Festplatten verschlüsseln oder geschützte Verzeichnisse anlegen – das ist jetzt unter Linux auch ohne Kommandozeilen-Tools möglich: TrueCrypt bringt seit Version 5 ein grafisches Interface mit.

Moderne Notebooks bieten große Plattenkapazität und eignen sich je nach Ausstattung auch als vollständiger Ersatz für einen Desktop-PC: Das ist praktisch, bedeutet aber auch neue Sicherheitsrisiken, wenn Anwender ihren gesamten privaten oder geschäftlichen Datenbestand auf der Notebook-Platte spazieren führen. Die Gefahr, diese Daten durch Diebstahl an Dritte zu verlieren, ist nämlich deutlich größer als bei einem Desktop-Computer. Ein Moment der Unachtsamkeit am Flughafen oder ein kurzes Nickerchen im Zug reicht aus, und schon wechseln Notebook und Daten den Besitzer.

Zur Lösung dieses Problems gibt es viele Ansätze, zum Beispiel den, Festplatten bereits auf Hardwareebene zu verschlüsseln. Danach ist ohne korrektes Passwort kein Zugriff mehr möglich, auch dann nicht, wenn die Platte in einem anderen Rechner steckt. Solche Hardwarelösungen sind allerdings teuer.

Software-Verschlüsselung

Billiger sind Verschlüsselungsmethoden auf Softwarebasis. Auch hier gibt es mittlerweile eine große Menge verfügbarer Lösungen. Das Prinzip ist immer gleich: Für die verschlüsselten Daten wird ein wenig Platz auf der Platte reserviert, den eine Installationsroutine dann als Kryptobereich verwendet. Dateien, die Sie anschließend in diesen Bereich kopieren oder daraus lesen, ver- und entschlüsselt das System on-the-fly – das nennt man transparente Verschlüsselung. Um den geschützten Bereich zu mounten, ist jedesmal das Passwort nötig, das Sie beim Erstellen angegeben haben. Spezielle Hardwarekomponenten sind für solche Lösungen nicht notwendig.

Ein mittlerweile sehr beliebtes Programm ist TrueCrypt: Es läuft unter allen Windows-Varianten, Linux und Mac OS und ist dadurch vielseitig einsetzbar. Die im Februar erschienene Version 5.0 wartet mit einigen interessanten Neuerungen auf. Wir stellen hier den Nachfolger TrueCrypt 5.1 vor.

Auch TrueCrypt bietet transparente Verschlüsselung, wahlweise von kompletten Partitionen einer Festplatte oder über so genannte Container-Dateien, die ein verschlüsseltes Dateisystem enthalten und die Sie auf ähnliche Weise ins System einbinden, wie Sie auch das ISO-Image einer DVD mounten können.

Der (ehemalige) Clou

Was TrueCrypt von der Masse der anderen verfügbaren Lösungen für die Verschlüsselung von Dateien abhebt, ist das Konzept der “Plausible Deniability”, also der “plausiblen Abstreitbarkeit”: Eine von TrueCrypt erzeugte Container-Datei unterscheidet sich nicht von einer mit Zufallsbytes gefüllten Datei. Es lässt sich nicht nachweisen, dass es sich um eine Container-Datei handelt.

Die TrueCrypt-Entwickler haben noch einen Schritt weiter gedacht: Ein Feature namens “Hidden Container” versteckt einen separat verschlüsselten Bereich innerhalb eines TrueCrypt-Containers – selbst wenn Sie (z. B. unter Zwang) das Passwort für den äußeren Container herausgeben, bleibt der innere unentdeckt. Der versteckte Teil ist unsichtbar; dass es ihn gibt, lässt sich nicht nachweisen.

So war es jedenfalls bis zu Version 4.3 von TrueCrypt. In TrueCrypt 5.0 schlägt der Versuch, versteckte Container zu erstellen, mit dem Hinweis fehl, dass dieses Feature “auf Ihrer Plattform zur Zeit nicht unterstützt” wird. Internet-Recherchen haben ergeben, dass auch Mac-OS-Anwender davon betroffen sind. Somit gibt es dieses herausragende Feature aktuell nur für Windows-Anwender. Die Release-Notes und die mitgelieferte Dokumentation geben übrigens keinerlei Hinweis auf diese Einschränkung.

Die Installation

Grau ist alle Theorie – auf in die Praxis. Die erst kürzlich veröffentlichte Version 5.1 von TrueCrypt steht auf der Homepage des Projekts zum Download bereit; Sie finden die Pakete auch auf unserer Heft-DVD. Leider gibt es nur fertige Pakete für OpenSuse und (K)Ubuntu; Mandriva-Benutzer müssen die Software selbst aus den Quelltexten übersetzen. Wenn Sie Kubuntu oder OpenSuse verwenden, installieren Sie das TrueCrypt-Paket, wie auf der Heft-DVD beschrieben.

Vor der Einrichtung ist eine Frage zu klären: Möchten Sie lieber eine komplette Partition für verschlüsselte Daten verwenden oder genügt Ihnen eine verschlüsselte Container-Datei? Die Partitionsvariante ist in Sachen Performance der Dateivariante überlegen, allerdings benötigen Sie dazu eine freie Partition, müssen also in den meisten Fällen die Platte neu aufteilen. Für unerfahrene Anwender ist die Variante mit einer Crypto-Container-Datei deshalb einfacher, und wir beschreiben im Folgenden nur die Container-Variante.

Ein TrueCrypt-Image erstellen

Die folgende Anleitung zeigt, wie Sie mit TrueCrypt eine verschlüsselte Container-Datei erstellen. Das läuft unter allen Linux-Distributionen gleich ab.

1. Drücken Sie [Alt]+[F2] und geben Sie truecrypt in das Schnellstartfenster ein. Auf Ihrem Desktop erscheint dann das TrueCrypt-Hauptfenster (Abbildung 1).

   

   Abbildung 1: Im TrueCrypt-Hauptfenster legen Sie verschlüsselte Container an und verwalten sie.

2. Wählen Sie in der Liste der Slots den ersten Slot aus und klicken Sie unten auf Create Volume. Es erscheint ein Wizard, der Ihnen ein paar Fragen zum Crypto-Laufwerk stellt. Die erste Notiz quittieren Sie mit [Eingabe].
3. Klicken Sie auf Select File und wählen Sie den Ort aus, an dem Sie die Container-Datei speichern möchten. Geben Sie auch einen Dateinamen an und drücken Sie [Eingabe]. Im Beispiel ist der Name der Datei sonnenschein, und sie liegt im Home-Verzeichnis des Anwenders.
4. Geben Sie die gewünschte Größe des verschlüsselten Containers an. In das Eingabefeld tragen Sie eine beliebige Zahl ein, über das Drop-down-Menü an der rechten Seite wählen Sie die Maßeinheit (KB, MB oder GB für KByte, MByte oder GByte).
5. Die Fragen nach dem Algorithmus für den Hash-Wert und die Verschlüsselung quittieren Sie mit [Eingabe].
6. Nun fordert der Assistent Sie auf, das Passwort anzugeben, das den verschlüsselten Bereich schützt. Geben Sie es zweimal ein.
7. Im letzten Schritt fordert TrueCrypt Sie auf, ein Dateisystem zu wählen, mit dem die Container-Datei formatiert wird. Wählen Sie hier FAT aus, um das von Windows bekannte VFAT-Dateisystem zu nutzen.
8. Bewegen Sie nun innerhalb des TrueCrypt-Fensters eine Weile den Mauszeiger – das hilft dem Programm dabei, Zufallszahlen zu erzeugen, die es für die Verschlüsselung des Containers benötigt. Klicken Sie dann auf Create und warten Sie, bis die Formatierung erledigt ist.

TrueCrypt-Container aktivieren

Um mit dem erstellten Crypto-Container arbeiten zu können, müssen Sie diesen im Folgenden oder nach einem Neustart Ihres Systems in die Verzeichnisstruktur Ihres Linux-Dateisystems einhängen (mounten). Das geht so:

1. Klicken Sie unten im Bereich Volume auf die Schaltfläche Select File und wählen Sie im erscheinenden Dateimanager-Dialog Ihren Crypto-Container aus.

2. Klicken Sie dann auf Mount. Es erscheint der Dialog aus Abbildung 2, in dem Sie das Passwort eingeben, das Sie beim Erstellen des Containers verwendet haben.

   

   Abbildung 2: Im Mount-Dialog geben Sie das Passwort sowie das Mount-Verzeichnis ein.

3. TrueCrypt hängt den Crypto-Container jetzt in Ihr Dateisystem ein – das Mount-Verzeichnis hängt von der Distribution ab, es ist entweder /mnt/truecrypt1/ oder /media/truecrypt1/. Daten, die Sie hier ablegen, werden on-the-fly verschlüsselt.

Das Laufwerk deaktivieren

Wenn Sie den Zugriff auf den Crypto-Container beenden wollen, wählen Sie im TrueCrypt-GUI in der Liste der eingehängten Datenträger das richtige “Volume” aus und klicken auf Dismount. Der Button Dismount All hängt auf einen Schlag alle Container aus (falls Sie mehrere angelegt haben).

Abbildung 3: Der “Eigenschaften”-Dialog von TrueCrypt verrät Ihnen alle Details zu einem Volume.

Fazit

Wenn Sie eine simple Methode suchen, um Dateien zuverlässig zu verschlüsseln, ist TrueCrypt mit der neuen grafischen Oberfläche eine brauchbare Lösung: Die Verschlüsselung ist schnell eingerichtet und arbeitet zuverlässig. Im Vergleich zur alten Version 4.3 hinterlässt TrueCrypt 5.1 allerdings einen faden Beigeschmack: Zwar erleichtert die grafische Benutzeroberfläche (die es vorher nur in der Windows-Version gab) nun auch Linux-Benutzern die Einrichtung, dafür gibt es aber die versteckten Container nicht mehr, die in der alten Version auch unter Linux funktionierten. Auch andere neue Features der Version 5, wie etwa die Verschlüsselung der Systempartition (bei TrueCrypt “pre-boot authentication” genannt), gibt es nur für Windows.