Das Verschlüsselungsprogramm Truecrypt erweist sich als flexibles Multitalent, das ungeahnte Möglichkeiten eröffnet.

Geht es darum, Daten sicher zu verwahren, erweist sich Truecrypt [1] als ebenso hochsicheres wie auch einfach zu bedienendes Werkzeug für diesen Zweck. Mit ihm erstellen Sie verschlüsselte Container-Dateien, die Sie wie normale Partitionen im Verzeichnisbaum einhängen. Zudem verschlüsselt Truecrypt auch komplette Partitionen oder Laufwerke. Damit sind die Möglichkeiten des Programms aber noch lange nicht ausgeschöpft: Mit ein paar kleinen Kniffen chiffrieren Sie damit auch Ihr Heimatverzeichnis und binden es beim Systemstart automatisch ein.

Grundlagen

Wie erwähnt besitzt Truecrypt verschiedene Verschlüsselungsmodi. Im einfachsten Fall erstellen Sie eine Containerdatei, die Sie im System wie eine Partition einhängen. Öffnen Sie dazu das Verschlüsselungsprogramm (Abbildung 1) durch Eingabe von truecrypt im Terminal oder Schnellstartfenster. Klicken Sie auf Create Volume und wählen Sie danach Create an encrypted file container. Nach einem Klick auf Next entscheiden Sie, ob Sie ein normales oder ein verstecktes (“hidden”) Volume (siehe Kasten “Versteckspiel”) erstellen möchten. Zum Erzeugen einer einfachen Containerdatei verwenden Sie den vorgegebenen Standard.

Abbildung 1: Die vorbildliche Benutzerführung erleichtert den Umgang mit Truecrypt enorm.

Im nächsten Fenster legen Sie fest, in welchem Verzeichnis Sie die Datei speichern möchten. Den Encryption Algorithm wählen Sie im nächsten Fenster aus den Alternativen AES, Serpent und Twofish sowie den daraus resultierenden Kombinationen, wie etwa AES-Twofish. Speziell kombinierte Algorithmen verlangsamen aber die Schreib- und Lesegeschwindigkeit, Sie sollten sie deswegen nur in Ausnahmefällen verwenden. Am schnellsten arbeitet übrigens AES.

Als Nächstes legen Sie die Größe des Containers fest, die lediglich der freie Platz auf der gewählten Partition limitiert. Im Anschluss geben Sie das gewünschte Passwort ein oder legen das Key-File fest. Sie können dafür eine beliebige Datei verwenden, die für einen halbwegs sicheren Schlüssel jedoch mindestens 64 Byte groß sein sollte. Auch eine Kombination aus Key und Passwort ist möglich.

Nun geht es ans Vorbereiten des Volumes. Seit Version 6 unterstützt Truecrypt das Formatieren der Datei auch mit Ext2 und Ext3. Wählen Sie bei der Abfrage, ob Sie das Volume nur unter Linux oder auch unter anderen Systemen verwenden möchten, die plattformübergreifende Variante, korrigiert das Programm die Formatierung automatisch auf FAT. Ein Klick auf Format im letzten Fenster erstellt das verschlüsselte Volume.

Um es zu verwenden, klicken Sie im Hauptfenster auf Select File… und wählen im Dateibrowser den Container aus. Klicken Sie danach im Hauptfenster auf Mount, um die Datei einzuhängen. Als Mountpoint verwendet Truecrypt in der Grundeinstellung /media/truecrypt1..32, je nachdem, in welchen Slot Sie das Volume einhängen. Möchten Sie stattdessen einen anderen Einhängepunkt verwenden, klicken Sie auf Options und legen das entsprechende Verzeichnis bei Mount at directory: fest.

Versteckspiel

Als besonderes Feature bietet Truecrypt das Anlegen so genannter Hidden Volumes, deren Existenz sich nicht nachweisen lässt. Diese erstellt das Programm innerhalb eines verschlüsselten äußeren Volumes. Ob Sie das äußere oder das darin versteckte Volume einhängen, entscheiden Sie mit der Eingabe des Passwortes, das Sie den Volumes beim Erstellen gaben.

Um versteckte Volumes vor dem Überschreiben zu schützen, wenn Sie das äußere einhängen, bietet Truecrypt die Hidden Volume Protection. Um sie zu erreichen, klicken Sie im Mount-Dialog auf Options (Abbildung 2) und aktivieren die Checkbox neben Protect hidden volume when mounting outer volume. Es erscheint eine Eingabezeile, in der Sie das Passwort des versteckten Volumes eingeben. Danach hängt Truecrypt das Volume im Lese-Modus ein. Allerdings fällt das zunächst nicht auf, da Sie problemlos Daten dorthin kopieren können – die verschwinden jedoch, sobald Sie das Volume das nächste Mal aushängen.

Options im Mount-Dialog öffnet zusätzliche Optionen, darunter auch das Schützen des versteckten Volumes gegen Überschreiben.” width=”253″ height=”300″ /> Abbildung 2: Ein Klick auf Options im Mount-Dialog öffnet zusätzliche Optionen, darunter auch das Schützen des versteckten Volumes gegen Überschreiben.

USB-Sticks verschlüsseln

Der größte Vorteil von Truecrypt gegenüber nativen Verfahren wie Dmcrypt liegt in der Interoperabilität: während Sie bei Dmcrypt darauf angewiesen sind, dass die Ziel-Maschine die passende Software vorhält, lassen sich Truecrypt-Volumes auf beinahe jedem Rechner einbinden.

Dazu kopieren Sie die statisch kompilierten Truecrypt-Binaries von der Heft-DVD auf eine kleine, nicht verschlüsselte Partition auf dem USB-Stick, wo sie zwischen 10 und 20 MByte belegen. Um den restlichen Speicherplatz zu formatieren, wählen Sie diesmal nach dem Start von Truecrypt im ersten Fenster Create a volume within a partition/drive. Im Abfragefenster Volume Location klicken Sie auf Select Device… (Abbildung 3) und wählen aus der Liste die Partition oder Festplatte, die Sie verschlüsseln möchten. Danach verfahren Sie wie oben im Abschnitt “Grundlagen” beschrieben.

Create a volume within a partition/drive, dann verschlüsselt Truecrypt den gewählten Datenträger oder Partition.” width=”300″ height=”207″ /> Abbildung 3: Wählen Sie im Assistenten Create a volume within a partition/drive, dann verschlüsselt Truecrypt den gewählten Datenträger oder Partition.

Die vorgestellte Methode eignet sich nicht nur zum Verschlüsseln von USB-Sticks, sondern auch um lokale Partitionen oder externe Festplatten vor neugierigen Blicken zu schützen. Allerdings gehen beim Chiffrieren stets alle auf der Partition befindlichen Daten verloren. Lediglich die Truecrypt-Version für Windows Vista und 2008 ermöglicht das nachträgliche Verschlüsseln einer Partition ohne Datenverlust. Auch ein Chiffrieren der Systempartition ermöglicht Truecrypt derzeit lediglich für Windows-Systeme. Da sich die meisten personenbezogenen Daten jedoch im Heimatverzeichnis befinden, reicht es meist aus, dieses zu verschlüsseln.

Heimatverzeichnisse verschlüsseln

Zwar bieten viele aktuelle Distributionen mittlerweile die Möglichkeit, schon bei der Installation ein verschlüsseltes Heimatverzeichnis anzulegen, doch besitzt die hier vorgestellte Methode via Truecrypt gegenüber dieser Methoden einige Vorteile. So ermöglicht sie die freie Wahl des verwendeten Verschlüsselungsalgorithmus sowie das Anlegen eines versteckten Volumes, sodass Sie beispielsweise ein öffentliches und ein geheimes Heimatverzeichnis anlegen können.

Optional verwenden Sie zur Authentifizierung Key-Files, die Sie auf externen Datenträgern wie USB-Sticks speichern. Das hat den Vorteil, dass der Bootvorgang ohne Unterbrechung durchläuft, sofern der Schlüssel vorhanden ist. Ganz Vorsichtige lagern ihr Heimatverzeichnis sogar komplett auf einen USB-Stick aus. Dabei lässt sich das Home wahlweise in einem Container oder einer eigenen Partition verstecken. Der Nachteil: Häufige Schreibzugriffe verkürzen die Lebensdauer von USB-Sticks erheblich.

Umzugsvorbereitungen

Speziell unter Ubuntu sollten Sie vor dem Verschlüsseln des Heimatverzeichnisses aus Sicherheitsgründen einen neuen Benutzer anlegen, damit Sie bei Komplikationen weiterhin ohne Umwege ihr System erreichen. Diesen “Fallback”-User können Sie nach vollzogenem Umzug wieder löschen.

Legen Sie im ersten Schritt eine verschlüsselte Partition oder einen Container an. In beiden Fällen steht es Ihnen frei, ein Hidden Volume zu erstellen. Ob sich die Partition auf einem internen oder externen Laufwerk befindet, spielt nur insofern eine Rolle, dass Sie nicht vergessen dürfen, das externe beim Booten einzuhängen.

Mounten Sie danach das Volume und kopieren Sie den Inhalt Ihres Heimatverzeichnisses mittels cp -R /home/Benutzer/ /media/truecrypt1 dort hin. Vergewissern Sie sich aber zuvor mit lsof | grep /home/Benutzer, dass keine Prozesse darauf zugreifen, die das Kopieren einzelner Dateien oder Verzeichnisse verhindern. Sollte das der Fall sein, beenden Sie die entsprechenden Programme mit der Eingabe von kill PID oder killall Prozess.

Fliegender Wechsel

Erstellen Sie jetzt als Benutzer Root das Verzeichnis /home_sec, in dem Sie später das verschlüsselte Heimatverzeichnis einhängen. Öffnen Sie danach die Datei /etc/passwd und ändern Sie im Benutzereintrag des Users, den Sie umziehen möchten, die Sequenz /home/Benutzer in /home_sec/Benutzername.

Richten Sie im Anschluss die Startsequenz ein, die beim Booten das Volume automatisch einhängt. Benutzer von Opensuse öffnen dafür die Datei /etc/rc.d/boot.local und erweitern die Datei um den Eintrag truecrypt -t --protect-hidden=no --keyfiles=/Pfad/zum/VolumeMountpoint, beispielsweise truecrypt -t --protect-hidden=no --keyfiles=/dev/sdb1 /home_sec. Verwenden Sie zusätzlich eine Schlüsseldatei auf einem externen Datenspeicher, sieht die Konfiguration wie folgt aus:

$ mount /dev/sdd1 /media/sdd1
$ truecrypt -t --protect-hidden=no --keyfiles=/media/sdd1/Keyfile /dev/sdb /home_sec/

Damit hängen Sie den externen Datenspeicher ein und übergeben Truecrypt den Pfad zum Schlüssel. Verwenden Sie ausschließlich den Key zur Authentifizierung, ergänzen Sie die Truecrypt-Anweisung um --password=, was zur Übergabe eines leeren Passworts führt. Nach dem Anmelden können Sie das Device, auf dem sich der Key befindet, problemlos entfernen.

Benutzer von Ubuntu oder Debian legen im Verzeichnis /etc/init.d/ eine neue Datei an, beispielsweise tcstart mit der für Shellskripts üblichen Startzeile #!/bin/sh, und kopieren die oben beschriebenen Startparameter dort hin. Verleihen Sie dem Skript danach mit chmod 755 tcstart die notwendigen Ausführrechte und binden Sie es mit dem Aufruf sudo update-rc.d tcstart defaults in die Runlevels ein. Bevor Sie den Rechner neu starten, probieren Sie die Einträge zunächst quasi als Trockenübung auf der Kommandozeile aus. Verlaufen die Tests ohne Probleme, dann starten Sie den Rechner neu. Beachten Sie beim Verwenden von Passwörtern mit Sonderzeichen und Umlauten, dass beim Booten unter Umständen der deutsche Zeichensatz bei der Passwortabfrage noch nicht geladen ist.

Salto rückwärts

Aus Sicherheitsgründen sollten Sie das ursprüngliche Home erst löschen, sobald Sie sichergestellt haben, dass sowohl Anmeldung als auch Betrieb fehlerfrei laufen. Solange das Ursprungsverzeichnis noch existiert, genügt es, den geänderten Pfad zum Home-Verzeichnis in der /etc/passwd in den ursprünglichen Zustand zurückzuversetzen, um mit dem System wie gehabt zu arbeiten.

Unter Ubuntu melden Sie sich dafür entweder als der zuvor erstelle Fallback-Benutzer an, oder starten die Distribution im abgesicherten Modus, indem Sie am Boot-Screen [Esc] drücken und aus der Liste Ubuntu 8.10, (recovery mode) wählen. Im Recovery Menu aktivieren Sie Drop to root shell prompt, um eine Root-Shell zu öffnen, und bearbeiten die Datei mit einem Texteditor wie Vi oder Joe. Benutzer von OpenSuse melden sich als Root am System an, um die Datei wie beschrieben zu modifizieren.

Fazit

Die hier vorgestellte Methode stellt die einfachste Art dar, das Heimatverzeichnis zu verschlüsseln. Eine weitaus ausführlichere Beschreibung, die alle Aspekte und Seiteneffekte einbezieht, finden Sie im Truecrypt-Handbuch [4].