Archiv/TrueCrypt/TC-Laufwerk

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist größtenteils für alle Ubuntu-Versionen gültig.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Ein Terminal öffnen

Inhaltsverzeichnis
  1. Partitionen und Containerdateien
  2. Erstellung eines TC-Laufwerks
  3. TrueCrypt-Laufwerk ein-/aushängen
  4. Siehe auch

Diese Seite gehört zu dem Beitrag Archiv/TrueCrypt. Sie beschreibt das Erstellen eines TrueCrypt-Laufwerks sowie das Ein- und Aushängen des Laufwerks in die Verzeichnisstruktur.

Partitionen und Containerdateien

Wie im Hauptartikel Archiv/TrueCrypt erläutert, gibt es zwei Arten von TC-Laufwerken: TC-Partitionen und TC-Containerdateien. Da die Syntax für beide weitgehend identisch ist, behandelt dieser Artikel beide TC-Laufwerkstypen. Als Platzhalter wird in beiden Fällen

/dev/sdb1

verwendet. Es gilt dabei

/dev/sdb1 ist jeweils durch die richtige Bezeichnung der Partition, z.B. /dev/sdc3 zu ersetzen. Die Partitionsbezeichnung entnimmt man am besten einem Partitionierungsprogramm wie GParted, oder man betrachtet die Ausgabe von

sudo fdisk -l 

/dev/sdb1 ersetzt man jeweils durch den Dateinamen der Containerdatei, z.B. ~/stats/help.dat. Der Dateiname ist frei wählbar, man sollte jedoch vermeiden, das Wort "truecrypt" oder das Kürzel "tc" darin zu verwenden, weil sonst für Dritte offensichtlich ist, dass es sich um ein TC-Laufwerk handelt.

Erstellung eines TC-Laufwerks

Hinweis:

Man sollte ein TC-Laufwerk immer selbst erstellen! Der Grund ist, dass erfahrene Anwender sich nach dem Anlegen des Laufwerkes den Header kopieren könnten und damit nach einer späteren Änderung des Passwortes durch den Nutzer in der Lage sind, das ursprüngliche Passwort wieder herzustellen.

Um ein TrueCrypt-Laufwerk zu erstellen, wird folgender Befehl in einem Terminal [1] aufgerufen:

sudo truecrypt -c /dev/sdb1 

Es folgen einige Abfragen, von denen die meisten mit (Default) beantwortet werden können. Ausnahme: Beim Anlegen einer Containerdatei wird deren Größe abgefragt. Außerdem muss natürlich das Passwort explizit angegeben werden. Hierbei sollte man Sicherheits 1x1 beachten.

Die Frage nach dem Dateisystem (Filesystem:) kann man zunächst mit 2 beantworten, wenn man nicht FAT verwenden möchte. Anschließend kann man ein anderes Dateisystem erstellen, wie in Archiv/TrueCrypt/TC-Laufwerk formatieren beschrieben.

Volume type: <Return>
Filesystem: <Return>
# die nächste Frage entfällt bei TC-Partitionen
Enter volume size (bytes - size/sizeK/sizeM/sizeG): <Größe, die die TC-Containerdatei haben soll>  (z.B. 100M)
Hash algorithm: <Return>
Encryption algorithm: <Return>
Enter password for new volume '/dev/sdb1': <Passwort>
Re-enter password: <Passwort>-Wiederholung
Is your mouse connected directly to computer where TrueCrypt is running? [Y/n] <Return>

TrueCrypt ermittelt nun einige "Zufallszahlen" aus den folgenden Mausbewegungen. Im Anschluss daran ist anhand einer Fortschrittsanzeige zu sehen, wie das Containerfile erstellt bzw. die Partition initialisiert wird. Dieser Vorgang kann durchaus einige Stunden dauern, je nach Größe des erstellten Laufwerks und nach Leistungsfähigkeit des Rechners.

Header sichern

Nach Beendigung des Vorgangs sollte man unbedingt eine Sicherung des Headers durchführen. Der Header ist ein Bereich innerhalb des TC-Laufwerks, der absolut unverzichtbar für die Entschlüsselung der Daten ist. Wird auch nur ein einziges Bit des Headers verändert - z.B. durch einen Datenträgerfehler - so wird unter Umständen das komplette TC-Laufwerk unbrauchbar. Dann hilft nur eine Rücksicherung des Headers.

Die Erstellung der Sicherung geschieht mit dem Befehl

truecrypt --backup-headers /dev/sdb1 /NAME/DER/SICHERUNGS.DATEI 

Selbstverständlich sollte man die Sicherungsdatei an einem sicheren Ort speichern, also insbesondere auf einem anderen Datenträger als das TC-Laufwerk.

TrueCrypt-Laufwerk ein-/aushängen

Bevor ein TC-Laufwerk eingehängt werden kann, muss zunächst die transparente 🇩🇪 Ver-/Entschlüsselung durch TrueCrypt aktiviert werden. Dieser Vorgang nennt sich "Mapping". Dabei wird ein virtuelles Gerät /dev/mapper/truecryptX (X steht für eine Ziffer) angelegt, welches wie eine unverschlüsselte Partition behandelt werden kann.

Normalerweise geschieht das Mapping gleichzeitig mit dem Einhängen. Für den Anwender ist es z.B. dann sinnvoll, ein TrueCrypt-Laufwerk explizit zu mappen, wenn er es formatieren will. Dabei darf das Laufwerk nicht eingehängt sein.

Das Mappen erreicht man mit dem Befehl

truecrypt /dev/sdb1 

Will man steuern, unter welcher Nummer das Laufwerk gemappt wird, so gibt man z.B.

truecrypt -N 5 /dev/sdb1 

ein. Dies führt zum Mapping unter /dev/mapper/truecrypt5.

Ein gemapptes Laufwerk kann ganz normal mit mount eingehängt werden. Komfortabler ist aber folgende Möglichkeit:

Einhängen

Da vor dem eigentlichen Einhängen das Mappen des TrueCrypt-Laufwerks nötig ist, bietet TrueCrypt einen Befehl, der beide Vorgänge ausführt:

truecrypt /dev/sdb1 /mnt 

Man gibt also einfach den Einhängepunkt als zusätzlichen Parameter an. Hierbei kann natürlich /mnt durch einen beliebigen Einhängepunkt wie ~/truecrypt ersetzt werden.

Will man Optionen an mount übergeben, so geschieht dies mit dem Parameter -M. Beispielsweise könnte ein Einhängen mit Vollzugriff so aussehen:

truecrypt -M "rw,sync,utf8,uid=$UID,umask=0007" /dev/sdb1 /mnt 

Die Optionen werden ausführlich im Artikel mount beschrieben. Das sync-Flag sollte verwendet werden, wenn man Medien benutzt, welche entfernt werden könnten, also beispielsweise USB-Geräte.

Nach der Befehlseingabe erfolgt die Abfrage des TrueCrypt-Passwortes für dieses Laufwerk:

Enter password for '/dev/sdb1':

Sofern das Passwort korrekt angegeben wird, kann anschließend auf die verschlüsselten Daten im Ordner /mnt zugegriffen werden.

Um zu prüfen, ob die Partition richtig eingebunden wurde, wird der Befehl

truecrypt -l 

in einem Terminal eingegeben. Daraufhin sollte eine Ausgabe erscheinen, welche Partition an welchem Mountpunkt eingebunden ist.

Besonderheiten Linux-Dateisystem

Hinweis:

Dieser Abschnitt ist nur dann zu beachten, wenn das TC-Laufwerk mit einem Dateisystem wie ext2/3 oder reiserfs formatiert wurde.

Nach dem ersten Einhängen sollte man sicherstellen, dass die Rechte richtig vergeben werden. Da das Formatieren mit Root-Rechten geschieht, ist der Besitzer des Dateisystems zunächst einmal root. Ändern lässt sich das mit

sudo chown -R $(id -un):$(id -gn) /mnt 

Dabei wird allen Dateien und Ordnern der aktuell angemeldete Benutzer als Besitzer zugewiesen.

Besonderheiten FAT-Dateisystem

Hinweis:

Dieser Abschnitt ist nur dann zu beachten, wenn das TC-Laufwerk mit dem FAT-Dateisystem (Standard bei TrueCrypt) formatiert wurde.

Als normaler Benutzer hat man normalerweise keine Schreibrechte auf eingehängte TC-Laufwerke mit FAT-Dateisystem (oder einem anderen Dateisystem ohne Rechteverwaltung). Um Schreibzugriff zu erhalten, sollte man den Parameter -u verwenden:

truecrypt -u /dev/sdb1 /mnt 

Aushängen

Das Aushängen des Laufwerkes geschieht mit folgendem Befehl:

truecrypt -d /mnt 

Anstelle des Einhängepunktes (hier /mnt) können auch Dateiname und -pfad des Containerfiles bzw. Gerätename der TC-Partition angegeben werden. Wird nichts angegeben, werden sämtliche TC-Laufwerke ausgehängt:

truecrypt -d 

Partitionen können nur ausgehängt werden, wenn keine Anwendung mehr auf Daten darin zugreift - andernfalls erscheint eine "Busy"-Meldung. Mit dem Terminal-Befehl

lsof /mnt 

lässt sich herausfinden, welche Anwendung ggf. noch auf die Daten zugreift. Die entsprechende Anwendung muss dann vor dem Aushängen beendet werden.

Siehe auch