Hinter Schloss und Riegel

Im September diesen Jahres verlor die Polizei in Manchester [1] einen USB-Stick auf dem sich nicht nur Informationen zu Anti-Terror-Trainings befanden, sondern auch Personalakten. Schlimmer traf es Airbus [2]. Nachdem einem Mitarbeiter der Laptop gestohlen wurde, tauchten Konstruktionsdateien im BitTorrent-Netzwerk auf. Derartige Datenpannen sind im besten Fall nur für den Verursacher peinlich. Im schlimmsten Fall bedrohen sie Arbeitsplätze, den Ruf oder die Privatsphäre Dritter.

Verschlüsselte Datenspeicher sorgen zwar für mehr Sicherheit, doch selbst versierte Anwender scheuen sich vor der Kryptographie-Hürde. Zu kompliziert, zu undurchschaubar und zu unhandlich zu bedienen, so scheint es. Schlimmer noch – ob die Daten zugänglich oder auf ewig unbrauchbar sind, hängt an seidenen Fäden: Dem Schlüssel und dem Gedächtnis des Benutzers.

Ohne das Problem der endlichen Merkfähigkeit aus der Welt zu schaffen ermöglicht TrueCrypt [3] die Verschlüsselung von Daten und Datenträgern auch für den Durchschnittsmenschen ohne größere Umstände. Die Stärke des Programms zeigt sich nicht nur in der vergleichsweise benutzerfreundlichen Oberfläche. Es steht sowohl für Windows, Mac OS als auch für Linux zum Download bereit und eignet sich damit ideal zum Verschlüsseln für USB-Sticks und anderen Datenträgern, die Sie unter unter verschiedenen Betriebssystemen nutzen möchten.

Installation

Obwohl TrueCrypt unter Linux-Anwendern weit verbreitet ist, sucht man es in den Paketverwaltungen der gängigsten Distributionen vergebens. Schuld daran ist die selbstgebackene Lizenz [4], an der das TrueCrypt-Entwicklerteam trotz lauter Kritik festhält. Für OpenSuse 11.2 gibt es nur Pakete einer älteren Version [5] (6.2a). Der Mandriva-Port namens Realcrypt [6] ist nur in der Version 6.3 erhältlich und lässt sich auf einem aktuellen System nicht mehr installieren. Daher kommt die Installation unter Linux nicht ganz Umwege aus. Die Downloadseite bietet vier Linux-Pakete an: Standardpakete für 32- und 64-bit Architekturen, wahlweise mit grafischer Benutzeroberfläche oder als und reine Konsolenversionen.

Laden Sie das für Ihr System passende Archiv herunter. Alternativ verwenden Sie die Version auf der Heft-DVD. Extrahieren Sie das Archiv mit dem Paketmanager des jeweiligen Systems, zum Beispiel Ark. Das Archiv enthält ein einzelnes, ausführbares Skript namens TrueCrypt-7.0a-setup-x86. Um es auszuführen genügt ein Doppelklick darauf. Danach öffnet sich ein Dialog, in dem Sie die Installation des Programms bestätigen (Abbildung 1).

Abbildung 1: Schmucklos, aber funktional – die Installationsroutine von TrueCrypt.

Danach akzeptieren Sie im folgenden Fenster die Lizenz. Ein drittes Fenster enthält den Hinweis, wie Sie TrueCrypt bei Bedarf wieder vom Rechner entfernen. Hier wählen Sie Ok. Ein viertes und letztes Fenster verlangt erst die Eingabe des Administratorenkennworts und gibt dann Aufschluss über die installierten Dateien, das Sie mit [Eingabe] schließen.

Damit ist die Installation unter Linux abgeschlossen, die Lokalisierungen in verschiedene Sprachen stehen ausschließlich für die Windows-Version zur Verfügung.

USB-Stick verschlüsseln

Nach der Installation finden Sie TrueCrypt unter allen von EasyLinux unterstützten Distributionen im K-Menü unter Dienstprogramme. Der Startbildschirm zeigt im Vergleich zum Windows Startbildschirm allerdings Nummern statt Laufwerksbuchstaben.

Um die Daten auf einem USB-Stick selbst bei Verlust sicher zu wissen, verschlüsseln sie ihn. Klicken Sie dafür auf den Menüpunkt Create Volume, worauf sich der Volume Creation Wizard öffnet. In seinem ersten Fenster wählen sie die zweite der beiden möglichen Optionen, Create a volume within a partition/drive. Im nächsten Fenster wählen Sie zwischen einer normalen und einer versteckten Volume. Hier klicken Sie auf Standard TrueCrypt volume. Was es mit der Alternative Hidden TrueCrypt Volume auf sich hat, erklärt der Kasten "Hidden Volumes".

Stecken sie spätestens jetzt den USB-Stick ein, den Sie verwenden wollen, und wählen Sie ihn im Abschnitt Volume Location aus. Stellen sie vorher sicher, dass der Stick keine Daten mehr enthält, die Sie noch benötigen. Im Fenster Outer Volume Encryption Options stellt der Kryptographie-Kundige Anwender die Sicherheitsstufe ein. Für den Einsatz im Alltag ist ein gutes Passwort allerdings wichtiger als eine starke Verschlüsselung, weswegen Sie die vorgeschlagenen Standardeinstellungen übernehmen (Abbildung 2).

Abbildung 2: Für den Laien verwirrend erscheint das Überangebot an verschiedenen Verschlüsselungsalgorithmen.

Möchten Sie den Datenträger sowohl unter Windows als auch unter Linux nutzen, verwenden Sie im Fenster Filesystem type: Format Options FAT, die Windows-Variante der Software stellt zusätzlich NTFS zur Auswahl.

Der nächste Abschnitt Outer Volume Password enthält den Teil der Konfiguration, bei der auf lange Sicht am meisten schief gehen kann. Hier wählen Sie, ob Sie ihren Stick entweder mit einem Passwort, einem Keyfile oder einer Kombination aus beidem absichern möchten. Als Keyfile eignet sich jede beliebige Datei auf ihrem Rechner. Wie die Form eines Schlüssels ein Schloss öffnet, merkt sich TrueCrypt die Struktur der Datei und gewährt nur den Inhalt auf den Container, wenn Sie die richtige Datei auswählen. Das Programm nutzt zur Authentifizierung dessen erste 1024 Bytes. Stimmen diese nicht mehr überein, bleibt der Zugriff auf den Container verwehrt. Auch sollten Sie sich überlegen, mehrere sichere Backups eines Keyfiles anzulegen. Als generelle Sicherheitsregel gilt: Ebenso, wie Sie sich die PIN ihrer EC-Karte nicht auf der Karte notieren sollten, sollten sie das Keyfile getrennt von ihrem verschlüsselten Stick aufbewahren.

Vielleicht möchten Sie aber doch lieber dem bewährten Passwort vertrauen. Aber auch hier ist der Inhalt des Containers unwiederbringlich verloren, wenn Sie es vergessen. Um zu gewährleisten, dass es nicht mit eine Brute-Force-Attacke zutage befördert, Wählen Sie ein mindestens 12 Zeichen langes, das sich aus Buchstaben, Ziffern und Sonderzeichen zusammensetzt.

Zufallszahlen stellen die Basis moderner Verschlüsselungen. Im Fenster Outer Volume Format nutzt TrueCrypt die Bewegungen der angeschlossenen Maus, um daraus Zufallszahlen zu generieren (Abbildung 3). Je länger diese in diesem Fenster bewegen, um so sicherer fällt der Schlüssel aus. Versuchen Sie nicht, in gleichmäßige Bewegungsmuster zu fallen. Umso zufälliger sie sind, umso zufälliger generiert die Software die Werte. Abschließend klicken sie auf Format und danach auf Okay.

Abbildung 3: Aus den Bewegungen der angeschlossenen Maus generiert TrueCrypt die Zufallszahlen zum Verschlüsseln des Datenträgers oder Volumes.

Nach Beenden der Formatierung wählen Sie im Hauptfenster den obersten freien Slot aus und klicken danach auf Select Drive. Im Dialog wählen Sie den gerade vorbereiteten Stick aus und klicken danach auf Mount. TrueCrypt verlangt nun als erstes das Passwort, mit dem der USB-Stick verschlüsselt wurde, und danach das Administratorkennwort. Im Standart-Mount-Verzeichnis für externe Medien, gewöhnlich /media/, sehen sie nun Verzeichnis namens TrueCrypt1 (Abbildung 4), das Sie wie von den anderen gewohnt nutzen. Bevor Sie den Stick vom Rechner entfernen, hängen Sie es in TrueCrypt mit einem Klick auf den Button Dismount aus. Ein wenig bockig reagiert Windows auf derart vorbereitete Datenträger. Nutzen Sie auf diesem System Auto-Mount Devices, um den Stick korrekt einzubinden.

Abbildung 4: Nach dem Einhängen des verschlüsselten USB-Sticks -oder Volumes, erscheint das Medium in dessen Übersicht.