5157617-safe-lock-combination-closeup.jpg

© Aaron Amat, 123rf.com

Hinter Schloss und Riegel

USB-Sticks verschlüsseln mit TrueCrypt

04.01.2011
Mit TrueCrypt steht Windows-, Linux- und Mac-Anwendern seit einigen Jahren ein Tool zur Seite, das der unverständlichen Verschlüsselungstechnologie den Schrecken nimmt und mehr Sicherheit im Alltag ermöglicht.

Im September diesen Jahres verlor die Polizei in Manchester [1] einen USB-Stick auf dem sich nicht nur Informationen zu Anti-Terror-Trainings befanden, sondern auch Personalakten. Schlimmer traf es Airbus [2]. Nachdem einem Mitarbeiter der Laptop gestohlen wurde, tauchten Konstruktionsdateien im BitTorrent-Netzwerk auf. Derartige Datenpannen sind im besten Fall nur für den Verursacher peinlich. Im schlimmsten Fall bedrohen sie Arbeitsplätze, den Ruf oder die Privatsphäre Dritter.

Verschlüsselte Datenspeicher sorgen zwar für mehr Sicherheit, doch selbst versierte Anwender scheuen sich vor der Kryptographie-Hürde. Zu kompliziert, zu undurchschaubar und zu unhandlich zu bedienen, so scheint es. Schlimmer noch – ob die Daten zugänglich oder auf ewig unbrauchbar sind, hängt an seidenen Fäden: Dem Schlüssel und dem Gedächtnis des Benutzers.

Ohne das Problem der endlichen Merkfähigkeit aus der Welt zu schaffen ermöglicht TrueCrypt [3] die Verschlüsselung von Daten und Datenträgern auch für den Durchschnittsmenschen ohne größere Umstände. Die Stärke des Programms zeigt sich nicht nur in der vergleichsweise benutzerfreundlichen Oberfläche. Es steht sowohl für Windows, Mac OS als auch für Linux zum Download bereit und eignet sich damit ideal zum Verschlüsseln für USB-Sticks und anderen Datenträgern, die Sie unter unter verschiedenen Betriebssystemen nutzen möchten.

Installation

Obwohl TrueCrypt unter Linux-Anwendern weit verbreitet ist, sucht man es in den Paketverwaltungen der gängigsten Distributionen vergebens. Schuld daran ist die selbstgebackene Lizenz [4], an der das TrueCrypt-Entwicklerteam trotz lauter Kritik festhält. Für OpenSuse 11.2 gibt es nur Pakete einer älteren Version [5] (6.2a). Der Mandriva-Port namens Realcrypt [6] ist nur in der Version 6.3 erhältlich und lässt sich auf einem aktuellen System nicht mehr installieren. Daher kommt die Installation unter Linux nicht ganz Umwege aus. Die Downloadseite bietet vier Linux-Pakete an: Standardpakete für 32- und 64-bit Architekturen, wahlweise mit grafischer Benutzeroberfläche oder als und reine Konsolenversionen.

Laden Sie das für Ihr System passende Archiv herunter. Alternativ verwenden Sie die Version auf der Heft-DVD. Extrahieren Sie das Archiv mit dem Paketmanager des jeweiligen Systems, zum Beispiel Ark. Das Archiv enthält ein einzelnes, ausführbares Skript namens TrueCrypt-7.0a-setup-x86. Um es auszuführen genügt ein Doppelklick darauf. Danach öffnet sich ein Dialog, in dem Sie die Installation des Programms bestätigen (Abbildung 1).

Abbildung 1: Schmucklos, aber funktional – die Installationsroutine von TrueCrypt.

Danach akzeptieren Sie im folgenden Fenster die Lizenz. Ein drittes Fenster enthält den Hinweis, wie Sie TrueCrypt bei Bedarf wieder vom Rechner entfernen. Hier wählen Sie Ok. Ein viertes und letztes Fenster verlangt erst die Eingabe des Administratorenkennworts und gibt dann Aufschluss über die installierten Dateien, das Sie mit [Eingabe] schließen.

Damit ist die Installation unter Linux abgeschlossen, die Lokalisierungen in verschiedene Sprachen stehen ausschließlich für die Windows-Version zur Verfügung.

USB-Stick verschlüsseln

Nach der Installation finden Sie TrueCrypt unter allen von EasyLinux unterstützten Distributionen im K-Menü unter Dienstprogramme. Der Startbildschirm zeigt im Vergleich zum Windows Startbildschirm allerdings Nummern statt Laufwerksbuchstaben.

Um die Daten auf einem USB-Stick selbst bei Verlust sicher zu wissen, verschlüsseln sie ihn. Klicken Sie dafür auf den Menüpunkt Create Volume, worauf sich der Volume Creation Wizard öffnet. In seinem ersten Fenster wählen sie die zweite der beiden möglichen Optionen, Create a volume within a partition/drive. Im nächsten Fenster wählen Sie zwischen einer normalen und einer versteckten Volume. Hier klicken Sie auf Standard TrueCrypt volume. Was es mit der Alternative Hidden TrueCrypt Volume auf sich hat, erklärt der Kasten "Hidden Volumes".

Hidden Volumes

Bei einem versteckten TrueCrypt-Container handelt es sich um einen verschlüsselten Abschnitt innerhalb eines TrueCrypt-verschlüsselten Bereichs. Das eingegebene Passwort entscheidet darüber, welchen von beiden Volumes das Programm öffnet. Damit soll verhindert werden, dass ein Passwort für verschlüsselte Daten erpresst werden kann. Ein TrueCrypt-Container besitzt unabhängig von darin enthaltenen Dateien stets eine definierte Größe. Ein hidden Volume belegt einen Teil davon im hinteren Abschnitt. Nicht-authorisierte Personen, die Zugang zum äußeren Volume erhalten, erlangen weder Zugriff auf den verstreckten Container noch sind sie in der Lage, seine Anwesenheit nachzuweisen.

Stecken sie spätestens jetzt den USB-Stick ein, den Sie verwenden wollen, und wählen Sie ihn im Abschnitt Volume Location aus. Stellen sie vorher sicher, dass der Stick keine Daten mehr enthält, die Sie noch benötigen. Im Fenster Outer Volume Encryption Options stellt der Kryptographie-Kundige Anwender die Sicherheitsstufe ein. Für den Einsatz im Alltag ist ein gutes Passwort allerdings wichtiger als eine starke Verschlüsselung, weswegen Sie die vorgeschlagenen Standardeinstellungen übernehmen (Abbildung 2).

Abbildung 2: Für den Laien verwirrend erscheint das Überangebot an verschiedenen Verschlüsselungsalgorithmen.

Möchten Sie den Datenträger sowohl unter Windows als auch unter Linux nutzen, verwenden Sie im Fenster Filesystem type: Format Options FAT, die Windows-Variante der Software stellt zusätzlich NTFS zur Auswahl.

Der nächste Abschnitt Outer Volume Password enthält den Teil der Konfiguration, bei der auf lange Sicht am meisten schief gehen kann. Hier wählen Sie, ob Sie ihren Stick entweder mit einem Passwort, einem Keyfile oder einer Kombination aus beidem absichern möchten. Als Keyfile eignet sich jede beliebige Datei auf ihrem Rechner. Wie die Form eines Schlüssels ein Schloss öffnet, merkt sich TrueCrypt die Struktur der Datei und gewährt nur den Inhalt auf den Container, wenn Sie die richtige Datei auswählen. Das Programm nutzt zur Authentifizierung dessen erste 1024 Bytes. Stimmen diese nicht mehr überein, bleibt der Zugriff auf den Container verwehrt. Auch sollten Sie sich überlegen, mehrere sichere Backups eines Keyfiles anzulegen. Als generelle Sicherheitsregel gilt: Ebenso, wie Sie sich die PIN ihrer EC-Karte nicht auf der Karte notieren sollten, sollten sie das Keyfile getrennt von ihrem verschlüsselten Stick aufbewahren.

Vielleicht möchten Sie aber doch lieber dem bewährten Passwort vertrauen. Aber auch hier ist der Inhalt des Containers unwiederbringlich verloren, wenn Sie es vergessen. Um zu gewährleisten, dass es nicht mit eine Brute-Force-Attacke zutage befördert, Wählen Sie ein mindestens 12 Zeichen langes, das sich aus Buchstaben, Ziffern und Sonderzeichen zusammensetzt.

Zufallszahlen stellen die Basis moderner Verschlüsselungen. Im Fenster Outer Volume Format nutzt TrueCrypt die Bewegungen der angeschlossenen Maus, um daraus Zufallszahlen zu generieren (Abbildung 3). Je länger diese in diesem Fenster bewegen, um so sicherer fällt der Schlüssel aus. Versuchen Sie nicht, in gleichmäßige Bewegungsmuster zu fallen. Umso zufälliger sie sind, umso zufälliger generiert die Software die Werte. Abschließend klicken sie auf Format und danach auf Okay.

Abbildung 3: Aus den Bewegungen der angeschlossenen Maus generiert TrueCrypt die Zufallszahlen zum Verschlüsseln des Datenträgers oder Volumes.

Nach Beenden der Formatierung wählen Sie im Hauptfenster den obersten freien Slot aus und klicken danach auf Select Drive. Im Dialog wählen Sie den gerade vorbereiteten Stick aus und klicken danach auf Mount. TrueCrypt verlangt nun als erstes das Passwort, mit dem der USB-Stick verschlüsselt wurde, und danach das Administratorkennwort. Im Standart-Mount-Verzeichnis für externe Medien, gewöhnlich /media/, sehen sie nun Verzeichnis namens TrueCrypt1 (Abbildung 4), das Sie wie von den anderen gewohnt nutzen. Bevor Sie den Stick vom Rechner entfernen, hängen Sie es in TrueCrypt mit einem Klick auf den Button Dismount aus. Ein wenig bockig reagiert Windows auf derart vorbereitete Datenträger. Nutzen Sie auf diesem System Auto-Mount Devices, um den Stick korrekt einzubinden.

Abbildung 4: Nach dem Einhängen des verschlüsselten USB-Sticks -oder Volumes, erscheint das Medium in dessen Übersicht.

Container-Dateien

Die Erstellung eines TrueCrypt-Containers unterscheidet sich von der Verschlüsselung eines Sticks nur in wenigen Punkten. Anstelle der zweiten Option Create a volume within a partition/drive wählen Sie die erste Create an encrypted file container. Das Fenster Outer Encryption Options nennt sich nun nur noch Encryption Options. Im Anschluß folgt im Dialog Volume Size die Abfrage nach der Größe des Containers. Bei der nachfolgenden Wahl des Dateisystems gilt das gleiche wie den USB-Stick: Möchten Sie ihn sowohl unter Linux als auch Windows verwenden, wählen Sie FAT, unter Windows optional NTFS.

Ein Container unterscheidet sich zunächst nicht von anderen Dateien. Allerdings enthält er das komplette verschlüsselte Dateisystem samt der Daten, die Sie darin speichern. Um an den Inhalt zu gelangen mounten Sie ihn, wie zuvor beim USB-Stick beschrieben. Sie nutzen dafür lediglich Select File statt Select Drive, bevor sie die Datei einem Slot zuweisen und einhängen.

Der TrueCrypt-Container eignet sich besonders gut, um beispielsweise sensible Daten in der Cloud eines Anbieters virtueller Festplatten, wie zum Beispiel Strato SmartDrive, zu lagern. Von jedem Ort aus auf die TAN-Liste zugreifen können? Der Gedanke muss dank TrueCrypt kein Datenschutzalptraum sein.

Verteilter Zugriff

Die Aufgabe, mehrere Anwender gleichzeitig auf verschlüsselte Daten zugreifen zu lassen, löst TrueCrypt nicht komplett befriedigend. Die Entwickler schlagen drei Wege vor, von denen der bequemste vorsieht, dass TrueCrypt-Volume auf einem Server zu mounten. Anwender greifen dann über Netzwerk-Dateisysteme wie NFS oder Samba darauf zu. Der Dateitransfer erfolgt dabei aber meist unverschlüsselt und so eignet sich dieser Weg nur für abgesicherte LANs. Weg Nummer zwei eignet sich für Virtuelle Festplatten in der Cloud. Er sieht vor, dass die Nutzer nacheinander auf TrueCrypt-Container zugreifen. Speicher-Dienste, die automatische Synchronisation anbieten, haben mit dieser Methode so ihre Probleme. TrueCrypt-Container-Dateien verändern sich äußerlich gesehen auch dann nicht, wenn sich ihr Inhalt verändert. Der Container muss daher immer von Hand auf zentralen Speicher kopiert werden. Der dritte Weg besteht darin, dass nur ein Anwender schreibend auf den Container zugreifen kann. Alle anderen hängen den Container lediglich im Lesemodus ein. Die passende Einstellung finden sie im Menü von TrueCrypt unter Settings / Preferences / Mount Options / Mount volumes as read-only.

Traveler Disk

Auch die Lösung für so genannte Traveler Disks stellt nur einen mehr oder weniger gelungenen Kompromiss dar. Die Option bietet lediglich Windows im Menü unter Tools / Traveler Disk Setup. Eine Traveler-Disk verschlüsselt nicht den gesamten Speicherplatz eines Massendatenspeichers. Einen kleinen Teil davon beegt das TrueCrypt-Programm selbst. Praktisch, um auch an fremden Rechnern oder im Internetcafé darauf zuzugreifen. Doch falsch gedacht: Auch die mobile Version von TrueCrypt benötigt Administratorenrechte, welche die meist paranoid gesicherten Café-PCs nicht bieten.

Alles sicher?

TrueCrypt verwendet erprobte und als sicher eingestufete Verschlüsselungsalgorithmen und bietet den Anwendern dadurch größtmögliche Sicherheit. Wirklich? TrueCrypt ist ein guter Ansatz und ein deutliches Mehr an Sicherheit im Vergleich zu unverschlüsselt gespeicherten Daten. Angreifer können sich dennoch Zugang zu verschlüsselten Containern oder Laufwerken verschaffen, wenn Trojaner die Tastatureingabe und somit auch die Passwörter abfangen. Ist der Computer eines Anwenders durch Schadprogramme kompromittiert, sind die längsten Passwörter und die beste Verschlüsselung mitunter nutzlos.

Zudem speichert TrueCrypt die Passwörter im Hauptspeicher. Es wurden Fälle bekannt, in denen solche Passwörter auf Laptops daraus ausgelesen wurden, wenn sich diese im Standby oder gesperrtem Zustand befanden.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Related content

Kommentare