Verborgene Talente

Geht es darum, Daten sicher zu verwahren, erweist sich Truecrypt [1] als ebenso hochsicheres wie auch einfach zu bedienendes Werkzeug für diesen Zweck. Mit ihm erstellen Sie verschlüsselte Container-Dateien, die Sie wie normale Partitionen im Verzeichnisbaum einhängen. Zudem verschlüsselt Truecrypt auch komplette Partitionen oder Laufwerke. Damit sind die Möglichkeiten des Programms aber noch lange nicht ausgeschöpft: Mit ein paar kleinen Kniffen chiffrieren Sie damit auch Ihr Heimatverzeichnis und binden es beim Systemstart automatisch ein.

Grundlagen

Wie erwähnt besitzt Truecrypt verschiedene Verschlüsselungsmodi. Im einfachsten Fall erstellen Sie eine Containerdatei, die Sie im System wie eine Partition einhängen. Öffnen Sie dazu das Verschlüsselungsprogramm (Abbildung 1) durch Eingabe von truecrypt im Terminal oder Schnellstartfenster. Klicken Sie auf Create Volume und wählen Sie danach Create an encrypted file container. Nach einem Klick auf Next entscheiden Sie, ob Sie ein normales oder ein verstecktes ("hidden") Volume (siehe Kasten "Versteckspiel") erstellen möchten. Zum Erzeugen einer einfachen Containerdatei verwenden Sie den vorgegebenen Standard.

Abbildung 1: Die vorbildliche Benutzerführung erleichtert den Umgang mit Truecrypt enorm.

Im nächsten Fenster legen Sie fest, in welchem Verzeichnis Sie die Datei speichern möchten. Den Encryption Algorithm wählen Sie im nächsten Fenster aus den Alternativen AES, Serpent und Twofish sowie den daraus resultierenden Kombinationen, wie etwa AES-Twofish. Speziell kombinierte Algorithmen verlangsamen aber die Schreib- und Lesegeschwindigkeit, Sie sollten sie deswegen nur in Ausnahmefällen verwenden. Am schnellsten arbeitet übrigens AES.

Als Nächstes legen Sie die Größe des Containers fest, die lediglich der freie Platz auf der gewählten Partition limitiert. Im Anschluss geben Sie das gewünschte Passwort ein oder legen das Key-File fest. Sie können dafür eine beliebige Datei verwenden, die für einen halbwegs sicheren Schlüssel jedoch mindestens 64 Byte groß sein sollte. Auch eine Kombination aus Key und Passwort ist möglich.

Nun geht es ans Vorbereiten des Volumes. Seit Version 6 unterstützt Truecrypt das Formatieren der Datei auch mit Ext2 und Ext3. Wählen Sie bei der Abfrage, ob Sie das Volume nur unter Linux oder auch unter anderen Systemen verwenden möchten, die plattformübergreifende Variante, korrigiert das Programm die Formatierung automatisch auf FAT. Ein Klick auf Format im letzten Fenster erstellt das verschlüsselte Volume.

Um es zu verwenden, klicken Sie im Hauptfenster auf Select File... und wählen im Dateibrowser den Container aus. Klicken Sie danach im Hauptfenster auf Mount, um die Datei einzuhängen. Als Mountpoint verwendet Truecrypt in der Grundeinstellung /media/truecrypt1..32 , je nachdem, in welchen Slot Sie das Volume einhängen. Möchten Sie stattdessen einen anderen Einhängepunkt verwenden, klicken Sie auf Options und legen das entsprechende Verzeichnis bei Mount at directory: fest.

Versteckspiel

Als besonderes Feature bietet Truecrypt das Anlegen so genannter Hidden Volumes, deren Existenz sich nicht nachweisen lässt. Diese erstellt das Programm innerhalb eines verschlüsselten äußeren Volumes. Ob Sie das äußere oder das darin versteckte Volume einhängen, entscheiden Sie mit der Eingabe des Passwortes, das Sie den Volumes beim Erstellen gaben.

Um versteckte Volumes vor dem Überschreiben zu schützen, wenn Sie das äußere einhängen, bietet Truecrypt die Hidden Volume Protection. Um sie zu erreichen, klicken Sie im Mount-Dialog auf Options (Abbildung 2) und aktivieren die Checkbox neben Protect hidden volume when mounting outer volume. Es erscheint eine Eingabezeile, in der Sie das Passwort des versteckten Volumes eingeben. Danach hängt Truecrypt das Volume im Lese-Modus ein. Allerdings fällt das zunächst nicht auf, da Sie problemlos Daten dorthin kopieren können – die verschwinden jedoch, sobald Sie das Volume das nächste Mal aushängen.

Abbildung 2: Ein Klick auf Options im Mount-Dialog öffnet zusätzliche Optionen, darunter auch das Schützen des versteckten Volumes gegen Überschreiben.

USB-Sticks verschlüsseln

Der größte Vorteil von Truecrypt gegenüber nativen Verfahren wie Dmcrypt liegt in der Interoperabilität: während Sie bei Dmcrypt darauf angewiesen sind, dass die Ziel-Maschine die passende Software vorhält, lassen sich Truecrypt-Volumes auf beinahe jedem Rechner einbinden.

Dazu kopieren Sie die statisch kompilierten Truecrypt-Binaries von der Heft-DVD auf eine kleine, nicht verschlüsselte Partition auf dem USB-Stick, wo sie zwischen 10 und 20 MByte belegen. Um den restlichen Speicherplatz zu formatieren, wählen Sie diesmal nach dem Start von Truecrypt im ersten Fenster Create a volume within a partition/drive. Im Abfragefenster Volume Location klicken Sie auf Select Device... (Abbildung 3) und wählen aus der Liste die Partition oder Festplatte, die Sie verschlüsseln möchten. Danach verfahren Sie wie oben im Abschnitt "Grundlagen" beschrieben.

Abbildung 3: Wählen Sie im Assistenten Create a volume within a partition/drive, dann verschlüsselt Truecrypt den gewählten Datenträger oder Partition.

Die vorgestellte Methode eignet sich nicht nur zum Verschlüsseln von USB-Sticks, sondern auch um lokale Partitionen oder externe Festplatten vor neugierigen Blicken zu schützen. Allerdings gehen beim Chiffrieren stets alle auf der Partition befindlichen Daten verloren. Lediglich die Truecrypt-Version für Windows Vista und 2008 ermöglicht das nachträgliche Verschlüsseln einer Partition ohne Datenverlust. Auch ein Chiffrieren der Systempartition ermöglicht Truecrypt derzeit lediglich für Windows-Systeme. Da sich die meisten personenbezogenen Daten jedoch im Heimatverzeichnis befinden, reicht es meist aus, dieses zu verschlüsseln.