TrueCrypt

Aus wiki.archlinux.de

Übersicht

TrueCrypt ist ein freies Open-Source Programm für die Verschlüsselung von Festplatten, Teilen dieser oder Wechseldatenträgern. Es beinhaltet unter anderem folgende Features:

  • Virtuell verschlüsselte Festplatten, die man als reale Platten mounten kann
  • Verschlüsselung einer kompletten Festplatten oder eines Wechseldatentrgers
  • Alle Verschlüsselungsverfahren nutzen den LRW Modus, welcher mehr Sicherheit als der CBC Modus.
  • Versteckte Container innerhalb eines normal verschlüsselten Datenträgers

Weitere Informationen zur Geschichte, den Verschlüsselungsverfahren siehe Truecrypt (Wikipedia) oder Truecrypt (offiziell)

Installation

Als root folgenden Befehl ausführen:

 pacman -Sy truecrypt


Truecrypt greift auf das Kernelmodul fuse zurück. Dieses sollte entsprechend mit modprobe geladen und in der /etc/rc.conf ergänzt werden:

 MODULES=(... fuse ...)

Für den Einsatz von Truecrypt-Containern (siehe unten) muss das Modul loop geladen sein.

In früheren Versionen kann es notwendig sein das Modul truecrypt zu laden.

Verschlüsselung eines Containers

Die folgende Anleitung zeigt wie man mit Truecrypt einen Container (eine Datei) als einen virtuellen Datenträger erstellen kann, dieser gemountet werden kann und seine Dateien verschlüsselt abspeichert. Das ist eine komfortable Möglichkeit sensible Informationen, wie Finanzen oder private Passwörter zu speichern und diese betriebssystemunabhängig (Linux, Windows oder MacOS) zu bearbeiten.

Erstellen eines verschlüsselten Containers

Um einen Container zu erstellen, verwende folgenden Befehl. Mit dem Parameter -t lässt sich das Programm im Terminal bedienen:

 truecrypt -t -c

Folge den Instruktionen mit den default-Werten, außer du weißt was du tust. Gib an, welchen Datenträger-Typ du erstellen willst:

Volume type:
 1) Normal
 2) Hidden
Select [1]: 1

Gib an, wo die Datei gespeichert werden soll:

 Enter volume path: /home/user/container.tc

Gib die Größe des Containers an:

 Enter volume size (sizeK/size[M]/sizeG): 50M

Wähle den Algorithmus, mit dem der Container verschlüsselt werden soll.

 Encryption algorithm:
  1) AES
  2) Serpent
  3) Twofish
  4) AES-Twofish
  5) AES-Twofish-Serpent
  6) Serpent-AES
  7) Serpent-Twofish-AES
  8) Twofish-Serpent
 Select [1]: 1

Wähle den Hash-Algorithmus:

 Hash algorithm:
  1) RIPEMD-160
  2) SHA-512
  3) Whirlpool
 Select [1]: 1

Wähle das Dateisystem:

 Filesystem:
  1) FAT
  2) None
 Select [1]: 1

Gib das Passwort an mit dem du die Daten auf dem Container entschlüsseln möchtest. Es wird empfohlen ein Passwort über 20 Zeichen (Buchstaben, Zahlen, Zeichen, etc..) zu verwenden.

 Enter password: *************************
 Re-enter password: *************************

Es besteht die Möglichkeit den Pfad zu dem Keyfile anzugeben:

 Enter keyfile path [none]:

Danach möchte TrueCrypt mindestens 320 zufällig gewählte Zeichen:

 Please type at least 320 randomly chosen characters and then press Enter:

Anschließend erstellt TrueCrypt den Container:

 Done: 100,000%  Speed: 14,8 MB/s  Left: 0 s         
 The TrueCrypt volume has been successfully created.

Der verschlüsselte Container wurde erzeugt und kann nun verwendet werden.

Mounten eines verschlüsselten Containers

Um mit TrueCrypt Container oder verschlüsselte Festplatten zu mounten, sind root Rechte gefordert. Um diese Funktionen als User verwenden zu können, findest du Informationen in einem anderen Abschnitt dieser Wiki-Seite.

 truecrypt /home/user/container.tc /home/user/folder

Umounten eines verschlüsselten Containers

Auch hier sind root Rechte gefordert:

 truecrypt -t -d /home/user/folder

Verschlüsselung eines Datenträgers

Erstellen eines verschlüsselten Datenträgers

An erster Stelle wird ein neues Speichermedium auf dem gewünschten Device erstellt:

 truecrypt --type normal -c /dev/sda1

Dieses wird nach /dev/mapper/truecrypt1 gemappt:

 truecrypt -N 1 /dev/sda1

In diesem Fall verwenden wir das Dateisystem ext3, es kann natürlich auch ein anderes verwendet werden:

 mkfs.ext3 /dev/mapper/truecrypt1

Mounten des verschlüsselten Datenträgers

Um mit TrueCrypt Container oder verschlüsselte Festplatten zu mounten, sind root Rechte gefordert. Um diese Funktionen als User verwenden zu können, findest du Informationen in einem anderen Abschnitt dieser Wiki-Seite.

 mount /dev/mapper/truecrypt1 /media/disk

Mounten des verschlüsselten Datenträgers:

 truecrypt /dev/sda1 /media/disk

Umounten eines verschlüsselten Datenträgers

Auch hier sind root Rechte gefordert:

 truecrypt -d /dev/sda1

Erstellen eines versteckten Containers

An erster Stelle muss ein äußerer Container oder Datenträger, wie oben beschrieben, erstellt werden. Danach erstellen wir in den freien Speicherplatz den versteckten Container:

 truecrypt --type hidden -c /dev/sda1

Es muss eine andere Passphrase, als bei der äußeren Volume genutzt wurde, verwendet werden.

Das äußere Medium wird demounted und die versteckte gemounted:

 truecrypt -d /dev/sda1
 truecrypt -N 1 /dev/sda1

Einfach die Passphrase der versteckten angeben; TrueCrypt mounted automatisch richtig.

Datenträger oder Container als User mounten

Da TrueCrypt root Rechte voraussetzt, gibt es zwei Möglichkeiten, welche beide Sudo voraussetzen, um als User Datenträger oder Container zu mounten.

Möglichkeit 1: Truecrypt Gruppe

Bei dieser Methode erstellt man eine Gruppe truecrypt und gibt dieser die nötigen Rechte.

 groupadd truecrypt

Danach editiert man die sudoers-Datei:

 visudo

Hier fügt man am Ende der Datei folgende Zeilen ein:

 # Users in the truecrypt group are allowed to run TrueCrypt as root.
 %truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt

Desweiteren müssen noch die gemounteten Medien für normale Benutzer schreibbar gemacht werden:

 nano /etc/bash/bashrc

Hier fügt man folgende Zeilen ein:

 alias tc='sudo truecrypt'
 alias tcm='tc -M uid=$(id -u),gid=$(id -g)'

Nun können Benutzer der Gruppe truecrypt hinzugefügt werden:

 gpasswd -a BENUTZER truecrypt

Methode 2: Sudo ohne Passwort

Mit dieser Methode können Benutzer truecrypt ohne Passwort verwenden:

 visudo

Füge folgende Zeilen ein:

 USERNAME ALL = (root) NOPASSWD:/usr/bin/truecrypt

Alternativ kann man auch die wheel Gruppe verwenden:

 %wheel ALL = (root) NOPASSWD:/usr/bin/truecrypt

Falls es irgendwelche Schwierigkeiten mit dem Mounten als normaler Benutzer gibt, hängt man einfach den -u Parameter beim Mounten an:

 truecrypt -u /home/user/container.tc /home/user/folder

Siehe auch

Verschlüsseltes Verzeichnis

Festplatte verschlüsseln


Dieser Artikel (oder Teile davon) steht unter GNU FDL (GNU Freie Dokumentationslizenz) und ist eine Übersetzung aus dem ArchLinux.org Wiki. Am Original-Artikel kann jeder Korrekturen und Ergänzungen vornehmen. Im ArchLinux.org Wiki ist eine Liste der Autoren verfügbar.