Partitionen verschlüsseln mit TrueCrypt, eine Kurzanleitung Einstellungen

[Gast_Witti_*]

Hintergrund

Mehr denn je steht die Sicherheit von Daten im öffentlichen Bewußtsein. Die Erfahrungen der letzten Jahre zeigen, dass wir uns bewusst vor Datenverlust, -manipulation und -diebstahl schützen müssen. Anti-Viren Software, Firewalls und andere Schutzsoftware gehören längst zum Alltagsbild. Gleichzeitig steigt auch das staatliche und wirtschaftliche Interesse an unseren Daten.
Der nächste logische Schritt besteht darin, unsere Daten auch durch Verschlüsselung vor dem Zugriff anderer zu schützen.

Vorraussetzungen

TrueCrypt benötigt derzeit das Betriebssystem Microsoft Windows XP, Windows 2000 oder 2003. Eine Linuxversion ist in Arbeit.

Funktionen

TrueCrypt ermöglicht, eine Partition oder einen Cotainer (eine von TrueCrypt erstellte Datei, die der Nutzer mit zu verschlüsselenden Dateien füllen kann) zu verschlüsseln und anschließend zu "mounten", so dass sie von Windows als normales lokales Laufwerk oder als Wechselmedium behandelt wird. Man kann also auf die verschlüsselten Daten wie gewohnt zugreifen und sie bearbeiten.
TrueCrypt muss nicht zwingend installiert werden. Es ist möglich, z.B. auf einem USB-Stick einen Container anzulegen und die Programmdateien zu speichern, und auf dem Zielsystem ohne Aufwand abzurufen.
Auf weitere Funktionen und Möglichkeiten soll an dieser Stelle nicht näher eingangen werden. Sie sind in der Dokumentation, den FAQ oder dem Forum nachlesbar.

Download und Informationen

Kurzanleitung

Vorbereitung

Beispielhaft möchten wir die Verschlüsselung einer Partition aufzeigen. Nach dem Download, entpacken und Installieren der Software erscheint beim Start des Programmes folgende Ansicht:



Im oberen Bereich des Fensters befindet sich eine Liste, der nicht von Windows verwendeten Laufwerksbuchstaben. Hier wird später ausgewählt, welche Kennung Microsoft Windows dem virtuellen Laufwerk zuweisen soll. Zudem wird Größe, verwendeter Verschlüsselungs-Algorithmus und Formatierungs-Typ angezeigt.
Zunächst aber wählen wir "Create Volume" um den TrueCrypt Volume Creation Wizard zu starten, der uns durch den Vorgang führen wird:



Wir möchten ein "standard TrueCrypt volume" erstellen und klicken ohne Änderung der Voreinstellung auf "Next".



Nach dem Klick auf "Select Device" öffnet sich ein Fenster, welches die verwendbaren Festplattem auflistet samt der sich darauf befindenden Partitionen. Wir makieren die gewünschte Partition und bestätigen mit "OK". <b>WICHTIG:</b> Es ist nicht möglich eine Partition zu verschlüsseln, auf der sich ein Betriebssystem befindet! (In den meißten Fällen C: ) Zudem werden beim anschließenden Formatieren alle sich auf der Partiton befindenen Daten gelöscht. Sollen diese erhalten bleiben, müssen sie vorher auf einer anderen Partition oder anderweitig gesichert werden!





Wir wählen "Next"



Nun kann der zu verwendende Verschlüsselungs-Algorithmus ausgewählt werden. Grundsätzlich ist zu sagen, dass jedes der angebotenen Verfahren als ausgereift und sicher gilt. Zu jedem der auswählbaren Algorithmen gibt es eine kurze Erklärung. Weitere Information können per Suchmaschine oder Fachliteratur erlangt werden.
Unterschiede bestehen aber in der Geschwindigkeit, so gilt "Blowfish" als schnell während "Triple-DES" eher langsam ist. In dieser Anleitung belassen wir es einfach bei dem Verfahren "AES".
Die Auswahl "SHA-1" soll ebenfalls beibehalten werden und wir klicken wieder auf "Next"



Die Größe einer Partition ist festgelegt, daher bleibt die Auswahlmöglichkeit gesperrt. Wir wählen "Next".



Hier legen wir das Passwort fest, mit dem wir später die Partition "mounten" und damit verwenden können. Das Passwort sollte den üblichen Vorgaben entsprechen: Möglichst lang (zwischen 20 und 64 Zeichen), keine in Lexika auffindbare Wörter und keine persönlichen (und damit leicht zu erratenden) Daten. Es sollte Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten.
Dennoch müssen wir es uns merken können, sonst gehen die verschlüsselten Daten unwideruflich verloren. Dies ist der wohl schwierigste Teil der Verwendung von TrueCrypt und anderer Verschlüsselungssoftware.
Zur Bestätigung geben wir das erdachte Passwort nocheinmal bei "Confirm" ein und klicken "Next".



Wir wählen unter "Filesystem" "NTFS" aus, belassen die übrigen Einstellungen und klicken "Next" Die anschließende Warnung teilt uns mit, dass alle vorhandenen Daten auf der Partition gelöscht werden. Wenn wir sicher sind, dass sich darauf nichts Wichtiges mehr befindet, bestätigen wir mit "Ja".



Der Fortschritt des Formatierens und die verbleibende Restzeit werden angezeigt. Dieser Vorgang kann je nach Größer der Partition und der Hardwareleistung einige Minuten in Anspruch nehmen.



Abschließend erhalten wir eine Erfolgsmeldung mit einer Zusammenfassung. Da nur diese Partition verschlüsselt werden sollte, klicken wir auf "Exit". Der Wizard wird geschlossen und wir rufen wieder das TrueCrypt Programm Fenster auf.

Anwendung
Wir markieren in der Liste einen Laufwerksbuchstaben und klicken unten auf "Auto-Mount Devices". (Wenn wir mehrere Partitionen oder Container verschlüsselt haben,wählen wir sie vorher über "Select Device" bzw. "Select File" an)
In der anschließenden Abfrage geben wir das Passwort ein und bestätigen mit "Ok"



War das Passwort korrekt, erscheint in der Liste unsere Partition. Nun schließen oder minimieren wir TrueCrypt und öffnen den Arbeitsplatz.



Hier befindet sich ein neues lokales Laufwerk mit dem zuvor von uns gewähltem Laufwerksbuchstaben. Dieses Laufwerk kann nun wie gewohnt benutzt werden. Wir können Dateien darauf speichern, abrufen, verändern oder auch Programme installieren (jedoch keine, die mit beim Hochfahren des Rechners automatisch gestartet werden, da das virtuelle Laufwerk zu diesem Zeitpunkt noch nicht gemountet ist würde der Start fehlschlagen). Anschließend kann das Laufwerk per TrueCrypt wieder dismounted werden, was aber auch mit dem Herunterfahren des PCs automatisch geschieht.

Da Windows die Partition nicht mehr über ihren alten Laufwerkbuchstaben ansprechen kann (für Windows ist es unformatiert), wird ein einigen Fällen bei einem Doppelklick nachgefragt, ob formatiert werden soll. Dieses würde unsere verschüsselte Partition zerstören. Um dieses nicht mit einem unbedachten Klick herbeizuführen ist es ratsam, die Partition von ihrem Laufwerkbuchstaben zu entbinden.
Dazu gehen wir auf "Start" -> "Einstellungen" -> "Systemsteuerung" ->Leistung und Warrtung" -> "Verwaltung" -> "Computerverwaltung" (Unter Windows 2000 befindet sich "Verwaltung" direkt in der "Systemsteuerung"). Unter "Datenspeicherung" markieren wir die "Datenträgerverwaltung und erhalten eine Ansicht ähnlich dieser:



Wir klicken mit rechts auf die betroffene Partition und wählen "Laufwerkbuchstaben und -pfade ändern".



Hier markieren wir den Buchstaben, klicken "Entfernen" und bestätigen die Sicherheitsnachfrage.

Abschließende Worte

Sind unsere Daten nun vollkommen sicher? Eindeutig: Nein! Man könnte uns durch Gewalt oder andere Maßnahmen zur Herausgabe zwingen. Das Passwort kann immer noch per "Brute Force" oder "Wordlist" geknackt werden (was bei einem unter Berücksichtigung der zur Passwortgenerierung genannten Regeln je nach Hardware und Qualität des Passworts tausende von Jahren dauern würde). Unser System könnte mit Malware verseucht sein, die Tastatureingaben logt, Screenshots erstellt oder Unbefugten die Kontrolle über unser System verschafft. Usw.. Letztlich stellt jede Sicherheitsmaßnahme nur eine von Vielen da. Wir müssen uns also um ein Sicherheitskonzept bemühen, welches einen akzeptablen Kompromiss aus Sicherheit und Anwendungsfreundlichkeit darstellt.
Dennoch sind wir mit der Verschlüsselung einer optimalen Daten-Sicherheit einen entscheidenden Schritt näher gekommen.

Witti, 5. Februar 2005

Der Beitrag wurde von Witti bearbeitet: 20.02.2005, 14:32

Angehängte Datei(en)

 hc_002.jpg ( 55.26KB ) Anzahl der Downloads: 2494
 hc_004.jpg ( 70.62KB ) Anzahl der Downloads: 1019
 hc_005.jpg ( 60.81KB ) Anzahl der Downloads: 814
 hc_007.jpg ( 35.07KB ) Anzahl der Downloads: 1360
 hc_008.jpg ( 62.59KB ) Anzahl der Downloads: 988
 hc_009.jpg ( 58.03KB ) Anzahl der Downloads: 1063
 hc_010.jpg ( 48.52KB ) Anzahl der Downloads: 795
 hc_011.jpg ( 67.9KB ) Anzahl der Downloads: 581
 hc_012.jpg ( 64.64KB ) Anzahl der Downloads: 923
 hc_017.jpg ( 68.76KB ) Anzahl der Downloads: 631
 hc_020.jpg ( 43.37KB ) Anzahl der Downloads: 523
 hc_021.jpg ( 59.34KB ) Anzahl der Downloads: 1014
 hc_022.jpg ( 21.89KB ) Anzahl der Downloads: 507
 hc_025.jpg ( 82.62KB ) Anzahl der Downloads: 1460
 hc_026.jpg ( 38.55KB ) Anzahl der Downloads: 670

 

[Heike]

Ich habe mir TrueCrypt auch mal angesehen.

Nach meiner Erkenntnis liegt der Sinn solcher Programme lediglich darin, einen unberechtigten Zugriff zu verhindern, der "körperlich" erfolgt. Beispielsweise das Notebook wird entwendet oder der Wohnungseinbrecher will mal sehen, was so auf dem PC ist.

Vollkommen ungeeignet sind diese Programme, wenn ein unberechtigter Zugriff über das Internet erfolgt.
Nicht gemountete Dateien sind remote zu sehen und lassen sich remote löschen. Wenn die Laufwerke gemountet sind, sind sie remote anzusprechen wie jedes andere Laufwerk, man kann also ohne Probleme Dateien downloaden oder uppen.

Ich habe es mir fast so vorgestellt, wie es sich jetzt auch bewahrheitet hat. Verschlüsselungsprogramme sind gut und wichtig, aber die Sicherheit deckt nur einen Teil der Möglichkeiten ab, wie unberechtigte Dritte an Daten gelangen können.

[dragonmale]

Ich habe es mir fast so vorgestellt, wie es sich jetzt auch bewahrheitet hat. Verschlüsselungsprogramme sind gut und wichtig, aber die Sicherheit deckt nur einen Teil der Möglichkeiten ab, wie unberechtigte Dritte an Daten gelangen können.
[right][snapback]110178[/snapback][/right]

Eigentlich geht es hier zwar um TrueCrypt, aber deine entsprechenden Feststellungen/Aussagen hier, sind für meine Begriffe, zu sehr verallgemeinert.
Wenn jemand unbefugt so Zugriff auf ein System erhalten kann, sollte/müsste man sich mal ein paar andere Fragen stellen:
Wie kommt dieser unberechtigte Zugriff bei dir überhaupt zustande und wieso schließt du von deinem System/Verhalten dabei auf andere? Wie sehen hierbei deine Systemeinstellungen aus? Remoteunterstützung und Remotedesktop aktiviert? Einstellungen in der Gruppenrichtlinie? Rechtevergabe/Zugriffsrechte? System auf dem neusten Stand? etc

Zu deiner verallgemeinerten Aussage über Verschlüsselungsprogramme:
Ich persönlich nutze, beruflich und privat, Programme von Utimaco und ArchiCrypt und ich wüsste nicht, wie hier jemand via Internet/Netzwerk, oder direkt am Rechner, ohne mein Zutun, Zugriff auf die entsprechenden Daten erlangen sollte. Mal abgesehen von entsprechender Rechtevergabe etc, ist es bei ArchiCrypt Live und Live NET z.B, nur für jemanden, der das Protector-PW kennt, überhaupt möglich, nicht gemountete Dateien zu löschen. Bei Live NET z.B, wird der Zugriff auf Programmfunktionen und geöffnete Laufwerke, auch durch eine entsprechende Rechtevergabe gemanagt. Wenn jemand unbefugt entsprechende Rechte erlangen sollte, hat man etwas anderes falsch gemacht, oder man legt es gar absichtlich darauf an.
In meiner Firma z.B, sind Rechner mit sensiblen Daten, komplett mit SafeGuard Easy verschlüsselt. Hinzu kommt SafeGuard LAN Crypt und SafeGuard Advanced Security (Authentisierung und Zugriffskontrolle). Zu LAN Crypt mal ein Auszug:

Gefragt ist eine Sicherheitslösung, die organisationsweit nur autorisierten Benutzergruppen Zugriff auf sensible Daten gewährt. Selbst die unternehmensinternen Systemadministratoren oder das Personal des Outsourcers sollen keine Möglichkeit haben, vertrauliche Daten einzusehen. SafeGuard® LAN Crypt erfüllt genau diese Sicherheitsanforderungen. Es liefert einen Schutz vertraulicher Dateien durch vollautomatische Dateiverschlüsselung. Durch die festgelegte Aufgabenteilung von Systemadministrator und Sicherheitsadministrator bei SafeGuard® LAN Crypt wird ein einzigartiges Plus an Sicherheit erreicht. Denn der Systemadministrator kann zwar wie gewohnt sein System verwalten, hat aber keine Möglichkeit Dateien zu entschlüsseln, da die Schlüssel vom Sicherheitsadministrator verwaltet werden. Dieser wiederum hat jedoch keinen Zugriff auf die verschlüsselt abgespeicherten Dateien.

Der Sicherheitsadministrator legt die individuellen Zugriffsrechte für Arbeitsgruppen oder einzelne Nutzer entsprechend der Sicherheitsrichtlinien fest. So erhält jeder Anwender aufgrund seines Profils einen einzigartigen „Schlüsselbund“ mit dem er – wie gewohnt – die freigegebenen Dateien im Klartext lesen kann. Unberechtigte Personen sehen stattdessen nur einen chiffrierten, unleserlichen Zeichensatz. SafeGuard® LAN Crypt erfordert keine Änderungen des Benutzerverhaltens. Die Verschlüsselung läuft transparent und somit unsichtbar im Hintergrund. Die Sicherheitslösung kann für verschiedene Arten von Speichermedien, Netzlaufwerken bzw. Dateiservern, Festplatten und Wechselmedien verwendet sowie auch auf Terminal Servern eingesetzt werden.

Quelle

Mich würde mal interessieren, wie du persönlich hier selbst mit Admin-/Systemrechten (wie auch immer du dann dazu gekommen bist) unbefugt Zugriff erlangen willst -> es sei denn, ich installiere mir absichtlich einen Trojaner von dir und erlaube ihm und dir dann freiwillig alles. Aber wer macht das schon. Nicht jeder hängt mit einem Rechner im/am Netz, welcher Funktionen anbietet, von denen er nicht einmal etwas weiß und worauf eventuell sogar Software installiert ist, von der er nichts ahnt.

Der Beitrag wurde von dragonmale bearbeitet: 20.09.2005, 16:41

[Heike]

Wie kommt dieser unberechtigte Zugriff bei dir überhaupt zustande und wieso schließt du von deinem System/Verhalten dabei auf andere?

Woraus schließt Du, dass bei mir ein unberechtigter Zugriff stattgefunden hat?

Mir ging es bei dem Posting lediglich um folgendes:
Einige User denken: Ich habe eine Firewall, nun bin ich sicher.
Analog könnten einige denken: Meine Daten sind verschlüsselt, jetzt sind sie sicher.

Dem ist nicht so, dazu gehören mehr Dinge, die Du netterweise für die Mitglieder ergänzt hast, denen sie nicht oder nicht in dem Umfang bekannt sind/waren. Ich hatte sie nicht erwähnt, um nicht zu sehr vom Topic abzuweichen.