TrueCrypt
Achtung: Der Status des TrueCrypt-Projektes ist momentan fragwürdig. Siehe hierzu exemplarisch die Berichterstattung auf ProLinux , heise online , oder golem.de .
TrueCrypt ist ein Open-Source Programm für die Verschlüsselung von Festplatten, Teilen dieser oder Wechseldatenträgern. Es beinhaltet unter anderem folgende Features:
- Virtuell verschlüsselte Festplatten, die man als reale Platten mounten kann
- Verschlüsselung einer kompletten Festplatten oder eines Wechseldatentrgers
- Alle Verschlüsselungsverfahren nutzen den LRW Modus, welcher mehr Sicherheit als der CBC Modus bietet.
- Versteckte Container innerhalb eines normal verschlüsselten Datenträgers
Weitere Informationen zur Geschichte, den Verschlüsselungsverfahren siehe Truecrypt (Wikipedia) oder Truecrypt (offiziell)
Installation
Das Programm ist als
truecrypt
in extra
verfügbar, und kann von dort
mittels Pacman
installiert werden.
Truecrypt greift auf das Kernelmodul fuse zurück. Dieses sollte entsprechend mit modprobe geladen werden. Zum automatischen Laden siehe Kernelmodule.
Für den Einsatz von Truecrypt-Containern (siehe unten) muss das Modul loop geladen sein.
In früheren Versionen kann es notwendig sein das Modul truecrypt zu laden, das in neueren Versionen nicht mehr vorhanden zu sein scheint.
Verschlüsselung eines Containers
Die folgende Anleitung zeigt wie man mit Truecrypt einen Container (eine Datei) als einen virtuellen Datenträger erstellen kann, dieser gemountet werden kann und seine Dateien verschlüsselt abspeichert. Das ist eine komfortable Möglichkeit sensible Informationen, wie Finanzen oder private Passwörter zu speichern und diese betriebssystemunabhängig (Linux, Windows oder MacOS) zu bearbeiten.
Erstellen eines verschlüsselten Containers
Um einen Container zu erstellen, verwende folgenden Befehl. Mit dem Parameter -t lässt sich das Programm im Terminal bedienen:
truecrypt -t -c
Folge den Instruktionen mit den default-Werten, außer du weißt was du tust. Gib an, welchen Datenträger-Typ du erstellen willst:
Volume type: 1) Normal 2) Hidden Select [1]: 1
Gib an, wo die Datei gespeichert werden soll:
Enter volume path: /home/user/container.tc
Gib die Größe des Containers an:
Enter volume size (sizeK/size[M]/sizeG): 50M
Wähle den Algorithmus, mit dem der Container verschlüsselt werden soll.
Encryption algorithm: 1) AES 2) Serpent 3) Twofish 4) AES-Twofish 5) AES-Twofish-Serpent 6) Serpent-AES 7) Serpent-Twofish-AES 8) Twofish-Serpent Select [1]: 1
Wähle den Hash-Algorithmus:
Hash algorithm: 1) RIPEMD-160 2) SHA-512 3) Whirlpool Select [1]: 1
Wähle das Dateisystem:
Filesystem: 1) FAT 2) None Select [1]: 1
Gib das Passwort an mit dem du die Daten auf dem Container entschlüsseln möchtest. Es wird empfohlen ein Passwort über 20 Zeichen (Buchstaben, Zahlen, Zeichen, etc..) zu verwenden.
Enter password: ************************* Re-enter password: *************************
Es besteht die Möglichkeit den Pfad zu dem Keyfile anzugeben:
Enter keyfile path [none]:
Danach möchte TrueCrypt mindestens 320 zufällig gewählte Zeichen:
Please type at least 320 randomly chosen characters and then press Enter:
Anschließend erstellt TrueCrypt den Container:
Done: 100,000% Speed: 14,8 MB/s Left: 0 s The TrueCrypt volume has been successfully created.
Der verschlüsselte Container wurde erzeugt und kann nun verwendet werden.
Mounten eines verschlüsselten Containers
Um mit TrueCrypt Container oder verschlüsselte Festplatten zu mounten, sind root Rechte gefordert. Um diese Funktionen als User verwenden zu können, findest du Informationen in einem anderen Abschnitt dieser Wiki-Seite.
truecrypt /home/user/container.tc /home/user/folder
Umounten eines verschlüsselten Containers
Auch hier sind root Rechte gefordert:
truecrypt -t -d /home/user/folder
Verschlüsselung eines Datenträgers
Erstellen eines verschlüsselten Datenträgers
An erster Stelle wird ein neues Speichermedium auf dem gewünschten Device erstellt:
truecrypt --type normal -c /dev/sda1
Dieses wird nach /dev/mapper/truecrypt1 gemappt:
truecrypt -N 1 /dev/sda1
In diesem Fall verwenden wir das Dateisystem ext3, es kann natürlich auch ein anderes verwendet werden:
mkfs.ext3 /dev/mapper/truecrypt1
Mounten des verschlüsselten Datenträgers
Um mit TrueCrypt Container oder verschlüsselte Festplatten zu mounten, sind root Rechte gefordert. Um diese Funktionen als User verwenden zu können, findest du Informationen in einem anderen Abschnitt dieser Wiki-Seite.
mount /dev/mapper/truecrypt1 /media/disk
Mounten des verschlüsselten Datenträgers:
truecrypt /dev/sda1 /media/disk
Umounten eines verschlüsselten Datenträgers
Auch hier sind root Rechte gefordert:
truecrypt -d /dev/sda1
Erstellen eines versteckten Containers
An erster Stelle muss ein äußerer Container oder Datenträger, wie oben beschrieben, erstellt werden. Danach erstellen wir in den freien Speicherplatz den versteckten Container:
truecrypt --type hidden -c /dev/sda1
Es muss eine andere Passphrase, als bei der äußeren Volume genutzt wurde, verwendet werden.
Das äußere Medium wird demounted und die versteckte gemounted:
truecrypt -d /dev/sda1 truecrypt -N 1 /dev/sda1
Einfach die Passphrase der versteckten angeben; TrueCrypt mounted automatisch richtig.
Datenträger oder Container als User mounten
Da TrueCrypt root Rechte voraussetzt, gibt es zwei Möglichkeiten, welche beide Sudo voraussetzen, um als User Datenträger oder Container zu mounten.
Möglichkeit 1: Truecrypt Gruppe
Bei dieser Methode erstellt man eine Gruppe truecrypt und gibt dieser die nötigen Rechte.
groupadd truecrypt
Danach editiert man die sudoers-Datei:
visudo
Hier fügt man am Ende der Datei folgende Zeilen ein:
# Users in the truecrypt group are allowed to run TrueCrypt as root. %truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt
Desweiteren müssen noch die gemounteten Medien für normale Benutzer schreibbar gemacht werden:
nano /etc/bash/bashrc
Hier fügt man folgende Zeilen ein:
alias tc='sudo truecrypt' alias tcm='tc -M uid=$(id -u),gid=$(id -g)'
Nun können Benutzer der Gruppe truecrypt hinzugefügt werden:
gpasswd -a BENUTZER truecrypt
Methode 2: Sudo ohne Passwort
Mit dieser Methode können Benutzer truecrypt ohne Passwort verwenden:
visudo
Füge folgende Zeilen ein:
USERNAME ALL = (root) NOPASSWD:/usr/bin/truecrypt
Alternativ kann man auch die wheel Gruppe verwenden:
%wheel ALL = (root) NOPASSWD:/usr/bin/truecrypt
Falls es irgendwelche Schwierigkeiten mit dem Mounten als normaler Benutzer gibt, hängt man einfach den -u Parameter beim Mounten an:
truecrypt -u /home/user/container.tc /home/user/folder
Siehe auch
Dieser Artikel (oder Teile davon) steht unter GNU FDL (GNU Freie Dokumentationslizenz) und ist eine Übersetzung aus dem ArchLinux.org Wiki. Am Original-Artikel kann jeder Korrekturen und Ergänzungen vornehmen. Im ArchLinux.org Wiki ist eine Liste der Autoren verfügbar. |