllt, es wird Ihnen Informationen anzeigen, wenn es nicht in der Lage ist, den Speicherort eines Pakets zu finden. Warnung! Um TrueCrypt ordnungsgemäß zu installieren, müssen Sie einen Kernel 2.6.5 oder neuer haben.

Als nächstes führen Sie aus:

./install.sh *(als root oder sudo)*

Überprüfung der Installationsanforderungen…
Testen von truecrypt… Fertig.

Installieren Sie Binärdateien in [/usr/bin]: drücken Sie [Enter]
Installieren Sie die Man-Seite in [/usr/share/man]: drücken Sie [Enter]
Installieren Sie die Benutzeranleitung und das Kernelmodul in [/usr/share/truecrypt]: [Enter]
Erlauben Sie nicht-administrativen Benutzern, TrueCrypt auszuführen [y/N]: um nicht-root Benutzern die Verwendung von TrueCrypt zu erlauben, drücken Sie [y], sonst [N]
Installieren des Kernelmoduls… Fertig.
Installieren von truecrypt in /usr/bin… Fertig.
Installieren der Man-Seite in /usr/share/man/man1… Fertig.
Installieren der Benutzeranleitung in /usr/share/truecrypt/doc… Fertig.
Installieren des Backup-Kernelmoduls in /usr/share/truecrypt/kernel… Fertig.

Wenn alles wie oben beschrieben abgelaufen ist, können Sie fortfahren.

Die Schlüsselerzeugung

Um einen Schlüssel zu generieren, geben Sie ein:

truecrypt --keyfile-create key.txt

Natürlich können Sie einen anderen Schlüsselnamen und die Erweiterung wählen.

Ist Ihre Maus direkt mit dem Computer verbunden, auf dem TrueCrypt läuft? Drücken Sie “Y”, dann werden Sie aufgefordert, Ihre Maus zu bewegen.

Wenn alles in Ordnung war, wird folgender Text angezeigt: Schlüsseldatei erstellt.

Die Erstellung des virtuellen Volumens

Um ein neues Volumen zu erstellen, müssen Sie seinen Namen und Typ berücksichtigen. Es gibt nur zwei Arten von Volumen: normal und versteckt. Was ist der Unterschied zwischen ihnen? Das versteckte ist genau das, versteckt (die Platzierung ist anders - mehr Informationen auf der TrueCrypt-Homepage).

Geben Sie im Terminal ein:

truecrypt -c home.txt

Sie erstellen ein Volumen mit dem Namen home.txt. Die Erweiterung liegt im Ermessen des Benutzers, ich habe *.txt gewählt, weil es für einen potenziellen Hacker schwieriger ist, zu entdecken, dass es sich um ein Volumen handelt.

Volumentyp:

Normal
Versteckt
Wählen Sie [1]: wählen Sie 1

Dateisystem:

FAT
Keine
Wählen Sie [1]: wählen Sie 2, weil Sie ein anderes Dateisystem als FAT
auf Ihrem Volumen erstellen werden, standardmäßig ist es FAT

Geben Sie die Volumengröße (Bytes - size/sizeK/sizeM/sizeG) ein: 10M -
jetzt geben Sie eine Größe für Ihr Volumen an, ich habe 10 MB gewählt

Hash-Algorithmus:

RIPEMD-160
SHA-1
Whirlpool
Wählen Sie [1]: wählen Sie Hash, ich empfehle SHA-1, standardmäßig ist es RIPEMD-160

Verschlüsselungsalgorithmus:
1 ) AES
2 ) Blowfish
3 ) CAST5
4 ) Serpent
5 ) Triple DES
6 ) Twofish
7 ) AES-Twofish
8 ) AES-Twofish-Serpent
9 ) Serpent-AES
10 ) Serpent-Twofish-AES
11 ) Twofish-Serpent Wählen Sie [1]: wählen Sie den Algorithmus, standardmäßig ist es AES

Geben Sie das Passwort für das neue Volumen ‘home.txt’ ein: drücken Sie [Enter], wenn Sie kein Passwort möchten

Geben Sie das Passwort erneut ein: drücken Sie [Enter] erneut

Geben Sie den Schlüsseldateipfad [none] ein: hier geben Sie einen vollständigen Pfad zum Schlüssel ein oder lassen Sie ihn leer, wenn Sie keinen Schlüssel haben

Geben Sie den Schlüsseldateipfad [finish] ein: Sie werden erneut aufgefordert, den Pfad einzugeben. Falls Sie mehr als einen Schlüssel haben, geben Sie einen anderen Pfad ein, und wenn Sie alle Schlüsselpfade eingegeben haben, lassen Sie ihn leer und drücken Sie [Enter]

TrueCrypt wird jetzt zufällige Daten sammeln.

Ist Ihre Maus direkt mit dem Computer verbunden, auf dem TrueCrypt läuft? Drücken Sie “Y”, wenn Ihre Maus direkt mit Ihrem PC verbunden ist, aber versuchen Sie “n” zu drücken und sehen Sie, was passiert

Bitte geben Sie mindestens 320 zufällig gewählte Zeichen ein und drücken Sie dann Enter: wenn Sie weniger als erforderlich eingeben, zeigt das Programm Ihnen an, wie viele fehlen

Jetzt wird das Programm beginnen, Ihr Volumen zu erstellen. Die benötigte Zeit für diesen Vorgang hängt von Ihrer CPU und der Größe des Volumens ab. Das Skript wird Sie informieren, wenn es abgeschlossen ist (Volumen erstellt). Im Home-Verzeichnis des Root-Benutzers sollte eine Datei home.txt vorhanden sein. Sie können versuchen, sie in einem Textverarbeitungsprogramm zu öffnen, meine Glückwünsche, wenn Sie etwas daraus lesen können.

Volumen-Mapping und Erstellung des Dateisystems.

Wie Sie sich erinnern, haben Sie während des Erstellungsprozesses kein Dateisystem für Ihr Volumen ausgewählt. Deshalb müssen Sie das jetzt tun. Dies ist erforderlich, da TrueCrypt das Linux-Tool mount verwendet, um ein Volumen zu mounten, dem ein Dateisystem als Option übergeben werden muss.

Geben Sie ein:

truecrypt /root/home.txt -k /root/key

Geben Sie das Passwort für ‘/root/home.txt’ ein: wenn es kein Passwort für dieses Volumen gibt, drücken Sie einfach [Enter]

OK. Um zu überprüfen, ob das Mapping gut gelaufen ist, geben Sie ein:

truecrypt -vl

(zeigt Informationen über gemappte Geräte an)

Wenn keine Informationen angezeigt werden, bedeutet das, dass etwas schiefgelaufen ist.

Jetzt erstellen Sie ein Dateisystem:

mkfs.ext3 /dev/mapper/truecrypt0

Sie können jedes Dateisystem wählen

Das Dateisystem wurde erstellt.

Erstellen von gemappten Volumen

Jetzt, wo Sie ein Dateisystem auf Ihrem Volumen erstellt und es gemappt haben, können Sie es in jedes Verzeichnis einbinden.

Geben Sie dazu ein:

truecrypt -d /dev/mapper/truecrypt0

entfernt das Mapping des Volumens

mkdir encrypted -

erstellt ein Verzeichnis mit dem Namen “encrypted”, dies ist das Verzeichnis, in dem Sie das Volumen einbinden werden

truecrypt /root/home.txt -k /root/key /root/encrypted

bindet das Volumen in das verschlüsselte Verzeichnis ein

Fertig! Von nun an werden alle Daten, die im Verzeichnis “encrypted” gespeichert werden, verschlüsselt.

Aber was sollten Sie tun, um ein bereits vorhandenes Verzeichnis zu verschlüsseln? Das ist ganz einfach. Verschieben Sie einfach die Daten aus diesem Verzeichnis, binden Sie das Volumen in dieses Verzeichnis ein und verschieben Sie die Daten zurück in dieses Verzeichnis. Denken Sie daran, das Volumen entsprechend groß zu wählen, wenn Sie seine Größe angeben, denn sonst wird es nicht alle Daten aufnehmen. Die Größe des Volumens sollte etwas größer sein als die Größe des Verzeichnisses.

Automatisches Einbinden nach dem Neustart.

Wie Sie feststellen werden, müssen Sie nach einem Neustart das Volumen erneut einbinden. Es gibt einen einfachen Weg, dies zu tun. Beim Durchstöbern eines Forums auf der TrueCrypt-Homepage habe ich zwei verschiedene Lösungen gefunden:

ein Skript zu /etc/init.d oder /etc/rc.d hinzufügen,
erstellen Sie im Home-Verzeichnis eine Konfigurationsdatei mit dem Namen .profile und bearbeiten Sie sie entsprechend.

Ich empfehle Ihnen, den zweiten Weg zu verwenden, den ich unten beschreibe. Warum? Es gibt einen einfachen Grund. Angenommen, Sie haben das Volumen mit einem Schlüssel und einem Passwort oder sogar nur mit einem Passwort gesichert. In diesem Fall müssen Sie beim Ausführen von Boot-Skripten, die in den init.d oder rc.d Verzeichnissen platziert sind, TrueCrypt mit dem Parameter -p initialisieren, und das Passwort würde dort explizit geschrieben werden, was nicht die klügste Lösung ist. Auf diese Weise könnte jeder Ihr Passwort lesen.

Vielleicht gibt es bereits eine Datei .profile in Ihrem Home-Verzeichnis, aber wenn nicht:

touch .profile - erstellt eine neue Datei .profile

Öffnen Sie .profile in einem Editor und fügen Sie die folgende Zeile hinzu:

truecrypt /root/home.txt -k /root/key /root/encrypted

Speichern Sie die Änderungen und verlassen Sie den Editor. Jetzt wird TrueCrypt jedes Mal, wenn Sie sich im System anmelden, nach Ihrem Passwort fragen (das Sie nicht haben, da Sie in diesem Beispiel nur durch den Schlüssel identifiziert sind, also drücken Sie einfach [Enter]), und das virtuelle Volumen wird eingebunden.

Kann ich den Schlüssel auf einem USB-Stick aufbewahren?

Ja, es gibt eine solche Option, und Sie können mir glauben, es ist nicht so schwierig. Das erste, was Sie tun müssen, ist, das USB-Laufwerk beim Start automatisch einzubinden. Dazu müssen Sie /etc/fstab bearbeiten. Erstellen Sie dann ein neues Verzeichnis für den USB-Stick in /mnt:

mkdir /mnt/pendrive

Zuerst müssen Sie sehen, wo der USB-Stick im System ist. Stecken Sie den USB-Stick in den USB-Port und führen Sie den folgenden Befehl aus:

dmesg > output.txt

Am Ende der Datei sollte eine Zeile wie diese stehen:

usb 1-1: configuration #1 chosen from 1 choice  
uba: uba1

Wie Sie sehen können, ist das USB-Laufwerk auf meinem PC bei /dev/uba1. Sie haben es möglicherweise bei /dev/sda. Jetzt müssen Sie */etc/fstab ändern. Fügen Sie diese Zeile hinzu:

/dev/uba1  /mnt/pendrive  auto  defaults  0  0

Geben Sie dann ein:

mount /mnt/pendrive

Der nächste Schritt besteht darin, den Schlüssel auf das USB-Laufwerk zu verschieben und die Zeile in Ihrer .profile-Datei zu ändern, die den Pfad zum Schlüssel /mnt/pendrive enthält. Fertig!

Jetzt bindet das System das virtuelle Volumen nach dem Neustart automatisch ein. Was sind die Nachteile des automatischen Einbindens? Angenommen, Sie haben einen sehr neugierigen Geschwister und möchten nicht, dass sie auf einige Teile Ihres Systems zugreifen (unabhängig davon, ob Sie unter Windows oder Linux arbeiten). Wenn Sie sich nur mit dem Schlüssel autorisieren und dieser irgendwo auf der HDD gespeichert ist, werden die Daten nach dem Booten entschlüsselt. “Aber ich habe meinen Schlüssel auf dem USB-Laufwerk.” Was ist, wenn Sie vergessen, ihn nach der Arbeit aus dem PC zu nehmen?

Die Zukunft

In naher Zukunft planen die Entwickler von TrueCrypt, seine Funktionen zu erweitern:

die MAC OS-Version,
Hinzufügen einer externen Autorisierung (so wird es die Möglichkeit der Entschlüsselung über das Netzwerk/Internet geben),
Erstellung einer offiziellen GUI für TrueCrypt,
und vieles mehr…

Gibt es inoffizielle GUI-Schichten für TrueCrypt? Natürlich gibt es die. Ich empfehle Ihnen, einen Blick auf die folgende Webseite zu werfen: TruecryptGUI bei GoogleCode. Für weitere Informationen besuchen Sie das TrueCrypt-Forum.

Übersetzung ins Englische: Borys Musielak

Korrektur: T_ziel

Autor: Marcin Lipiec alias “lipiec”

Dieser Text wurde zuerst auf polishlinux.org veröffentlicht.