Verschlüsselter Stick

Während der Verkauf von Desktop-Computern stagniert, kurbelt der Handel mit mobilen Geräten den Umsatz der Hersteller an. Mobiles Computing ist in: Dank der extrem günstigen Netbooks, die für einfache Aufgaben wie das Lesen von Mails oder das Surfen im Netz völlig ausreichen, ist die Zahl der mobilen Geräte stark gestiegen. Der mobile Boom bringt allerdings auch Probleme mit sich: Wegen ihres geringen Gewichts sind Notebooks und die meist obligatorischen USB-Sticks leichtes Ziel für Langfinger. Verliert man ein solches Gerät, enthielt es bestenfalls unwichtige Daten, von denen ein Backup existiert.

Die Realität sieht anders aus: Notebooks finden auch und ganz besonders im Geschäftsumfeld Verwendung. Kommt ein Notebook mit sensiblen Kundendaten abhanden, ist das ein großes Problem. Aber auch, wenn Sie Ihr Notebook nicht beruflich einsetzen, sind Sie mit hoher Wahrscheinlichkeit darauf aus, Ihre Daten nicht in falschen Händen zu wissen.

Verschlüsseln – aber wie?

Viele Lösungsansätze begegnen dem Problem: Firmennotebooks sind oft mit einer vollständig verschlüsselten Festplatte ausgestattet, die nur mit dem richtigen Passwort überhaupt funktioniert. Andere Ansätze verschlüsseln nur einzelne Teile der Platte, während die Systempartition unverschlüsselt bleibt. Auch der Preis spielt bei der Frage nach der richtigen Methode eine große Rolle: Teure Lösungen sind für den Heimgebrauch überdimensioniert, wenn es nur darum geht, die wichtigsten Daten vor den Augen Dritter zu sichern.

Im privaten Umfeld hat sich TrueCrypt mittlerweile zu einer Art Standardlösung entwickelt. Versionen für Windows, Mac OS und Linux decken den typischen Heimbenutzerbereich ab. Die Software steht unter einer freien Lizenz und ist kostenlos herunterladbar. Prinzipiell bietet TrueCrypt viele Möglichkeiten, Dateien zu verschlüsseln – sie alle zu beschreiben, würde den Rahmen des Artikels sprengen. Im Folgenden geht es darum, die Vorteile von TrueCrypt mit Mobilität zu kombinieren: Sie erfahren, wie Sie auf einem USB-Stick ein verschlüsseltes Laufwerk mit TrueCrypt anlegen und anschließend auf Linux-, Windows- oder Mac-OS-Systemen verwenden. Das Hauptsystem ist dabei ein Linux, unter dem Sie die "Crypto-Container" anlegen. Schließlich geht es auch um Netbooks: Die Kombination von Netbook, USB-Stick und TrueCrypt ermöglicht den sicheren Transport von Daten ganz ohne kommerzielle Software.

Wie TrueCrypt funktioniert

TrueCrypt unterstützt verschiedene Verschlüsselungsmethoden. Wir beschränken uns in diesem Workshop auf das Anlegen einer Container-Datei, die auf einem USB-Stick liegt und die Sie somit auf jedem beliebigen Rechner mit TrueCrypt verwenden können. Diese Lösung hat neben der Universalität den Vorteil, dass Sie nicht den gesamten USB-Stick zum TrueCrypt-Device machen müssen, sondern den restlichen Speicherplatz des Sticks als normale Datenablage für weniger heikle Dateien nutzen können – auch auf Rechnern, auf denen Sie kein TrueCrypt installiert haben.

Ein Kernfeature von TrueCrypt ist neben der Verschlüsselung die so genannte "Plausible Deniability", zu Deutsch etwa "glaubhafte Abstreitbarkeit". Das bedeutet, dass sich ein mit TrueCrypt angelegter Kryptocontainer von außen nicht von normalen, mit Zufallsbytes gefüllten Dateien unterscheidet. Wenn Sie also den Crypto-Container auf Ihrem USB-Stick Video_Weihnachten.avi nennen, kann niemand nachweisen, dass es sich um verschlüsselte Daten handelt.

TrueCrypt kann zudem noch einen weiteren Container innerhalb des Containers anlegen (Abbildung 1): Werden Sie dazu gezwungen, das Passwort Ihres TrueCrypt-Containers preiszugeben, kann sich innerhalb dieses Containers ein zweiter verstecken, dessen Inhalte nur über ein zweites Passwort zugänglich sind. Ob ein TrueCrypt-Container noch einen inneren enthält oder nicht, ist von außen nicht zu erkennen.

Abbildung 1: Container im Container – die ganz wichtigen Dateien kommen in den inneren, dessen Existenz nicht nachweisbar ist.

Aller Anfang: Den USB-Stick vorbereiten

Zunächst installieren Sie TrueCrypt auf einem PC, um den Crypto-Container einzurichten. Vorher stellen Sie sicher, dass Ihr USB-Stick für den Einsatz unter verschiedenen Betriebssystemen vorbereitet ist: Windows, Linux und Mac OS verwenden unterschiedliche Dateisysteme, die zueinander nicht kompatibel sind. Ein Standarddateisystem, mit dem alle Betriebssysteme umgehen können, ist VFAT, das Microsoft mit Windows 95 eingeführt hat. Stellen Sie sicher, dass Ihr USB-Stick mit diesem Dateisystem formatiert ist. Ab Werk ist das bei allen Sticks der Fall – wenn Sie Ihren USB-Stick also nicht (unter Linux) neu formatiert haben, ist er geeignet. Sollte Ihr Memory-Stick mit NTFS oder einem Linux-Dateisystem formatiert sein, so verwenden Sie das Formatierungstool Ihrer Distribution, um die Formatierung auf VFAT zu ändern. Dabei gehen vorhandene Dateien verloren.

TrueCrypt unter Linux installieren

Wenn der USB-Stick vorbereitet ist, können Sie im nächsten Schritt TrueCrypt installieren. Bei Redaktionsschluss aktuell war TrueCrypt 6.2a, Sie finden diese Version auf der TrueCrypt-Website [1]. Dort haben Sie die Auswahl zwischen Paketen für OpenSuse und Ubuntu. Die Ubuntu-Pakete funktionieren auch in Kubuntu, so dass Sie TrueCrypt auf allen von EasyLinux offiziell unterstützten Distributionen ausprobieren können.

So installieren Sie das Paket unter Ubuntu:

1. Öffnen Sie in einem Webbrowser die TrueCrypt-Download-Seite [2] (Abbildung 2) und laden Sie die Datei herunter, die zu Ihrer Distribution passt. Wählen Sie dazu im Drop-down-Menü im Abschnitt Linux entweder Ubuntu oder Ubuntu 64 bit aus – abhängig davon, ob Sie Ihr System im 32-Bit- oder im 64-Bit-Modus betreiben.

   

   Abbildung 2: Auf der TrueCrypt-Webseite finden Sie Pakete für OpenSuse und Ubuntu.

2. Starten Sie danach einen Dateimanager und navigieren Sie in das Verzeichnis, das die herunter geladene Datei enthält. Klicken Sie diese doppelt an (es handelt sich um ein Skript) und wählen Sie dann Install TrueCrypt.
3. Falls die Installation mit einer Fehlermeldung abbricht, so ist das Problem, dass Ihnen das Programm xterm fehlt. Installieren Sie das Paket xterm mit dem Paketverwaltungstool nach und wiederholen Sie Schritt 2.
4. Beantworten Sie die Frage nach Ihrem Login-Passwort. Im Anschluss ist TrueCrypt bereits installiert. Schließen Sie das noch offene Terminalfenster.

Unter OpenSuse funktioniert die Installation fast genauso:

1. Laden Sie von der Download-Seite [2] die für Ihre OpenSuse-Variante (32 Bit oder 64 Bit) passende Version von TrueCrypt herunter – sie ist ein .tar.gz-Archiv. Öffnen Sie das Archiv und entpacken Sie die darin enthaltene Datei in Ihr persönliches Verzeichnis.
2. Starten Sie den Konqueror und navigieren Sie in Ihr Home-Verzeichnis. Doppelklicken Sie auf die Datei – es startet dann ein Installer, der Sie zunächst fragt, ob Sie das RPM-Paket entpacken oder TrueCrypt installieren möchten. Klicken Sie auf Install TrueCrypt.
3. Beantworten Sie die Frage nach der Lizenz und warten Sie, bis das Paket installiert ist. Schließen Sie dann das Terminalfenster. Damit ist die Installation abgeschlossen.

Erste Schritte mit TrueCrypt

Bevor Sie TrueCrypt starten, schließen Sie Ihren USB-Stick an den PC an und stellen sicher, dass Linux ihn korrekt eingebunden hat. Das ist der Fall, wenn Sie in der Geräteübersicht nach dem Einstecken des Sticks ein neues Symbol sehen – der Name des Geräts ist meist der Name des Datenträgers (wenn Sie oder der Hersteller einen vergeben haben).

Starten Sie TrueCrypt, indem Sie [Alt]+[F2] drücken und danach im Schnellstartfenster truecrypt eingeben. Es erscheint das Hauptfenster (Abbildung 3). Anders als bei der Windows-Variante von TrueCrypt fehlt für Linux noch immer eine deutsche Übersetzung. Folglich erscheinen alle Programmtexte in Englisch. Wir gehen deshalb im Folgenden von den englischen Beschriftunggen aus. Aber keine Panik: Die einzelnen TrueCrypt-Dialoge sind auch ohne Englischkenntnisse zu meistern.

Abbildung 3: TrueCrypt nach dem ersten Start; mit dem Button "Create Volume" starten Sie den Wizard für neue Container.

Crypto-Container einrichten

Ihr USB-Stick ist gemountet und TrueCrypt eingerichtet? Dann geht es jetzt mit dem Anlegen des eigentlichen Crypto-Containers auf dem Stick weiter. Sie sehen TrueCrypt vor sich – den Container richten Sie wie folgt ein:

1. Klicken Sie in der Navigationsleiste von TrueCrypt auf Volumes (Datenträger) und wählen Sie dort den Menüpunkt Create new Volume (neuen Datenträger erstellen). So öffnen Sie den Wizard für neue TrueCrypt-Container.
2. Wählen Sie die Option Create an encrypted file container (Verschlüsselten Datei-Container erzeugen) aus, wenn sie nicht ohnehin vorausgewählt ist, und klicken Sie auf Next.
3. Wählen Sie im nächsten Dialog Standard TrueCrypt Volume und klicken Sie erneut auf Next. (Wollen Sie einen versteckten TrueCrypt-Container erzeugen, lesen Sie die Hinweise im Kasten Versteckten Container einrichten.)
4. Klicken Sie auf Select File (Datei auswählen) und navigieren Sie im sich öffnenden Dialog in das Verzeichnis (auf dem USB-Stick), in dem Sie den Container ablegen möchten. Geben Sie auch einen Namen für die zu erstellende Datei an. Klicken Sie danach auf Next.
5. Die Einstellungen im nächsten Dialog übernehmen Sie unverändert mit einem weiteren Klick auf Next.
6. Nun legen Sie die Größe des zu erstellenden Containers fest. Nachdem fast alle USB-Sticks mittlerweile 4 GByte oder mehr Speicherkapazität haben, könnten Sie hier z. B. 1 GByte angeben.
7. Anschließend legen Sie das Passwort fest. Es gelten die üblichen Warnungen beim Setzen von Passwörtern: Die stärkste Verschlüsselung hilt nicht, wenn es Angreifern durch simples Raten gelingt, an Ihre Daten zu kommen. Der eigene Geburtstag oder der Name des Partners scheiden also aus. Passwörter sollten aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Wenn das Paket pwgen installiert ist, können Sie mit dem Kommando pwgen -y in einem Terminalfenster ein sicheres Passwort erzeugen.
8. Schließlich bietet TrueCrypt Ihnen auch an, im angelegten Container ein Dateisystem anzulegen. Ihr TrueCrypt-Container verhält sich dem System gegenüber später wie eine normale Festplattenpartition. Damit Sie Dateien darin ablegen können, braucht er ein Dateisystem. Übernehmen Sie die Voreinstellung VFAT (damit wieder alle Betriebssysteme damit zurecht kommen) und klicken Sie auf Next.

9. Nun erstellt TrueCrypt die Container-Datei und zeigt Ihnen einen Dialog namens Volume Format an. Um den Schlüssel zu generieren, der Ihren Container später schützt, benötigt TrueCrypt Zufallszahlen. Je mehr davon das Programm zur Verfügung hat, desto stärker wird Ihr Schlüssel. Beim Erstellen der Zufallszahlen helfen Sie TrueCrypt, indem Sie mit dem Mauszeiger im Dialog Volume Format hin- und herfahren – zehn bis 15 Sekunden genügen (Abbildung 4). Klicken Sie danach auf Format, warten Sie, bis das Programm den Container angelegt hat, und beenden Sie den Wizard.

   

   Abbildung 4: Durch Ihre Mausbewegungen in diesem Dialog erzeugt TrueCrypt "gute" Zufallszahlen.

Einen Crypto-Container mounten

Sie haben nun einen Container angelegt, müssen diesen aber noch in Ihr Dateisystem einhängen (mounten), um ihn zu verwenden.

1. Klicken Sie im TrueCrypt-Hauptfenster auf Select File (Datei auswählen) und suchen Sie die Container-Datei, die Sie gerade auf dem USB-Stick angelegt haben.

2. Dann klicken Sie auf Mount (einbinden). Geben Sie das Passwort für den Container an – anschließend sehen Sie in der Geräteliste im TrueCrypt-Fenster einen belegten "Slot" (Abbildung 5); außerdem erscheint in der Übersicht der vorhandenen Storage-Geräte ein neuer Eintrag.

   

   Abbildung 5: Nachdem Sie einen Crypto-Container gemounted haben, erscheint er in der Liste der aktiven Laufwerke.

Geräte deaktivieren

Wenn Sie mit den Dateien in einem TrueCrypt-Container gearbeitet haben, diese aber voraussichtlich in den nächsten Stunden nicht mehr verwenden werden, empfiehlt es sich, den Container im TrueCrypt-Fenster zu deaktivieren. Wählen Sie dazu aus der Liste mit den verwendeten Slots das richtige Gerät aus und klicken Sie unten auf Dismount all (alle aushängen). So ersparen Sie sich die Überprüfung des Dateisystems vor dem nächsten Einhängen, falls Sie später den Stick abziehen, ohne vorher den Container auszuhängen.

TrueCrypt unterwegs

Schließlich stellt sich die Frage, ob es sinnvoll ist, Ihren USB-Stick an fremde Rechner anzuschließen. Die Idealvorstelung wäre, dass Sie an jedem beliebigem Rechner Zugriff auf die Daten erhalten, die verschlüsselt auf Ihrem USB-Stick liegen.

Zunächst ein paar Überlegungen theoretischer Natur: TrueCrypt legt Daten niemals unverschlüsselt auf Ihrer Festplatte ab; die einzige Gelegenheit, bei der die Daten unverschlüsselt im System zur Verfügung stehen, ist, wenn Sie den Container (nach Eingabe des Passworts) ins System eingebunden hat. Physikalischer Zugriff auf den USB-Stick, auf dem der Crypto-Container liegt, reicht alleine also nicht aus. Andererseits gilt: Im Hinblick auf Vertrauen in Computer gibt es nur "ganz oder gar nicht" – Computer sind niemals "ein bisschen" kompromittiert, wenn also ein Computer nicht zu 100% vertrauenswürdig ist, ist anzunehmen, dass jedwede Form von Interaktion mit dem Computer prinzipiell schädlich ist. Ein Beispiel: Ein Virus auf einem Windows-Rechner könnte einen Keylogger installiert haben, der unbemerkt alle Tastatureingaben mitschneidet. Das für Ihren Crypto-Container verwendete Passwort bekommt ein Angreifer damit auch in die Hände, ohne dass Sie Kenntnis davon erlangen. Kopiert sich der Langfinger dann noch die Datei, die den verschlüsselten Container enthält, hat er Container und zugehöriges Passwort – also alles, was er braucht. Überlegen Sie also trotz aller Verschlüsselung gut, ob Sie einen USB-Stick in einen unbekannten PC stecken. Absolute Sicherheit gibt es nicht.

Der "Traveller Mode"

Wenn Sie sich entschlossen haben, Ihren USB-Stick in fremden Rechnern zu verwenden, benötigen Sie überall da, wo Sie den Stick nutzen wollen, TrueCrypt. Der Blogger Ronny Grunewald hat sich ein System ausgedacht, bei dem es genügt, ein paar Dateien im umverschlüsselten Bereich des USB-Sticks aufzubewahren, um damit dann die Container-Datei auf dem gleichen Stick zu mounten. Er nennt dieses System den "Traveller Mode" und stellt auf seinem Blog [3] auch die Dateien bereit, die Sie zur Verwendung dieses Traveller Mode benötigen.

So richten Sie Ihren USB-Stick ein, um auf jedem Windows-Computer und jedem Linux-System den TrueCrypt-Container mounten zu können:

1. Laden Sie die beiden Dateien truecrypt_tm_linux.tar.gz und truecrypt_tm_windows.tar.gz von Ronny Grunewalds Homepage [4] herunter und speichern Sie diese in Ihrem Home-Verzeichnis.
2. Stecken Sie, falls noch nicht geschehen, Ihren USB-Stick in den Computer und warten Sie, bis er im Dateisystem eingehängt ist.
3. Entpacken Sie die beiden tar.gz-Dateien auf den USB-Stick und zwar so, dass deren Inhalte im selben Verzeichnis liegen wie der Container.
4. Öffnen Sie die Dateien ende.bat und mount.bat in einem Editor Ihrer Wahl und ersetzen Sie die Zeichenkette GEHEIM durch den Dateinamen des TrueCrypt-Containers.

Wenn Sie Ihren USB-Stick nun an einen Windows-Computer anschließen, reicht es, die Datei mount.bat auszuführen. Beachten Sie, dass Sie dazu die Rechte des Windows-Systemverwalters brauchen, falls Sie nicht ohnehin damit arbeiten. Unter Linux mounten Sie den Container, indem Sie ein Terminalfenster öffnen, mit dem Befehl cd in den Ordner wechseln, in dem Sie die Inhalte des USB-Sticks finden, und dann den Befehl

sudo truecrypt <I>Dateiname<I>

eingeben. Dabei ist Dateiname der Name des TrueCrypt-Containers. Sollte der Befehl mit einer Fehlermeldung abbrechen, die auf das Fehlen der Datei libfuse.so.2 hinweist, installieren Sie mit dem Paketmanager das Paket libfuse2 nach.

Um das Crypto-Laufwerk auszuhängen, führen Sie unter Windows das Skript end.bat aus, unter Linux verwenden Sie das umount-Kommando, dem Sie den Mount-Point des Containers übergeben [5].

Fazit

TrueCrypt bietet derzeit die komfortabelste Möglichkeit, Daten auf Ihrer Festplatte zu verschlüsseln. Die Software ist intuitiv und leicht zu konfigurieren und erlaubt es außerdem, auch kleinere Datenmengen auf einem USB-Stick zu verbergen und so Langfingern zuvorzukommen. Den Aufwand, der mit der TrueCrypt-Installation verbunden ist, rechtfertigt das hohe Maß an Sicherheit für Ihre Daten durchaus. Trotz Verschlüsselung sollten Sie aber nicht allzu wahllos mit dem TrueCrypt-Container umgehen: Landet der Stick in einem virenverseuchten PC, bringt auch die beste Verschlüsselung gar nichts – irgendein Einfallstor findet sich dann immer für Angreifer, die sich Mühe geben.