Verschlüsselung von Daten(trägern) mit TrueCrypt/äquivalent zu VeraCrypt
“PRIVACY IS NOT A CRIME”
3. Unterstützte Systeme, Download und Installation von TrueCrypt/VeraCrypt
Supported Systems für TrueCrypt:
TrueCrypt unterstützt in der Version 7.1a (letzte offizielle funktionierende Version) die Windows-Systeme 7 und Vista (32/64-bit), XP (32/64-bit), W2K und Server 2003 und 2008 (32/64-bit) sowie Mac OS X 10.4 Tiger/10.5 und 10.6 (Snow) Leopard und Linux mit Kernel 2.4.x, 2.6.x (32/64-bit). Für Linux wurde seit Version 5.0 auch eine GUI (graphische Bedienoberfläche anstatt wie bisher ausschliesslich kommandozeilenbasiert) bereitgestellt.
Die Vollverschlüsselung von System-Partitionen ist allerdings nur unter Windows 7, -Vista, -XP, -Server 2003 und 2008(jeweils 32/64-bit) möglich. Versteckte Betriebssysteme sind nur ab Version 6.0 unter Windows XP, -Vista oder -7 (jeweils 32/64-bit) zu haben.
Aber es gibt ja mittlerweile VeraCrypt, hier werden auch moderne OS unterstützt, siehe Liste von unterstützten OS.
Windows 10 ist nicht kompatibel mit TrueCrypt zum Thema Vollverschlüsselung aber verschlüsselte Volumes (Container) funktionieren auch damit. VeraCrypt unterstützt u.a. auch Windows 8, 10 und 11 mit Vollverschlüsselung.
Download/Installation:
Nachdem Sie TrueCrypt heruntergeladen haben (Download 7.1a von der offiziellen Website ist nicht mehr möglich, deshalb Download von unserer Seite, WARUM? --> siehe Blogeintrag vom 29.05.2014) und mit einem Entpacker in einen temporären Ordner extrahiert haben, installieren Sie das Programm von dort wie jedes andere auch (Windows: “TrueCrypt Setup .exe” starten). Anschliessend können Sie sich die deutsche Sprachdatei herunterladen (oder die Standardsprache ist englisch) und in das Stammverzeichnis von TrueCrypt extrahieren (i.d.R. unter Windows= C:ProgrammeTrueCrypt ). TrueCrypt erkennt die Sprachdatei, d.h. die Menüführung erfolgt beim Programmstart dann automatisch in deutsch.
Alternativ verwenden Sie VeraCrypt für aktuelle Betriebssysteme!
4. Arbeiten mit TrueCrypt/VeraCrypt-Containern
Auf die Verschlüsselung einer Partiton (device-hosted-Volume) gehen wir nicht näher ein, weil dies sozusagen selbsterklärend ist. Auf die Verschlüsselung einer Systempartition (Punkt 9.) kommen wir später jedoch noch. Sie sollten jetzt aber erst hier weiterlesen, um die grundsätzlichen Arbeitsschritte einer Verschlüsselung kennenzulernen.
Im nachstehenden Beispiel erstellen wir ein normales file-hosted TrueCrypt-Volume (4.1), sozusagen eine virtuelle Festplatte, deren Grösse man selbst bestimmen kann. Anschliessend bauen wir in dieses Volume einen versteckten Container ein (4.2) und zeigen auf wie man beide Volumes “öffnen” (4.3), mit ihnen arbeiten sowie wieder “schliessen” (4.4) kann.
4.1 Normales Volume erstellen (am Beispiel eines Containers)
a. Klären Sie zunächst einmal ab, wieviel Speicherplatz die zu verschlüsselnden Dateien einnehmen werden.
b. Anschliessend starten Sie TrueCrypt und wählen “Normales Volume erstellen” aus und klicken auf “weiter”.
c. Geben Sie den gewünschten Pfad und einen beliebigen Dateinamen an (z.B. c:data) und bestätigen mit “weiter”. Hier könnten Sie auch einen ganzen Datenträger auswählen, wenn Sie eine Partition vollverschlüsseln wollen (Vorsicht, alle Daten darauf gehen verloren, sprich diese zuerst sichern). Wir erstellen im folgenden Bsp. eine TrueCrypt-Volume-Datei namens data.
Sinnvoll kann es auch sein einen real existierenden Dateinamen mit dazugehöriger Originalgrösse (siehe Punkt e.) anzugeben. Will sagen, benennen Sie die Datei nicht gerade “meine_verschlüsselten_Daten”. Nur zur Transparenz verwenden wir im nachfolgenden Screenshot data als Dateiname und lassen einen Dateinamen weg (kann nachträglich beliebig geändert werden).
Beispiel:
Die Containerdatei wird wie eine Imagedatei zu einer realen Linuxdistribution benannt (beispielsweise KNOPPIX_V5.1.1CD-2007-01-04-DE.iso mit 713.066 KB), um die Existenz einer verschlüsselten Datei weiter zu verschleiern. Für den Angreifer wird der Anschein erweckt, auf Ihrem Datenträger befinde sich eine datei-korrupte und somit wertlose Linux-Image-Datei. Die Steigerung wäre dann noch, in diesem TrueCrypt-Volume einen versteckten Container anzulegen. Dazu aber mehr im nächsten Kapitel, wenn Sie mit dem Anlegen des normalen Volumens fertig sind.
|
d. Wählen Sie den gewünschten Verschlüsselungsalgorithmus oder eine Kaskade aus den Verschlüsselungsalgorithmen sowie den Hash-Algorithmus (zu empfehlen RIPEMD-160) aus und klicken auf “weiter”.
|
e. Nun müssen Sie die gewünschte Grösse des Containers angeben (diese kann anschliessend nicht mehr geändert werden!). Deshalb sollte diese selbstverständlich so bemessen sein, dass die (unter a. ermittelten) zu verschlüsselnden Dateien und ein evtl. später hinzukommendes verstecktes Volume hineinpassen. Sollen später noch weitere Dateien hinzukommen, weil Sie kontinuierlich mit dem Container arbeiten wollen, ist die Grösse entsprechend ausreichend zu bemessen, damit dem Wachstum genüge getan wird. Sie legen sich sozusagen eine virtuelle Festplatte an, deren Speicherkapazität Sie bestimmen.
Abhängig von der gewählten Grösse sowie des gewählten Algorithmus und Ihrer Hardware ist die Zeit, die die spätere Erstellung des Volume dauern wird (bei der Verschlüsselung von grossen Partitionen oder ganzen Festplatten auch bis zu ein paar Stunden). Deshalb raten wir zu Beginn (in Ihrer eigenen Testphase) mit 1 GB (=1.024 MB) zu beginnen, was in wenigen Sekunden erledigt sein sollte.
|
f. Jetzt können Sie entscheiden, ob für den späteren Zugriff auf den Container eine Schlüsseldatei, ein Passwort oder beides verwendet werden soll. Von der alleinigen Verwendung einer Schlüsseldatei ist abzusehen (immer zusätzlich noch ein Passwort vergeben), da die Sicherheit darunter leidet (z.B. durch Ausprobieren aller Dateien, die der Angreifer bei Ihnen findet). Auch sollte eine Schlüsseldatei möglichst auf einem externen Medium gespeichert und zusätzlich an mehreren Stellen hinterlegt sein sein (falls das Medium beschädigt wurde). Das Passwort sollte ebenfalls sicher sowie möglichst lange sein und keinesfalls notiert und womöglich irgendwo in der Nähe des Computers aufbewahrt werden. Bestätigen Sie mit “weiter”.
|
Anmerkung: Der Verlust einer Schlüsseldatei oder das Nicht-Mehr-Erinnern an das Passwort führt dazu, dass Sie nie wieder an die Daten des verschlüsselten Volume herankommen werden; Sie haben sich sozusagen in die Lage des Angreifers versetzt. Es gibt keine “Reset-Taste” und auch keine Hintertür, die eine anderweitige Wiederherstellung ermöglichen könnte (wäre das so, könnte man eine Verschlüsselung gleich sein lassen).
g. In diesem Stadium wählen Sie das Dateisystem aus. Ist der Container grösser als 4 GB, muss NTFS ausgewählt werden, ansonsten ist auch FAT möglich (nicht zu verwechseln mit den - später im Volume gespeicherten - Dateien. Diese können jedes beliebige Dateiformat haben). Nun setzen Sie den Haken bei Zufallswerte und bewegen die Maus mindestens 30 Sekunden (um so länger, um so besser) innerhalb des TrueCrypt-Wizard-Fensters, um die Verschlüsselung zu generieren. Anschliessend klicken Sie auf formatieren. Dieser Vorgang kann abhängig von der Grösse des Volume sowie des gewählten Algorithmus und Ihrer Hardware einige Zeit dauern (bei der Verschlüsselung von grossen Partitionen oder ganzen Festplatten auch bis zu ein paar Stunden).
Von der Option “dynamisch” (nur mit Dateisystem NTFS möglich) ist abzuraten, da die on-the-fly-Speicherzuweisung (bis zur zuvor angegebenen max. Volume-Grösse) erheblich an Performance kostet und an sich sowieso unnötig ist (vorausgesetzt man hat sich zuvor, bei Vergabe der Volume-Grösse, genau überlegt, wieviel Speicherplatz überhaupt für die Daten und den evtl. Zuwachs sowie für ein evtl. beinhaltetes, verstecktes Volume benötigt wird).
Das nun erstellte Volume (in unserem Fall die Datei mit dem Namen data) kann behandelt werden wie jede andere Datei auch, d.h. es kann kopiert und verschoben etc. werden.
Auch können innerhalb eines Containers beliebig viele, auch weiter ineinander verschachtelte (auch versteckte, siehe nächster Punkt) Volume erstellt werden.
Zum nächsten Kapitel oder über Inhaltsverzeichnis wählen: