AA_PO-22687-123RF-norebbo.jpg

© norebbo, 123RF

Hinter Schloss und Riegel

Dateien und Laufwerke verschlüsseln

21.06.2013
Gegenüber den sonst dazu verwendeten Kommandozeilenwerkzeugen erleichtert Zulucrypt das Verschlüsseln privater Datenbestände wesentlich, ohne dass Sie dabei Abstriche beim Leistungsumfang in Kauf nehmen müssten.

Externe Datenträger erfreuen sich großer Beliebtheit. Mit ihnen lassen sich auch große Datenmengen schnell und unkompliziert sichern, ohne dass man ein Vermögen für Backup-Medien ausgeben müsste. Doch transportable Festplatten oder USB-Sticks gehen wegen ihrer kompakten Abmessungen und ihres geringen Gewichts auch leicht verloren oder können gestohlen werden. Daher sollten Sie Ihre persönlichen Datenbestände nie auf solchen Massenspeichern ablegen, ohne sie durch eine wirkungsvolle Verschlüsselung vor neugierigen Blicken zu schützen. Mit Dm_crypt/Cryptsetup und der grafischen Oberfläche Zulucrypt gelingt das unter Linux im Handumdrehen.

Vorbereitungen

Unter dem freien Betriebssystem hat sich als Standardverfahren zur Datenverschlüsselung eine Kombination aus dem Kernel-Modul Dm_crypt und dem auf der Kommandozeile eingesetzten Tool Cryptsetup etabliert. Mithilfe des Duos verschlüsseln Sie auch Gerätedateien und ganze Partitionen. Die in Cryptsetup seit Version 1.0.5 enthaltene Erweiterung LUKS vereinheitlicht zudem das Datei-Format und erlaubt den Einsatz mehrerer Schlüssel.

Nahezu alle Distributionen führen Cryptsetup bereits seit langem in den Repositories, sodass es sich komfortabel über den jeweiligen Paketmanager einrichten lässt. Dagegen gilt es Zulucrypt in aller Regel manuell zu installieren, da bislang nur wenige Distributionen es in ihren Software-Sammlungen führen. Lediglich Arch Linux und PCLinuxOS stellen vorbereitete Pakete für Zulucrypt bereit; Mageia kann die Pakete von PCLinuxOS nutzen.

Falls Sie eine andere Distribution verwenden, laden Sie die Quellen von Zulucrypt als Tarball von der Projektseite [1] herunter. Nach dem Entpacken des Archivs mit dem Befehl tar -xjvf zulucrypt-4.6.2.tar.bz2 wechseln Sie in das neu angelegte Unterverzeichnis. Hier sollten Sie unbedingt die Datei BUILD_INSTRUCTIONS lesen und zur Installation der Software streng nach deren Anweisungen vorgehen: Zulucrypt weist eine große Anzahl an Abhängigkeiten auf, die zur uneingeschränkten Funktion des Programms korrekt installiert sein müssen.

Auch die Integration der PCLinuxOS-Pakete unter Mageia geht nicht reibungslos vonstatten: Zum Erfüllen der Abhängigkeiten müssen Sie hier – damit der Paketmanager das Hauptpaket überhaupt auf die Festplatte packen kann – zunächst die sekundären Pakete libcryptsetup, libpwquality und libZulucrypt beschaffen und ins System einpflegen [2]. Danach lässt sich Zulucrypt ohne Murren installieren und legt unter Gnome im Unterverzeichnis Anwendungen | Werkzeuge | Systemwerkzeuge einen Eintrag Zulucrypt an, während Sie die Software unter KDE im Unterverzeichnis Werkzeuge | Konfiguration finden.

Systematisches

Bevor Sie jetzt aber mithilfe der einfach zu bedienenden Programmoberfläche direkt mit dem Verschlüsseln von Laufwerken beginnen, sollten Sie sich unbedingt im Zulucrypt-Wiki [3] über die Empfehlungen zum Umgang mit unterschiedlichen Partitionstypen informieren: Zulucrypt unterscheidet zwischen System- und Nicht-Systempartitionen, wobei eine versehentliche Verschlüsselung einer Systempartition unabsehbare Folgen haben kann.

Als Systempartitionen gelten bei Zulucrypt alle in der Datei /etc/fstab genannten Laufwerke. Üblicherweise handelt es sich dabei neben der eigentlichen Systempartition auch um das Swap-Laufwerk und Partitionen, auf denen benutzerdefinierte Daten lagern. Dagegen tauchen Wechseldatenträger hier nicht auf, sodass Zulucrypt sie als Nicht-Systempartitionen betrachtet.

Erste Schritte

Nach dem Start präsentiert sich Zulucrypt mit einer äußerst schlichten Oberfläche: Im Programmfenster zeigt es neben einer Menüleiste lediglich die Tabellenspalten Encrypted volume path, Encrypted volume mount point path und Type an.

Zunächst müssen Sie einen Container anlegen, in dem verschlüsselte Dateien gespeichert werden können. Diesem Container gilt es anschließend einen wahlfreien Schlüssel zuzuweisen. Der Schlüssel sollte möglichst kompliziert ausfallen und aus Groß- und Kleinbuchstaben sowie Ziffern in gemischter Reihenfolge bestehen, um im Falle einer versuchten Entschlüsselung durch Unbefugte gegen Wörterbuch- und Brute-Force-Attacken möglichst immun zu sein.

Beachten Sie bitte, dass eine Entschlüsselung des Containers nur nach Eingabe des korrekten Schlüssels klappt. Vergessen Sie diesen oder können ihn aus anderen Gründen nicht mehr rekonstruieren, sind die gespeicherten Daten verloren. Daher bietet Zulucrypt auch die Option, zunächst eine Schlüsseldatei zu generieren, die es später nicht nur bei der Anlage eines Containers nutzt, sondern die auch die Entschlüsselung vereinfacht.

Sie generieren eine solche Schlüsseldatei über das Menü create | keyfile, wobei Sie neben dem Namen der Schlüsseldatei auch deren Speicherpfad angeben. Aus Sicherheitsgründen sollten Sie die Schlüsseldatei nicht in Ihrem Home-Verzeichnis ablegen, sondern möglichst auf einem externen Datenträger sichern, sodass ein Entschlüsseln des Containers ohne das externe Speichermedium mit der Schlüsseldatei unmöglich wird (Abbildung 1).

Abbildung 1: In drei Schritten generieren Sie eine Schlüsseldatei für Zulucrypt.

Im nächsten Schritt können Sie nun die Containerdatei anlegen. Sie erscheint später im Dateimanager wie ein herkömmliches, eingehängtes Laufwerk. Vor der Anlage eines Containers sollten Sie noch prüfen, ob das Ziellaufwerk eingehängt ist. Dies erledigen Sie auf der Kommandozeile mit dem Befehl mount ohne Eingabe von Parametern. Sollte das Ziellaufwerk aktiviert sein, so entfernen Sie es mit dem Befehl umount Laufwerk aus der Liste der aktiven Volumes, da Zulucrypt keine eingehängten Laufwerke bearbeiten kann.

Anschließend öffnen Sie zum Generieren des Containers zunächst das Menü create. Hier haben Sie die Wahl zwischen den Optionen encrypted container in a file und encrypted container in a partition. Sofern Sie größere Datenbestände verschlüsseln möchten, empfiehlt sich die Option, den Container in einer Partition anzulegen. Beachten Sie jedoch vor dem Anlegen des Containers, dass dieser die gesamte gewählte Partition ausfüllt und die darin zuvor enthaltenen Daten verloren gehen.

Im nächsten Schritt zeigt Ihnen Zulucrypt die möglichen Partitionen für das Anlegen des Containers an, wobei es in der Standardeinstellung keine Systempartitionen anzeigt. Externe Laufwerke dagegen finden Sie nicht nur mit deren Gerätenamen aufgeführt, sondern auch mit der zugehörigen UUID. Sofern Sie häufig mobile Datenträger wie USB-Sticks, externe Festplatten oder Speicherkarten nutzen und den verschlüsselten Container auf mehreren Rechnern ansprechen möchten, sollten Sie beim Anlegen des verschlüsselten Volumes die Option use uuid anklicken, damit Zulucrypt den Container zukünftig anhand seiner UUID identifiziert. Damit beugen Sie bei mehreren simultan an einem Rechner genutzten externen Laufwerken Verwechslungen vor.

Nach einem Doppelklick auf das gewünschte Laufwerk gilt es nun den zugehörigen Schlüssel mit dem Container zu verbinden. Sofern Sie bereits eine Schlüsseldatei angelegt haben, können Sie diese nutzen, indem Sie auf den Auswahlschalter key from a keyfile klicken und anschließend in der darunter befindlichen Eingabezeile den Pfad zur Schlüsseldatei angeben. Das erspart erfreulicherweise auch, wie bei der manuellen Anlage den Schlüssel nochmals zur Verifikation wiederholen zu müssen.

Im unteren Bereich des Fensters zum Anlegen des Containers definieren Sie für diesen noch ein Dateisystem sowie die Art der Verschlüsselung. Hier gibt Zulucrypt die Option luks vor, die einen 256 Bit langen symmetrischen Schlüssel nach dem AES-Standard generiert. Mit einem Klick auf die Schaltfläche create schließen Sie das Anlegen des Containers ab (Abbildung 2).

Abbildung 2: Mit Zulucrypt legen Sie im Handumdrehen einen neuen Container für die verschlüsselten Daten an.

Anschließend fordert Zulucrypt recht eindringlich dazu auf, den LUKS-Header zusätzlich zu sichern. Im LUKS-Header lagern verschiedene Metadaten wie beispielsweise Informationen über die Container sowie unterschiedliche Schlüssel, sodass sich ein Backup durchaus empfiehlt. Zulucrypt öffnet dazu den bereits gewohnten Dateidialog, wobei es das Backup in der Vorgabe aus Sicherheitsgründen nicht auf dem verschlüsselten Volume ablegt, sondern in Ihrem Home-Verzeichnis. Sie können den LUKS-Header jedoch auch jederzeit im Zulucrypt-Programmfenster über das Menü luks | backup header sichern oder – im Falle der Zerstörung des originalen Headers – wiederherstellen.

Leseübung

Um mit dem verschlüsselten Container wie mit einem herkömmlichen Laufwerk arbeiten zu können, müssen Sie ihn manuell ins System einbinden. Linux erkennt zwar das Laufwerk, gestattet aber ohne die entsprechende Schlüsseldatei keinerlei Zugriff auf den Container.

Sie müssen daher erneut Zulucrypt aufrufen und über das Menü open | encrypted container in a partition die entsprechende Partition auswählen. Dazu zeigt die Software eine Liste aller im System erkannter Laufwerke mitsamt deren Dateisystem an, wobei verschlüsselte Container stets in der Spalte type den Eintrag crypto_LUKS aufweisen (Abbildung 3).

Abbildung 3: Zum Einbinden von Containern zeigt Zulucrypt in Listenform alle Laufwerke an.

Nach einem Doppelklick auf den Container bindet Zulucrypt diesen in Ihrem Home-Verzeichnis als neuen Ordner ein, wobei die Laufwerksbezeichnung als Ordnername dient. Sie können nun mit dem Container wie mit einem herkömmlichen Verzeichnis arbeiten.

Um den Container nach Abschluss aller Arbeiten korrekt aus dem System zu entfernen, klicken Sie in Zulucrypt im Menü zC die Option close all opened volumes an. Das Tool meldet den verschlüsselten Container nun ab, sodass sich dessen Inhalt ohne erneutes Einbinden via Zulucrypt nicht mehr einsehen lässt.

Dateien verschlüsseln

Wollen Sie nicht gleich einen ganzen Container anlegen, sondern lediglich einzelne Dateien vor neugierigen Blicken schützen, dann verschlüsseln Sie diese in Zulucrypt einzeln mithilfe der Option zC | encrypt a file. Zulucrypt verlangt nach Auswahl dieser Option den Namen der zu verschlüsselnden Datei und einen entsprechenden Schlüssel. Sie können hier erneut entweder einen Schlüssel manuell eingeben oder aus einer Schlüsseldatei einlesen lassen.

Anschließend kodiert Zulucrypt die fragliche Datei und legt diese mit dem selben Dateinamen, ergänzt um die Erweiterung .zc, in Ihrem Home-Verzeichnis ab. Sowohl den Dateinamen als auch das Zielverzeichnis ändern Sie im Verschlüsselungsdialog bei Bedarf nach Ihren Vorstellungen (Abbildung 4). Achten Sie bitte darauf, dass der originale Dateinamen keine Leerzeichen enthält, da Zulucrypt in diesem Fall die Verschlüsselung verweigert.

Abbildung 4: Zulucrypt sichert auch einzelne Dateien vor neugierigen Blicken.

Um eine verschlüsselte Datei wieder zu entschlüsseln, wählen Sie im Programm die Option zC | decrypt a file. Über den gleichen übersichtlichen Dialog wie bei der Kodierung stoßen Sie nun das Entschlüsseln der gewünschte Datei an. Das klappt recht flott: Im Test benötigte Zulucrypt für das Dekodieren einer rund 100 MByte großen Datei nur wenige Sekunden.

Container in Datei

Zum Schutz kleinerer Datenbestände können Sie – alternativ zu einem kompletten verschlüsselten Laufwerk – mit Zulucrypt auch Container-Dateien anlegen, die nicht das ganze Volume beanspruchen. Ansonsten unterscheiden sich diese Container in der Bedienung nicht von ihren größeren Brüdern.

Sie legen einen solchen Container über den Menüpunkt create | encrypted container in a file an und tragen die benötigten Daten anschließend im gleichen Dialog ein wie beim Anlegen einer verschlüsselten Partition. Der einzige Unterschied: Sie müssen der Container-Datei neben dem zu verwendenden Dateisystem auch eine Größe zuweisen.

Sofern Sie mehrere verschlüsselte Laufwerke und Container simultan nutzen, zeigt Zulucrypt alle in seinem Listenfenster an. Dadurch können Sie blitzschnell zwischen einzelnen Inhalten wechseln und beim Herunterfahren des Systems auch alle offenen Container in einem Rutsch über den Menüpunkt zC | close all opened volumes schließen (Abbildung 5).

Abbildung 5: Zulucrypt erlaubt das simultane Nutzen verschlüsselter Container.

Extras

Über den Menüpunkt zC | erase data in a device eröffnet Zulucrypt besonders sicherheitsbewussten Anwendern die Möglichkeit, bestehende Daten in einem Container physikalisch zu löschen. Dazu überschreibt es den gesamten Container-Inhalt mit Zufallszeichen, was eine Rekonstruktion der zuvor vorhandenen Daten unmöglich macht. Der Container selbst bleibt dabei erhalten.

Um die sichere Löschfunktion zu aktivieren, müssen Sie jedoch zunächst die verschlüsselten Laufwerke aushängen. Noch eingehängte Laufwerke lassen sich nicht von überflüssigen Datenbeständen befreien.

Fazit

Mit Zulucrypt erhalten Sie ein kleines, aber leistungsfähiges Verschlüsselungsprogramm, das sich aufgrund seiner Funktionsvielfalt für jeden Bedarf eignet. Im Test arbeitete die Software sehr stabil und ohne das geringste Problem. Dabei erfreute das Programm durch seine hohe Arbeitsgeschwindigkeit: So gelang das Anlegen verschlüsselter Laufwerke von GByte-Größe innerhalb kurzer Zeit, und selbst bei größeren Containern erfolgte das Löschen binnen weniger Sekunden.

Als größtes Manko von Zulucrypt erwies sich neben der aufgrund fehlender Distributionspakete umständlichen und zeitaufwändigen Installation die noch fehlende deutsche Lokalisierung. Haben Sie jedoch diese Hürden erst genommen, so erhalten Sie mit Zulucrypt ein höchst nützliches Werkzeug, das die Sicherheit Ihrer persönlichen Daten signifikant erhöht. 

Glossar

LUKS

Das Linux Unified Key Setup erweitert die verschlüsselten Daten um einen 592 Byte großen Header, der Metadaten sowie bis zu acht Schlüssel aufnimmt [4].

AES

Advanced Encryption Standard. Frei verfügbares, offen gelegtes symmetrisches Kryptosystem mit einer Blocklänge von 128 Bit und Schlüssellängen von wahlweise 128, 192 oder 256 Bit. AES wurde Ende der 90er Jahre auf Anforderung der US-Behörden entwickelt und ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare