 "Aufmacher")
Verriegelt und verrammelt
Festplattenverschlüsselung mit Truecrypt
Vertrauliche Daten offen auf dem Rechner abzulegen, ist keine übertrieben gut Idee. Das gilt speziell für Notebooks, die all zu oft durch Unachtsamkeit, manchmal durch kriminelle Energie in fremde Hände gelangen. Aber auch auf Desktops lagern oft Daten, die der Besitzer Dritten nicht unbedingt zur Lektüre bereitstellen will – seinen es nun geschäftliche oder private Aufzeichnungen.
In dieser Situation hilft Truecrypt [1]. Es erstellt verschlüsselte Containerdateien, die Sie wie normale Laufwerke ins Dateisystem einbinden. Alternativ verschlüsseln Sie damit sogar komplette Partitionen, Festplatten oder Wechseldatenträger – etwa USB-Sticks. Soll es mal ganz geheim sein, erzeugt das Programm so genannte Hidden Volumes. Dabei handelt es sich um Bereiche in verschlüsselten Laufwerken, deren bloße Existenz nicht nachzuweisen ist. Als Verschlüsselungsverfahren verwendet Truecrypt AES, Blowfish, CAST5, Serpent, Triple DES oder Twofish, teilweise sogar in Kombination.
Zugriff auf derart gesicherte Datenträger erhalten Sie ausschließlich mit dem korrekten Passwort oder Keyfile. Die Chiffrierung geschieht dabei im laufenden Betrieb: Sie hängen den verschlüsselten Datenträger unter Angabe des Passworts in ein Verzeichnis ein und arbeiten dann wie gewohnt mit den enthaltenen Dateien. Die Ver- und Entschlüsselung übernimmt Truecrypt automatisch im Hintergrund. Ein kleines Manko des Programms: Trotz entsprechender Ankündigungen seitens der Entwickler enthält die Linux-Variante von Truecrypt auch in der aktuellen Version 4.3a nach wie vor keine grafische Oberfläche (siehe Kasten "Grafisches").
Grafisches
Im Gegensatz zur Windows-Version fehlt dem Linux-Pendant bislang die grafische Oberfläche. Mittlerweile existiert mit der Truecrypt-GUI [2] jedoch eine erste, inoffizielle GUI. Zum Redaktionsschluss blockierte die Webseite des Maintainers allerdings den Zugriff. Im Moment ist unklar, ob es sich um einen technischen Defekt oder das Ende des Projektes handelt.
Truecrypt-GUI benötigt Python sowie die wxWidgets-Bibliotheken. Nach dem Start mit python TrueCryptGUI-v0.5.py erscheint das Hauptfenster (Abbildung 1). Über das Register Create erstellen Sie ein neues Volume. Die dort abgefragten Einstellungen entsprechen denen von truecrypt -c. Alle vorhandenen Volumes verwaltet das Registerblatt Manage. Über Select File wählen Sie die Datei aus, über Select Mount Point das Verzeichnis, in dem Truecrypt das Volume einhängt und klicken anschließend auf mount. In der oberen Liste erscheint dann ein entsprechender Eintrag. Um das Volume wieder auszuhängen, genügt ein Klick auf Dismount.
Damit ist der Funktionsumfang von Truecrypt-GUI allerdings schon vollständig erschöpft. Wer mehr will, muss wieder zur Kommandozeile zurückkehren. Zudem wird auf dem Register Create das Passwort nur einmal abgefragt, was Volumes bei Tippfehlern unbrauchbar macht.
Abbildung 1: Die inoffizielle Truecrypt-GUI gibt sich noch reichlich spartanisch und ist somit noch kein vollwertiger Ersatz für die Kommandozeile.
Historie
Truecrypt blickt auf eine recht bewegende Geschichte zurück. Sein direkter Vorgänger hört auf den Namen "Encryption for the Masses", kurz E4M. Dessen Lebensende war pünktlich zum Jahrtausendwechsel erreicht, als sein Schöpfer Paul Le Roux einen Job in der Kryptographie-Industrie antrat. Vier lange Jahre vergingen, bis das Verschlüsselungsprogramm unter dem neuen Namen Truecrypt ein furioses Revival feierte – und prompt in einen kleinen Lizenzstreit schlitterte. Die etwas verhackstückte Weiterentwicklung führte dazu, dass verschiedene Teile von Truecrypt unterschiedlichen Lizenzen unterstehen. Mittlerweile ist das Programm bei Version 4.3a angelangt (siehe Kasten "Neuheiten"), eine Besserung der Ausgangslage scheint jedoch nicht in Sicht. Dies beweist unter anderem der recht lange Lizenztext [3]. Glücklicherweise müssen Sie sich als reiner Anwender keine all zu großen Gedanken darüber machen, das Lizenzwirrwarr betrifft lediglich Programmierer.
Neuheiten
Gegenüber der Version 4.2 [4] halten sich die Neuerungen in Truecrypt 4.3a gerade für Linux-Anwender in Grenzen:
- Einige veraltete Verschlüsselungsverfahren wurden entfernt. Die noch mit ihnen erstellten Volumes lassen sich aber weiterhin verwenden.
- Die Entwickler passten die Rechteverwaltung so an, dass ein Volume nur noch von einem Administrator oder dem Benutzer ausgehängt werden kann, der es auch zuvor eingebunden hat.
- Ein Truecrypt Volume wird nun automatisch ausgehängt, sobald der Benutzer das zugehörige Speichermedium, wie etwa einen USB-Stick, entfernt.
- Truecrypt unterstützt nun auch Datenspeicher mit Sektorgrößen über 512 Byte. Dazu zählen beispielsweise große Festplatten, DVD-RAMs und einige MP3-Player.
- Die maximal erlaubte Größe von FAT32-Volumes liegt nun bei 2 TByte.
Installation
Auf der Truecrypt-Homepage [1] sowie der Heft-CD finden Sie Programmpakete für Open Suse 10.2 sowie Ubuntu 6.10 und 7.04. Es genügt, das passende Archiv mit dem hauseigenen Paketmanager einzuspielen. Sollte Truecrypt später die Fehlermeldung FATAL: Module truecrypt not found. zeigen, passt der mit installierte Kerneltreiber nicht. In diesem Fall gilt es, das Programm von Hand zu kompilieren. Dies gilt auch für Besitzer anderer Distributionen.
Installieren Sie dafür zunächst über Ihren Paketmanager die zum Kernel passenden Quellen sowie die zum Kompilieren notwendigen Hilfswerkzeuge. Unter Suse Linux genügen dazu die beiden Pakete kernel-source und gcc, Benutzer von Debian oder eines Ubuntu-Derivats installieren gcc, build-essential, dmsetup und linux-source. Danach gilt es, in einem Terminalfenster das Archiv der Kernelquellen mit dem Befehl sudo tar xvjf linux-source-replaceableVersion.tar.bz im Verzeichnis /usr/src/ zu entpacken. Sofern noch nicht vorhanden, setzten Sie mit sudo ln -s linux-source-replaceableVersion linux den benötigten Softlink.
Im Anschluss entpacken Sie das Quellcode-Archiv von Truecrypt und wechseln im Terminalfenster in das neue Verzeichnis. Dort starten Sie den Kompiliervorgang mit sudo ./build.sh. Die erscheinende Frage beantworten Sie mit y. Da Truecrypt umständlich den gesamten Linux-Kernel neu erstellt, nimmt der Übersetzungsvorgang abhängig von der Performance Ihres Rechners einige Zeit in Anspruch. Danach verankert der Aufruf sudo ./install.sh das übersetzte Truecrypt im System. Die ersten drei Fragen des Installers bestätigen Sie über die Eingabetaste, die letzte mit y. Truecrypt spielt danach neben dem eigentlichen Verschlüsselungsprogramm noch ein spezielles Kernelmodul ein, welches das Programm zum Einhängen der chiffrierten Datenträger benötigt.
Einem Freund empfehlen
