Zulucrypt versammelt eine ganze Reihe von Verschlüsselungsmethoden für komplette Volumes unter einer grafischen Oberfläche, lässt sich aber trotzdem leicht bedienen.
Datensicherheit beschäftigt heute nicht mehr nur Nerds und Geeks. Wer viel mit einem Notebook reist oder ständig USB-Sticks mit sich herumträgt, der möchte vermeiden, dass im Fall eines Verlusts Dritten die privaten Daten zugänglich werden. Zudem nimmt auch auf Flughäfen – insbesondere nordamerikanischen – der Wissensdurst der offiziellen Kontrollorgane ständig zu.
Verschlüsselungssoftware hilft, geheime und private Daten zu schützen. Im Bereich des investigativen Journalismus, bei Whistleblowern und bei Aktivisten in Ländern mit repressiven Regimes hängen unter Umständen Leib und Leben der Beteiligten unter anderem auch von guter Verschlüsselung ab.
Das bedeutet aber im Umkehrschluss, dass sich der Anwender völlig auf die Integrität der verwendeten Software verlassen können muss: Verschlüsselung ist der natürliche Feind aller Schlapphüte des Planeten. Die begehren nichts mehr als eine Hintertür in jeder Verschlüsselungssoftware auf dem Markt.
Die Kandidaten
Als Standardsoftware zum Verschlüsseln von Dateien, Partitionen und Containern unter Linux, Mac OS X und Windows galt über ein Jahrzehnt hinweg Truecrypt [1] – bis das Projekt 2014 unter noch heute mysteriösen Umständen abrupt ein Ende fand. Zwar lässt sich die Software auch heute noch im Quellcode einsehen und gilt laut Lizenzvereinbarung als quelloffen und frei. Die Anerkennung als freie Software nach der Definition der Open Source Initiative blieb dem Programm jedoch aufgrund einiger rechtlicher Probleme versagt. Somit fand es auch nicht den Weg in die Archive der großen Linux-Distributionen.
Da Truecrypt weder weiterentwickelt noch fehlerbereinigt wird, bietet es sich an, auf dessen Nachfolger auszuweichen. Der Fork Veracrypt [2], der sich schon 2013 von Truecrypt abspaltete, gilt als dem Vorbild am ähnlichsten. Das Programm behebt einige Fehler, die bei den Audits von Truecrypt entdeckt wurden, und bindet wie das Original auf Wunsch einen Container im Container ein, der sich selbst auf einem unverschlüsselten System nicht ohne Weiteres nachweisen lässt.
Im Fokus dieses Artikels steht mit Zulucrypt [3] ein weiterer Truecrypt-Nachfolger, der als Backend neben der Truecrypt-Methode auch Veracrypt, Dm-crypt [4] und LUKS (Linux Unified Key Setup) [5] unterstützt. Die nur für Linux angebotene Software steht unter der GNU GPLv2. Alle Funktionen lassen sich sowohl über die Kommandozeile ausführen als auch über eine grafische Benutzeroberfläche. Bauen Sie das Programm selbst und benötigen lediglich den CLI-Part, können Sie die GUI auch einfach weglassen.
Bekannt dank Ubuntu
Weitere Verbreitung findet die Software, seit sie mit Ubuntu 15.10 ins Canonical-Archiv einzog und seit der Release 18 auch bei Mint verfügbar ist (Listing 1). Mittlerweile lagert Zulucrypt aber auch in den Paketquellen von Debian, Fedora, OpenSuse, Gentoo sowie in Archs AUR. Auf der Webseite des Projekts bieten die Entwickler die jeweils neuesten veröffentlichten Pakete (derzeit Version 5.0) für Debian und Ubuntu zum Herunterladen an.
Listing 1
$ sudo apt install zulucrypt-gui zulucrypt-cli tcplay cryptsetup
Als Voraussetzungen sollten Sie die Pakete cryptsetup sowie tcplay installieren. Die Installation von Zulucrypt zieht diese Pakete nicht an, doch ohne sie funktioniert die Software nicht ordnungsgemäß. Verwenden Sie keine Qt-Umgebung wie KDE oder LXQt, spielt die Paketverwaltung noch die Pakete libqtcore4 und libqt4-network ein. Die manuelle Installation auf einer Debian-basierten Distribution (in diesem Fall Ubuntu “Xenial”) zeigt Listing 2. Bei einem 32-Bit-System ersetzen Sie in der zweiten Zeile das amd64 durch i386.
Listing 2
$ tar xf zuluCrypt-5.0.0-ubuntu-16.04-Xenial_Xerus.tar.xz $ cd zuluCrypt-5.0.0-ubuntu-16.04-Xenial_Xerus/amd64 $ sudo dpkg -i *.deb $ sudo apt install -f $ sudo apt install tcplay cryptsetup
Wie wir testen
Der Test bezieht sich nach Rücksprache mit dem Entwickler auf die Vorabversionen der demnächst erscheinenden Version aus dem Git-Zweig des Projekts, die mit dem OpenSuse Build Service (OBS) gebaut wurde [6]. Sie behebt einige Fehler in der Übersetzung und der Dokumentation. Besonders Ubuntu-Anwender sollten hiervon Gebrauch machen, denn selbst aus den Paketquellen von Ubuntu 16.04 wird noch Version 4.7.7 installiert. Die liegt zudem nur in Englisch vor, während die neue Version des Entwicklers auch Deutsch spricht. Für den Zeitpunkt der Drucklegung dieses Artikels hat der Entwickler eine neue stabile Version zugesagt.
Einfach zu bedienen
Die übersichtliche Oberfläche von Zulucrypt ermöglicht eine unkomplizierte Bedienung (Abbildung 1). Trotzdem sollten Sie vorab einen Blick in die Dokumentation des Projekts werfen. Diese führt Sie in die Funktionen der Software ein und erläutert einige Grundkonzepte. Das PDF-Dokument lässt sich über das Menü unter Hilfe | Open ZuluCrypt.pdf aufrufen. Unter Options** | Select Language | de_DE stellen Sie die Sprache der Oberfläche auf Deutsch um.
Abbildung 1: Die aktuelle Version bringt eine aufgeräumte Oberfläche mit und spricht Deutsch.
Als einfachste Funktion offeriert Zulucrypt das Verschlüsseln einer einzelnen Datei ohne einen Container, vergleichbar etwa mit einer GPG-Verschlüsselung. Dazu öffnen Sie das Menü zC und wählen Eine Datei verschlüsseln. Anschließend bestimmen Sie die zu verschlüsselnde Datei sowie den Speicherort. Nach doppelter Eingabe des Passworts liegt die gesicherte Datei mit der Endung .zC auf der Festplatte, die Originaldatei bleibt erhalten (Abbildung 2).
Abbildung 2: Mit Zulucrypt lassen sich auch einzelne Dateien bequem gegen fremde Blicke absichern.
Das Entschlüsseln läuft ähnlich ab: Wieder wählen Sie die Datei und den Zielordner aus, geben das Passwort ein und entschlüsseln die Datei. Zum Öffnen lässt sich das File auch auf das Fenster von Zulucrypt ziehen, woraufhin das Programm das Passwort oder den Schlüssel abfragt.
Datei oder Partition?
Geht es um mehr als nur eine einzelne Datei, so arbeiten die von Zulucrypt verwendeten Methoden mit Containern. Ein solcher erscheint später im Dateimanager oder dem Terminal als normales Laufwerk. Sie erstellen den Container – je nachdem, wie viele Daten er aufnehmen soll – in einer Datei oder einer eigenen Partition. Wählen Sie eine Partition als Grundlage, füllt der Container sie komplett aus und löscht alle vorher vorhandenen Daten.
Im Menü findet sich die Funktion zum Einrichten eines Containers unter Erstellen. Dort wählen Sie zwischen den Optionen Erstellen eines Containers in einer Datei und Erstellen eines Containers in einer Partition. Im Rahmen des Tests musste sich Zulucrypt mit einem USB-Stick befassen und einen 500 MByte fassenden Container in einer Datei erstellen. Diese kann neben anderen auf dem Stick bereits vorhandenen Ordnern und Dateien existieren.
Schlüssel erstellen
Bevor Sie beginnen, erstellen Sie in Zulucrypt einen Schlüssel und legen diesen beispielsweise auf einem sicher verwahrten USB-Stick ab. Im Menü Erstellen wählen Sie dazu zunächst den Eintrag KeyFile und vergeben im folgenden Dialog Namen und Speicherplatz. Danach wählen Sie aus demselben Menü den Eintrag für das Erstellen des Containers in einer Datei oder einer Partition. Achten Sie darauf, dass die Festplatte oder der USB-Stick ein Linux-Dateisystem nutzt und nicht eingehängt ist.
Möchten Sie anstelle einer Datei eine ganze Partition einer internen Festplatte verschlüsseln, so müssen Sie Zulucrypt mit Root-Rechten aufrufen. Der Befehl dazu lautet sudo zuluCrypt-gui. Achten Sie dabei auf das (bei Kommandos ansonsten unübliche) groß geschriebene C im Namen. Denken Sie bitte daran, dass der Inhalt der Partition beim Erstellen des Containers verloren geht. Starten Sie Zulucrypt als normaler User, zeigt es nur Partitionen, die nicht in der Datei /etc/fstab stehen und die das Tool somit nicht als Systempartitionen ansieht.
Drei Bedienelemente erlauben das Öffnen der gewählten Partition, das Verwenden der angezeigten UUID der Partition zur sicheren Identifizierung des Geräts sowie den Abbruch der Aktion. Die 16 Byte lange, hexadezimale UUID steht für den Universally Unique Identifier. Eine solche ordnet der Kernel seit einigen Jahren Partitionen fest zu, um diese eindeutig identifizierbar zu machen. Eine UUID ändert sich erst bei der Formatierung der jeweiligen Partition – daher sollten Sie diese Kennung auch für Zulucrypt verwenden.
Verschlüsselungsmethode
Klicken Sie danach auf Öffnen, so erscheint ein Dialog, in dem Sie festlegen, mit welcher Verschlüsselungsmethode, welchem Schlüssel und welcher Dateigröße das Programm arbeiten soll. Nutzen Sie lieber einen konventionellen Schlüssel statt einer vorab generierten Schlüsseldatei, müssen Sie diesen zweimal eintragen. Zum Verwenden einer Schlüsseldatei öffnen Sie das Ausklappmenü und treffen dort eine Auswahl. Besitzen Sie bereits einen Schlüssel für Veracrypt, können Sie auch diesen verwenden. Das rührt von der Tatsache her, dass Zulucrypt unter anderem auch zu bestehenden Veracrypt-Volumes kompatibel ist.
Bei der Auswahl der Verschlüsselungsmethode hilft die Dokumentation. Generell stellt Normal VeraCrypt eine gute Wahl dar (Abbildung 3). Möglich wäre auch VeraCrypt + versteckter Container: Hier erstellt das Programm einen zusätzlichen Container im Container, der unsichtbar bleibt, auch wenn Sie den ersten Container öffnen. Sollen sich die Container auch unter Windows und Mac OS X öffnen lassen, müssen Sie ein zu diesen Systemen kompatibles Dateisystem wie etwa VFAT auswählen. Möchten Sie den Container dagegen nur unter Linux nutzen, bietet sich der Einsatz von LUKS an.
Abbildung 3: Als Laufwerkstyp bietet sich Veracrypt an, die Verschlüsselungsroutine sollten Sie unangetastet lassen.
Die Wahl der Verschlüsselungsstärke dürfte Laien aufgrund der Vielzahl der Möglichkeiten schnell überfordern. Die Voreinstellung aes-xts-plain64 256 sha 512 genügt jedoch in der Regel allen privaten und betrieblichen Sicherheitsansprüchen. Die Chiffre aes-xts-plain64 entspricht dabei dem aktuellen Standard von Cryptsetup 1.7.0 unter Linux, die Schlüssellänge beträgt 256 Bit. Als Hash-Algorithmus kommt SHA-2 mit einem 512-Bit-Schlüssel zum Einsatz.
Das Erstellen der Datei und des Containers dauert jeweils wenige Sekunden. Die Meldung, der Container sei erfolgreich erstellt, ermahnt dazu, den LUKS-Header zu sichern (Abbildung 4). Darin speichert das Programm eine Reihe von Meta-Informationen. Wird der Header zerstört oder korrumpiert, gibt es keinen Zugang mehr zu den verschlüsselten Daten. Daher sollten Sie im Menü unter Volumen | Header sichern diese Vorsichtsmaßnahme wahrnehmen. Andererseits können Sie durch bewusstes Löschen des Headers die verschlüsselten Daten schnell und unwiederbringlich zerstören. Die Wiederherstellung stoßen Sie im Notfall im selben Reiter an. Der gesicherte Header liegt zunächst im Home-Verzeichnis, aus dem Sie ihn an einen sicheren Ort transferieren sollten.
Abbildung 4: Nach dem Erstellen eines Containers erinnert Zulucrypt daran, den Header zu sichern.
Container einhängen
Um mit dem angelegten Container zu arbeiten, müssen Sie ihn zunächst ins System einhängen. Dazu wählen Sie aus dem Menü Öffnen die Option Volumen in einer Datei und geben den Laufwerkspfad sowie das Passwort ein. Nun haken Sie die Option VeraCrypt Volume an, falls Sie diese Methode gewählt haben, und öffnen dann das Laufwerk. Es erscheint nun im Dateimanager als normale Partition und lässt sich auch wie eine solche handhaben.
Zum Schließen der Partition gibt es mehrere Wege: Unter dem Menüpunkt zC finden Sie den Unterpunkt Alle geöffneten Laufwerke schließen, der in einem Rutsch alle Container absperrt. Alternativ klicken Sie im Hauptfenster mit der rechten Maustaste auf das zu schließende Laufwerk und wählen im Kontextmenü Schließen an.
Die Handhabung eines komplett verschlüsselten Laufwerks unterscheidet sich nicht grundlegend von der einer verschlüsselten Datei. Beim Erzeugen der Partition fällt lediglich das Erstellen der Datei weg. Wollen Sie den Inhalt eines Laufwerks sicher löschen, so bietet der Menüpunkt zC | Löschen eines Laufwerks die Möglichkeit, den Inhalt unwiederbringlich mit Zufallszahlen zu überschreiben. Der Container selbst bleibt dabei erhalten.
Zur Passwortverwaltung gibt es mehrere Möglichkeiten: Zulucrypt bringt eine eigene Brieftasche mit, darüber hinaus greift das Programm auf die Pendants von KDE/Qt (KWallet) oder Gnome (Gnome Wallet) zurück. Die Varianten dazu finden Sie unter dem Menüpunkt Optionen.
Das Werkzeug Zulumount ermöglicht, verschlüsselte Laufwerke komfortabler zu verwalten als über das Menü von Zulucrypt (Abbildung 5). Es zeigt verschlüsselte wie unverschlüsselte Partitionen an und erlaubt unter anderem das Ein- und Aushängen verschlüsselter Laufwerke per Mausklick. Wenn Sie auch unverschlüsselte Laufwerke über Zulumount verwalten wollen, so müssen Sie das im als Root gestarteten Zulucrypt über den Menüpunkt Verwalte Nicht-Systemlaufwerke auswählen.
Abbildung 5: Mit Zulumount lassen sich Krypto-Container bequemer anlegen und managen.
Fazit
Zulucrypt erleichtert mithilfe einer übersichtlichen grafischen Oberfläche das Erstellen und Verwalten von verschlüsselten Dateien und Krypto-Containern. Die lesenswerte Dokumentation liefert dazu viele wichtige Hintergrundinformation, liegt allerdings bisher nur in englischer Sprache vor.
Im Test traten im Zusammenhang mit der Anwendung keinerlei Probleme auf, Zulucrypt arbeitete schnell und fehlerfrei. Über die Option, verschiedene Verschlüsselungsroutinen zu verwenden, lassen sich die mit Truecrypt oder Veracrypt verschlüsselten Daten auch unter Windows und Mac OS X verwenden; ebenso kann Zulucrypt auch bestehende verschlüsselte Laufwerke einhängen. Zulumount erleichtert dabei als praktische Alternative das Handhaben von Laufwerken.
Infos
[1] Truecrypt: https://de.wikipedia.org/wiki/TrueCrypt
[2] Veracrypt: https://de.wikipedia.org/wiki/VeraCrypt
[3] Zulucrypt: https://mhogomchungu.github.io/zuluCrypt/
[4] Dm-crypt: https://de.wikipedia.org/wiki/Dm-crypt
[5] LUKS: https://de.wikipedia.org/wiki/Dm-crypt#LUKS
[6] Zulucrypt-Pakete: http://download.opensuse.org/repositories/home:/mhogomchungu/
