Verschlüsselung von Daten(trägern) mit TrueCrypt/äquivalent zu VeraCrypt
“PRIVACY IS NOT A CRIME”
4.3. Verschlüsseltes Volume einbinden und öffnen
Die Stärke von TrueCrypt im einfachen Handling offenbart sich spätestens jetzt. Denn Sie müssen keine verschlüsselten Dateien entschlüsseln, indem Sie diese mit einem Decrypter auspacken und nach Aktualisierung, wieder neu verschlüsseln und die entschlüsselten Daten dazu noch sicher digital forensisch löschen müssen. TrueCrypt erledigt das Verschlüsseln und transparentes Entschlüsseln on-the-fly (in Echtzeit), d.h. Sie können mit den Dateien wie gewohnt arbeiten, indem Sie ein TrueCrypt-Volume (Partition oder Datei als normales Volume oder verstecktes Volume) als (virtuelles) Laufwerk in das System einbinden und einfach wieder schützen, indem Sie es wieder trennen (lassen). That´s it. Einfacher geht´s nicht.
a. Öffnen Sie TrueCrypt und entscheiden Sie sich für einen Laufwerksbuchstaben, über welchen Windows den verschlüsselten Container oder Datenträger einbinden soll, indem Sie diesen auswählen und anschliessend auf “Datei” (file hosted Volume) oder “Datenträger” (device hosted Volume) klicken.
Anmerkung:
- Die Option “Verlauf nicht speichern” sollte unbedingt aktiviert sein (Häkchen setzen), damit bei einem erneuten, späteren Start von TrueCrypt nicht angezeigt wird, welche Datei ein verschlüsseltes Volume ist! Ein Angreifer müsste ALLE vorhandenen Dateien ausprobieren :-), weil ein file-hosted TrueCrypt-Volume nicht als solches erkennbar ist (siehe Punkt 2.2). Dies wäre jedoch ohnehin aussichtslos, weil TrueCrypt wird klugerweise bei einem fehlerhaften Mountversuch (jeder Datei) IMMER antworten: “Falsches Kennwort oder kein TrueCrypt-Volume”. Wie Sie sicherlich erkannt haben, die Feinheit und Erschütterung für den Feind liegt beim “oder”....
Trotzdem kann bei Dateien (vor allem sehr grossen), die aus Zufallszahlen bestehen, vage vermutet werden, es könnte sich um verschlüsselte Daten handeln, wenngleich sie damit noch nicht entschlüsselt sind :-)
Um die Existenz eines TrueCrypt-Volume absolut nicht nachweisen zu können, bietet TrueCrypt den versteckten Container (siehe Punkt 2.2.2).
b. Wählen Sie die verschlüsselte Container-Datei im entsprechenden Ordner oder einen Datenträger aus und klicken auf “Öffnen” bzw. bei Datenträger auf “OK”.
c. Anschliessend im Hauptfenster auf “Einbinden” (Mount) klicken und das Passwort eingeben und/oder den Pfad zur evtl. Schlüsseldatei angeben: Haben Sie auch ein verstecktes Volume erstellt, erkennt TrueCrypt anhand des Passworts und/oder der Schlüsseldatei, ob es sich um den normalen oder den versteckten Container handelt und bindet das entsprechende Volume ein. Das wird Ihnen im Hauptfenster von TrueCrypt die Spalte “Typ” anzeigen, wenn Sie mit “OK” bestätigt haben (siehe Screenshots weiter unten).
- Unter Optionen können Sie das TrueCrypt-Volume auch als Wechseldatenträger einbinden (siehe Hintergründe unter Punkt 5.a).
Anmerkung zum Öffnen äusserer Volume (beim Bestehen eines versteckten Containers):
- Zum Öffnen eines äusseren Volume sei gesagt: Um ein evtl. verstecktes Volume vor Beschädigung durch ein äusseres normales Volume zu schützen (z.B. wenn der freie Speicherplatz des äusseren Volume an die Grenzen des versteckten Containers kommt und nun die Überschreibung desselbigen droht), klicken Sie zusätzlich auf “Optionen” und wählen den entsprechenden Punkt, unter Angabe des Passwortes des versteckten Volume, aus (Häkchen setzen). Bestätigen Sie mit “OK”.
Speichern Sie jetzt im Outer-Volume Dateien, die zur Überschreibung des inneren Containers führen würden, erscheint eine Warnmeldung.
|
- Das Feature “Verstecktes Volume schützen” dürfen Sie natürlich nicht aktivieren, wenn Sie gezwungen werden, das Passwort Ihrer verschlüsselten Daten herauszurücken (da belassen Sie es bei dem für das Outer-Volume mit den Alibidaten). Provoziert der Angreifer eine Windows-Fehlermeldung über das Ausreizen des Speicherplatzes des AussenVolume, wird der versteckte Container still und heimlich (ohne Fehlermeldung) überschrieben und die darin enthaltenen Daten sind unwiederbringlich verloren. Aber sicher haben Sie eine verschlüsselte Kopie an einem anderen Ort gelagert, oder?
Haben Sie alles richtig gemacht, hat TrueCrypt das Volume in das System eingebunden und zeigt dies im Hauptfenster. Unserem Beispiel der Erstellung eines normalen TrueCrypt-Volumes sowie eines versteckten Volumes aus den vorherigen Kapiteln folgend, würde das dann so aussehen:
Beispiel für ein eingebundenes normales TrueCrypt-Volume
Beispiel für ein eingebundenes, in obigem normalen
True-Crypt-Volume, verstecktes TrueCrypt-Volume
Beispiel für eine eingebundene TrueCrypt-Partition
(am Bsp. eines vollverschlüsselten USB-Sticks, dies könnte aber auch eine ganze
interne oder externe Festplatte oder eine Partition einer Festplatte sein)
d. Sie können jetzt im Hauptfenster von TrueCrypt auf “Beenden” klicken. TrueCrypt läuft im Hintergrund weiter. Haben Sie unter Optionen den “Hintergrundtask” aktiviert, sehen Sie im Systemtray (unten rechts) ein TrueCrypt-Symbol, über welches ein schnelles Trennen und weiteres möglich ist.
e. Sie öffnen das eingebundene Volume nun wie ein gewöhnliches Laufwerk im Explorer oder über den “Arbeitsplatz (“Computer” unter Windows 7 und Vista), indem Sie auf den entsprechenden Laufwerksbuchstaben (in unserem Beispiel T) klicken. Beim ersten Öffnen wird der Container leer sein und Sie können ihn jetzt mit Ordnern und Dateien füllen, siehe nächster Punkt f.
f. Dateien mit beliebiger oder ohne Dateiendung können jetzt in das oder aus dem virtuellen Laufwerk kopiert, verschoben (und innerhalb ebenso gelöscht) werden, wie sonst im Win-Explorer auch (z.B. per Drag&Drop). Dabei werden Sie on-the-fly (in Echtzeit) im RAM verschlüsselt bzw. transparent entschlüsselt. D.h. Sie können mit dem eingebundenen Laufwerk ganz normal arbeiten und Ordner erstellen, Dateien mit Ihren Programmen öffnen, bearbeiten, kopieren, verschieben, umbenennen und löschen.... Im obigen Screenshot sehen Sie einen Ordner “meine_sicheren_daten”, den wir als Beispiel angelegt haben.
Sobald das virtuelle Laufwerk getrennt wurde, ist ein Zugriff auf die Dateien (bis zum weiteren Einbinden über TrueCrypt) nicht mehr möglich.
Eine verschlüsselte Containerdatei (TrueCrypt Volume) ist ebenso zu behandeln, wie jede andere Datei auch, d.h. diese kann kopiert, verschoben und gelöscht werden.
Anmerkungen:
- Nachdem Sie die sensiblen Daten in den Container verschoben/kopiert haben, sollten Sie von der verschlüsselten Container-Datei ein Backup erstellen (simple Kopie). Ist das File aus Speicherplatzgründen zu gross zum nochmaligen sichern, empfiehlt es sich wenigstens den (natürlich verschlüsselten) Volume-Header (1 KB gross), der den Master-Key und die Passworte enthält, zu sichern (im Hauptfenster unter Extras zu finden). Falls die Containerdatei einmal korrumpiert sein sollte, könnte der (verschlüsselte) Dateiheader wiederhergestellt werden.
- Beachten Sie, dass nach dem Trennen eines Containers (siehe Punkt 4.4), evtl. noch entschlüsselte Daten im Arbeitsspeicher des Rechners liegen und über sog. Memory-Dump-Files, erfasst werden können (beispielsweise bei auftauchenden Systemfehlern). Die Systemfehler-Protokollierung sollte deshalb in Windows deaktiviert werden (zumindest so lange, wie Sie ein TrueCrypt-Volume mounten). Die Einstellungen finden Sie unter “Systemsteuerung/System”, dann Reiter “Erweitert” (nur Windows 7 und Vista: “Erweiterte Systemeinstellungen”) und Button “Einstellungen” bei “Starten und Wiederherstellen”. Das Häkchen bei “Ereignis in das Systemprotokoll eintragen” entfernen.
- Nach der Trennung eines TrueCrypt-Volume (siehe Punkt 4.4) sollte der Rechner neu gestartet werden, um auch den Arbeitsspeicher (RAM) des Rechners zu löschen. Beachten Sie zur Verwendung von TrueCrypt auf Fremdrechnern auch unseren Hinweis auf der Seite Traveller Disk erstellen.
- Beachten Sie die Risiken bzw. Gefahren bei Verwendung eines NTFS-Hostsystems sowie der Funktion Defragmentierung von Datenträgern, auf denen ein TrueCrypt-Volume (Container) gespeichert ist. Nähere Infos dazu unter Punkt 8.)
- Bevor Sie ein TrueCrypt-Volume löschen, sollten Sie die darin enthaltenen Dateien selbstverständlich in ein normales Verzeichnis (= dauerhafte Entschlüsselung) oder in ein weiteres verschlüsseltes Volume verschieben oder kopieren. Ansonsten sind die Daten unwiederbringlich verloren!
4.4 Volume trennen (vor dem Zugriff schützen)
Um die Dateien im laufenden Betrieb vor dem Zugriff zu schützen, trennen Sie das entsprechende virtuelle Laufwerk einfach über das TrueCrypt-Hauptfenster wieder. Ansonsten erfolgt eine Trennung automatisch beim Herunterfahren des Rechners bzw. auch optional (siehe Punkt 5.b.) bei einer Benutzerabmeldung, beim Start des Bildschirmschoners oder beim Wechsel in den Energiesparmodus. Auf die Daten kann jetzt nicht mehr zugegriffen werden. Es empfiehlt sich auch, den RAM (Arbeitsspeicher) zu löschen, indem man ein Neustart des Rechners durchführt. TrueCrypt speichert sonst nichts ausserhalb des Containers auf den Datenträger des Wirt-Computers, es sei denn Sie verschieben oder kopieren Dateien aus einem Container in einen anderen, gewöhnlichen Ordner (diese Aktion entschlüsselt die Daten dauerhaft).
Anmerkung:
- siehe auch Gefahren bei Defragmentierung und Hostsystemen mit NTFS-Dateisystem
- Die windowseigenen Spuren wie z.B. der Verlauf im Internetexplorer (zu finden unter* C:Dokumente und EinstellungenjeweiligerUsernameLokale EinstellungenVerlaufHeuteArbeitsplatz) sowie die Funktion “Zuletzt verwendete Dokumente” (zu finden unter* C:Dokumente und EinstellungenjeweiligerUserRecent) müssen gesondert entfernt werden (wenn möglich digital forensisch). Auch weitere Logfiles wie z.B. die Datei index.dat (zu finden unter* C:Dokumente und EinstellungenDefault UserLokale EinstellungenVerlaufHistory.IE5index.dat) sollten bereinigt werden.
Die verwendeten Programme wie z.B. Excel, Mediaplayer u.s.w. speichern möglicherweise auch Verlaufsdaten, sofern dies Funktion nicht explizit deaktiviert wurde.
Verlaufsdaten ermöglichen zumindest einen Einblick in aufgerufene Dateinamen, wenngleich auch kein Zugriff mehr auf diese möglich ist.
- Zur Umgehung des Windows-Papierkorb und der Systemwiederherstellung, siehe Punkt 5.a: “Als Wechselmedium einbinden”.
- Beachten Sie zur Verwendung von TrueCrypt auf Fremdrechnern auch unseren Hinweis auf der Seite Traveller Disk erstellen (Punkt Nr.6).
*finden Sie die Verzeichnisse und Dateien nicht, muss im Win-Explorer unter “Extras/Ordneroptionen/Ansicht“ die Option “Alle Dateien und Ordner anzeigen” unter dem Punkt “Versteckte Dateien und Ordner” aktiviert sowie “Geschützte Systemdateien ausblenden” unter dem Punkt “Dateien und Ordner” deaktiviert sein.
Zum nächsten Kapitel oder über Inhaltsverzeichnis wählen: