Verschwindet ein Fimen-Notebook oder geht ein USB-Stick verloren, ist die Hardware leicht zu verschmerzen. Mehr Sorgen bereiten da schon die Daten auf den Geräten, zumal diese auch für Langfinger meist deutlich interessanter sind als die gestohlenen Geräte an sich. Es hat also durchaus Sinn, sensitive Informationen zu verschlüsseln. Die Verschlüsselung ist allerdings noch keine „silberne Kugel“ gegen Datendiebstahl. Auch wenn Sie noch so gute Schlüssel verwenden, gibt es immer die theoretische Möglichkeit, diese zu knacken. Zudem besteht stets die Gefahr, dass der Nutzer den Schlüssel vergisst, aktuelle Backups sind also Pflicht.
Vorteil der Kryptografie ist, dass sensible Daten dem Dieb nicht auf dem Silbertablett serviert werden. Gewöhnliche Langfinger haben oftmals nicht die Möglichkeit und das Wissen, hohe Verschlüsselungen zu knacken. Auch braucht es nicht in jedem Fall teure Software. TrueCrypt 5.0, das wir in diesem Workshop vorstellen, ist ein mächtiges Tool und kostenlos erhältlich. Aufgrund der Funktionsvielfalt beschränkt sich dieser Artikel auf die Installation, Konfiguration und die wichtigsten Funktionen der Software.
Geschichte: Was ist neu bei TrueCrypt 5.0
TrueCrypt ist alles andere als ein Neuling. Die erste stabile Version erblickte im Februar 2004 das Tageslicht und basierte auf E4M (Encryption for the Masses). Damals gab es das Tool für Windows 2000 und XP. Linux wurde erstmals im November 2005 unter Version 4.0 unterstützt. Die Mac-Variante veröffentlichten die Entwickler mit Version 5.0 am 5. Februar 2008. Somit ist TrueCrypt laut eigener Aussage das einzige Open-Source-Werkzeug in der Verschlüsselungsbranche, das unter Linux, Mac OS X und Windows gleichzeitig verfügbar ist.
Die neueste Version unterstützt außerdem erstmalig die Verschlüsselung ganzer Partitionen mit Pre-Boot-Authentifizierung. Die Geschwindigkeit soll sich in der neuesten Version um bis zu 100 Prozent gesteigert haben. Neu ist auch eine grafische Schnittstelle für Linux. Somit bleiben Pinguin-Liebhabern Kommandozeilen-Orgien erspart. Der Wizard kann nun auch versteckte Laufwerke innerhalb NTFS-Partitionen anlegen. Eingepflegt haben die Entwickler weiterhin SHA-512 und einiges mehr.
Herunterladen können Sie die Software für Windows Vista/XP/2000, Mac OS X Tiger/ Leopard (Intel und PowerPC) und Linux openSUSE (rpm)/Ubuntu (deb). Ebenso steht Ihnen der Quellcode für nicht unterstützte Systeme zum Selbstkompilieren zur Verfügung. Des Weiteren gibt es Übersetzungen in eine Vielzahl von Sprachen. Diese sogenannten Language-Packs können Sie laut eigener Aussage aber nur in der Windows-Version verwenden. Die Zusatzsprache Deutsch finden Sie hier. Diese ist allerdings noch nicht ganz fertig und hat den Status „incomplete“.
Installation von TrueCrypt
Wie schon erwähnt, gibt es für verschiedene Betriebssysteme und Plattformen unterschiedliche Pakete. Die Installation ist somit kein Hexenwerk. Das folgende Kapitel befasst sich mit dem Einspielen unter Windows, Mac OS X und Linux.
Linux
Die Linux-Installation war im Testsystem Kubuntu 7.10 erfreulicherweise denkbar einfach. Nachdem Sie die tar.gz-Datei heruntergeladen haben, packen Sie diese mit tar xzvf truecrypt_5.0***.tar.gz aus. In dem neu generierten Unterordner truecrypt-5.0* finden Sie nun ein deb-Paket. Dies spielen Sie mittels sudo dpkg –i truecrypt_5.0***.deb und Eingabe Ihres Passworts ein. Dieser Schritt enthält auch die Installation der grafischen Benutzeroberfläche. Weitere Schritte sind nicht nötig.
Ein wenig lästig ist, dass der Installationsprozess kein Symbol in der Menüstruktur angelegt hat. Natürlich können Sie das nachholen, die ausführbare Datei findet sich unter /usr/bin/truecrypt. Natürlich lässt sich TrueCrypt auch per Kommandozeile starten.
Windows
Für Windows gibt es eine einzige exe-Datei, die mit Windows Vista, XP und 2000 kompatibel ist. In gewohnter Windows-Manier installieren Sie das Programm mit einem Doppelklick und folgen den Anweisungen.
Mac OS X
Die Installation für Mac OS X funktioniert nach Schema F. Sie klicken die dmg-Datei doppelt, und somit bindet sich nach Akzeptieren der Lizenzbestimmungen ein Laufwerk ein. Hier befindet sich nun das Installationspaket „TrueCrypt 5.0“. Ab hier folgen Sie in gewohnter Mac-Art nur den Anweisungen.
Für eine erfolgreiche Installation ist die Eingabe des Administrator-Passworts notwendig. Danach erscheint das neue Symbol TrueCrypt bei Ihren Anwendungen und ist fertig zu Benutzung. Vielleicht interessiert es den einen oder anderen, dass mit der Standardinstallation von TrueCrypt auch MacFUSE eingespielt wird.
Tipp am Rande: MacFUSE bringt Kompatibilität zu Dateisystemen, die Mac OS X nicht direkt handhaben kann. Sie könnten damit zum Beispiel mittels „NTFS Fuse“-Treiber auf NTFS-Dateisysteme lesend und schreibend zugreifen.
Schritt für Schritt zum verschlüsselten Laufwerk
Positiv fällt auf, dass TrueCrypt keinerlei weitere Änderungen am Betriebssystem benötigt. Einmal installiert, ist es sofort einsatzbereit. Das Prinzip ist einfach: Die Software erzeugt weitere, virtuelle Laufwerke im Dateisystem. Diese lassen sich aber nur mit dem richtigen Schlüssel öffnen und in das System einbinden. Die folgende Bilderstrecke erklärt den Einsatz Schritt für Schritt unter Kubuntu. Die Mac- und Windows-GUIs funktionieren allerdings äquivalent.
Zunächst einmal öffnen Sie TrueCrypt, und Sie sehen die zur Verfügung stehenden Slots. Bevor Sie diese benutzen können, ist erst via „Create Volume“ ein neuer Container anzulegen.
Unter Windows stehen nun zwei Optionen zur Verfügung: Standard oder Hidden. Unter Mac OS X und Linux unterstützt die Software die verstecke Option leider nicht. Da wir uns hier in einem Linux-System befinden, kreieren wir also mit „Next“ ein Standard-Volume. Im nächsten Schritt suchen wir mittels „Select File“ einen Namen und den Speicherort des anzulegenden Datentresors aus. Alternativ könnten Sie mit „Select Device“ eine eigene Partition, einen USB-Stick und andere Speichermedien definieren.
Nun können Sie festlegen, wie groß die neue Partition sei soll. Für den Test haben wir uns für 50 MByte Größe entschieden. Die maximal erlaubte Größe ist nebenbei bemerkt ein PByte (1048576 GByte).
Anschließend wird der Verschlüsselungsalgorithmus festgelegt. Zur Auswahl stehen AES, Serpent, Twofish sowie Kombinationen daraus. Mehr Informationen hierzu finden Sie unter dem Link „More Information“ im Auswahlfenster. Zudem stehen die drei Hash-Algorithmen RIPEMD-160, SHA-512 und Whirlpool zur Wahl. Auch hierzu finden Sie weitere Informationen unter „Information on hash algorithms“.
Danach ist der Passwortschutz an der Reihe. Sie können das Volume durch ein Passwort mit maximal 64 Zeichen schützen. Alternativ lässt sich eine Datei oder ein komplettes Verzeichnis als Schlüssel verwenden. Dabei ist aber wichtig, dass diese Datei oder das Verzeichnis nicht mehr verändert werden sollte, da sonst das Volume unter Umständen nicht mehr entschlüsselbar ist. Möglich ist auch eine Kombination aus Passwort und Dateien. Im Test haben wir uns für ein reines Passwort-Verfahren entschieden.
Anschließend steht die Wahl des Dateisystems an, virtuelle Partitionen können nur als FAT formatiert werden. Würden Sie „none“ auswählen, könnten Sie das Volume später nicht einbinden. Für diese Option finden Sie Informationen im Kapitel „Weitere Tipps zu TrueCrypt“. Wollen Sie ein physikalisches Gerät verschlüsseln, können Sie unter Linux und Mac ebenfalls nur FAT auswählen. Windows dagegen gibt Ihnen die Möglichkeit einer NTFS-Formatierung. Mehr dazu finden Sie im Abschnitt „Besonderheiten unter Windows“. Achtung: Wählen Sie ein physikalisches Gerät, werden alle derzeit darauf befindlichen Daten gelöscht.
Der nächste Schritt erzeugt die eigentliche Verschlüsselung. Hierzu müssen Sie wild mit der Maus „gestikulieren“. Je länger Sie die Maus bewegen, desto stärker wird die Verschlüsselung. Klicken Sie anschließend auf „Format“, um den Datensafe zu erstellen.
Wollen Sie kein weiteres Laufwerk einrichten, beenden Sie den Assistenten mit einem Klick auf „Exit“. Zurück im Hauptfenster binden wir nun das verschlüsselte Laufwerk in das System ein. Wählen Sie einen der verfügbaren Slots und klicken danach auf „Select File“ oder „Select Device“. Im Testszenario haben wir eine Datei generiert und binden diese ein. Mit einem Klick auf „Mount“ fragt die Software nun nach dem vergebenen Passwort.
Haben Sie Schlüsseldateien verwendet, sind diese logischerweise der Software mitzuteilen. Sollten Sie nicht als Benutzer root angemeldet sein, müssen Sie nun noch das Administrator-Passwort eingeben. Das Laufwerk ist jetzt mit rwx-Rechten für den Anwender eingebunden, der TrueCrypt verwendet hat. Beachten Sie jedoch, dass auch der Superuser root dieses Laufwerk lesen und beschreiben könnte. Physikalische Geräte könnten Sie übrigens automtisch mit „Auto-Mount-Devices“ einbinden.
Besonderheiten unter Windows
TrueCrypt für Windows bietet einige Sonderfunktionen, die Ihnen für Linux und Mac OS X nicht zur Verfügung stehen. Zunächst einmal können Sie physikalische Speichergeräte mit dem Dateisystem NTFS formatieren. Dies könnte jedoch zu Schwierigkeiten bei der Plattformunabhängigkeit führen. Eine Standardinstallation von Mac OS X kann das Laufwerk nur lesend einbinden. Unter Linux kommt es darauf an, ob das Paket NTFS-3G installiert ist. Das Testsystem Kubuntu konnte auf verschlüsselte NTFS-Partitionen lesend und schreibend zugreifen.
Ebenso haben Sie die Möglichkeit, versteckte Volume innerhalb von TrueCrypt-Partitionen zu kreieren. Die Entwickler bezeichnen dies als „Hidden Volume“. Das ist allerdings nicht ganz unproblematisch. Die Macher raten dringend ab, etwas auf das „Outer Volume“ zu schreiben, da die versteckte Partition dadurch beschädigt werden könnte. Sollte Sie diese Funktion trotzdem nutzen wollen, binden Sie diese genauso wie andere Container ein. Ob das äußere oder versteckte System eingebunden wird hängt vom Passwort ab. TrueCrypt bietet Ihnen jedoch die Möglichkeit, beim Einbinden des äußeren Volumes den versteckten Teil zu schützen. Mehr Informationen zu den „Hidden Volumes“ finden Sie in der Dokumentation.
Verschlüsselung der kompletten Systempartition
Unter Windows haben Sie außerdem die Möglichkeit, die komplette Systempartition zu verschlüsseln. Wer auch immer das System starten und benutzen will, muss das richtige Passwort wissen. Einen kleinen Haken hat die Sache allerdings. Die ersten 32 KByte am Anfang der Festplatte müssen frei sein. Dorthin installiert sich TrueCrypts Bootloader. Um dies zu realisieren, können Sie Werkzeuge wie Parted Magic oder Partition Magic benutzen. Eine andere Möglichkeit ist, diesen Platz bereits bei der Windows-Installation und Partitionierung der Festplatte freizuhalten.
Wenn Sie das komplette System verschlüsseln, sollten Sie eine „Rescue Disc“ erstellen. Den Menüpunkt hierzu finden Sie unter System – Create Rescue Disc.
Die „none“-Option: andere Dateisysteme sichern
Es gibt auch die Möglichkeit, andere Dateisysteme wie zum Beispiel ext2 zu verschlüsseln; dies erfordert allerdings ein paar Tricks. Ein Beispiel unter Linux soll zeigen, wie das funktioniert. Zunächst einmal erstellen Sie ein TrueCrypt-Volume. Diesmal wählen Sie als Dateisystem jedoch „none“ aus. Ist das Volume angelegt, klicken Sie auf Mount. Öffnen Sie nun den Unterpunkt „Options“, finden Sie ganz unten die Möglichkeit „Filesystem – Do not mount“. Binden Sie auf diese Weise den Datentresor in TrueCrypt ein.
Das Dateisystem lässt sich nun als /dev/loop0 ansprechen. Damit müssen Sie auch weiterarbeiten. Wollen Sie einen digitalen Tresor mit Dateisystem ext2 haben, geben Sie zum Beispiel unter Kubuntu einfach den Befehl sudo mkfs.ext2 /dev/loop0 ein. Danach können Sie das Gerät loop0 als Dateisystem im Betriebssystem einbinden: sudo mount /dev/loop0 /<Verzeichnis>
Bei einigen Distributionen kann hier ein Bug nervig sein. Dieser bewirkt, dass das System immer langsamer wird. Laut diesem Foreneintrag hat das ein Entwickler bestätigt. Im Kernel 2.6.24 soll der Fehler behoben sein. Unter anderem die Ubuntu-Familie 8.04 enthält Kernel 2.6.24.
Volume-Tools und Datensicherung
Mit den Werkzeugen zur Volumeverwaltung sollte man sich schnell zurechtfinden. So können Sie hier das Passwort des Datentresors ändern, Schlüsseldateien hinzufügen oder entfernen und den Hash-Algorithmus ändern. Am wichtigsten sind jedoch die Optionen „Backup Volume Header“ und „Restore Volume Header“. Sollte der Header beschädigt sein und Sie haben keine Backup, ist es nahezu unmöglich, wieder an die Daten zu kommen. In der Sicherung befinden sich ebenfalls das Passwort und Informationen zu den benutzten Keyfiles. Das Backup sichert sowohl Standard- als auch Hidden-Header, selbst wenn Letzterer gar nicht vorhanden ist.
Bei einem Restore setzt das Werkzeug das Passwort und die benutzten Schlüsseldateien auf den Zeitpunkt der Sicherung zurück – selbst wenn Sie diese in der Zwischenzeit geändert haben. Denken Sie bei einer Sicherung auch daran, eventuell benutzte Keyfiles zu lagern. Das Backup von virtuellen Partitionen ist denkbar simpel. Da es sich hier um Dateien handelt, legen Sie diese einfach an einem sicheren Ort ab.
Weitere Tipps zu TrueCrypt
TrueCrypt kann auf den ersten Blick etwas verwirren, bietet aber einige Expertenoptionen. Die Entwickler stellen daher mehrere Dokumente zur Verfügung, die es dem Anwender den Umgang mit TrueCrypt leichter machen sollen. Einziger kleiner Nachteil ist, dass diese Schriftstücke lediglich in englischer Sprache existieren. Die Basis sollte Ihnen dieser Artikel vermitteln. Dennoch können Sie einen Blick in das Anfänger-Tutorial werfen, dass ein Teil des kompletten Handbuchs für TrueCrypt ist.
Das Manual ist sehr ausführlich und erklärt alle Komponenten von TrueCrypt detailgetreu. Hier finden Sie technische Informationen zu den Algorithmen, den Einsatz einer digitalen Festung im Netzwerk und so weiter. Sehr interessant ist das Kapitel über Sicherheitshinweise. Dort erklären die Entwickler, was zum Beispiel passiert, wenn ein Rechner in den „Winterschlaf“ geht. Passwörter und Schlüssel, die im Cache liegen, können ein potenzielles Angriffsziel sein.
Fazit: Sicherheit muss nicht teuer sein
Mit TrueCrypt beweist die Open-Source-Gemeinschaft auf eindrucksvolle Weise, dass ihre Produkte durchaus mit kommerziellen Programmen mithalten können. Die Software bietet gleich mehrere Vorteile, darunter die Plattformunabhängigkeit. Es macht keinen Unterschied, ob Sie ein Volume unter Linux, Mac OS X oder Windows anlegen. Sie binden dies auf exakt dieselbe Art in jedes andere Betriebssystem ein. Das Aussehen unterscheidet sich, die Arbeitsschritte sind die Gleichen.
Das Verwaltungs-Tool für die Datentresore ist innovativ und sehr einfach zu bedienen, auch Anfänger finden sich schnell zurecht. Sehr angenehm ist auch die einfache Installation. Dies gilt gerade für Linux. Auch noch so unerfahrene Anwender sollten in der Lage sein, einen Befehl auf der Kommandozeile und ein Passwort einzugeben.
Vor dem Produktiveinsatz sollten Sie mit dem Tool ein wenig herumspielen und die Feinheiten kennenlernen. Legen Sie ein paar Dateien an und experimentieren Sie damit. In null Komma nichts werden eventuelle Unklarheiten durch Learning by Doing ausgemerzt. Nicht genutzte USB-Sticks eignen sich perfekt für Tests mit physikalischen Geräten.
Wer Passwörter, PINs, TANs und/oder streng geheime Dokumente auf seiner Festplatte hat, sollte diese unbestritten verschlüsseln. Noch essenzieller ist das bei tragbaren Rechnern, die auf welche Weise auch immer verschwinden können. Der Hardware-Verlust ist verschmerzbar. Die Enthüllung vertraulicher Daten tut oftmals mehr als weh. TrueCrypt 5.0 gibt Ihnen die Möglichkeit dazu und Sie sollten dies nutzen. Die Software nimmt nicht viel Platz ein. TecChannel meint, TrueCrypt gehört auf jeden Fall zu den Must-haves auf jedem Rechner.
Vergessen Sie dennoch nicht, dass gerade bei einer Verschlüsselung aktuelle Backups der Dateien notwendiger denn je sind. Denn verlieren Sie den Schlüssel, so sind die Daten meist unwiederbringlich verloren. (mja)