[[Vorlage(Getestet, general)]] {{{#!vorlage Wissen [:Terminal: Ein Terminal öffnen] }}} [[Inhaltsverzeichnis(1)]] Diese Seite gehört zu dem Beitrag [:Archiv/TrueCrypt:]. Sie beschreibt das Erstellen eines TrueCrypt-Laufwerks sowie das Ein- und Aushängen des Laufwerks in die Verzeichnisstruktur. = Partitionen und Containerdateien = Wie im Hauptartikel [:Archiv/TrueCrypt:] erläutert, gibt es zwei Arten von TC-Laufwerken: TC-Partitionen und TC-Containerdateien. Da die Syntax für beide weitgehend identisch ist, behandelt dieser Artikel beide TC-Laufwerkstypen. Als Platzhalter wird in beiden Fällen {{{ /dev/sdb1 }}} verwendet. Es gilt dabei * für TC-Partitionen: '''/dev/sdb1''' ist jeweils durch die richtige Bezeichnung der Partition, z.B. '''/dev/sdc3''' zu ersetzen. Die Partitionsbezeichnung entnimmt man am besten einem Partitionierungsprogramm wie [:GParted:], oder man betrachtet die Ausgabe von {{{#!vorlage Befehl sudo fdisk -l }}} * für TC-Containerdateien: '''/dev/sdb1''' ersetzt man jeweils durch den Dateinamen der Containerdatei, z.B. '''~/stats/help.dat'''. Der Dateiname ist frei wählbar, man sollte jedoch vermeiden, das Wort "truecrypt" oder das Kürzel "tc" darin zu verwenden, weil sonst für Dritte offensichtlich ist, dass es sich um ein TC-Laufwerk handelt. [[Anker(Erstellung)]] = Erstellung eines TC-Laufwerks = {{{#!vorlage Hinweis Man sollte ein TC-Laufwerk immer selbst erstellen! Der Grund ist, dass erfahrene Anwender sich nach dem Anlegen des Laufwerkes den Header kopieren könnten und damit nach einer späteren Änderung des Passwortes durch den Nutzer in der Lage sind, das ursprüngliche Passwort wieder herzustellen. }}} Um ein TrueCrypt-Laufwerk zu erstellen, wird folgender Befehl in einem Terminal [1] aufgerufen: {{{#!vorlage Befehl sudo truecrypt -c /dev/sdb1 }}} Es folgen einige Abfragen, von denen die meisten mit [[Vorlage(Tasten, Return)]] (Default) beantwortet werden können. Ausnahme: Beim Anlegen einer Containerdatei wird deren Größe abgefragt. Außerdem muss natürlich das Passwort explizit angegeben werden. Hierbei sollte man [:Sicherheits_1x1:Sicherheits 1x1] beachten. Die Frage nach dem Dateisystem (``Filesystem:``) kann man zunächst mit [[Vorlage(Tasten, 2)]] beantworten, wenn man nicht FAT verwenden möchte. Anschließend kann man ein anderes Dateisystem erstellen, wie in [:Archiv/TrueCrypt/TC-Laufwerk_formatieren:] beschrieben. {{{Volume type: Filesystem: # die nächste Frage entfällt bei TC-Partitionen Enter volume size (bytes - size/sizeK/sizeM/sizeG): (z.B. 100M) Hash algorithm: Encryption algorithm: Enter password for new volume '/dev/sdb1': Re-enter password: -Wiederholung Is your mouse connected directly to computer where TrueCrypt is running? [Y/n] }}} TrueCrypt ermittelt nun einige "Zufallszahlen" aus den folgenden Mausbewegungen. Im Anschluss daran ist anhand einer Fortschrittsanzeige zu sehen, wie das Containerfile erstellt bzw. die Partition initialisiert wird. Dieser Vorgang kann durchaus einige Stunden dauern, je nach Größe des erstellten Laufwerks und nach Leistungsfähigkeit des Rechners. [[Anker(HeaderSicherung)]] == Header sichern == Nach Beendigung des Vorgangs sollte man unbedingt eine Sicherung des Headers durchführen. Der Header ist ein Bereich innerhalb des TC-Laufwerks, der absolut unverzichtbar für die Entschlüsselung der Daten ist. Wird auch nur ein einziges Bit des Headers verändert - z.B. durch einen Datenträgerfehler - so wird unter Umständen das komplette TC-Laufwerk unbrauchbar. Dann hilft nur eine Rücksicherung des Headers. Die Erstellung der Sicherung geschieht mit dem Befehl {{{#!vorlage Befehl truecrypt --backup-headers /dev/sdb1 /NAME/DER/SICHERUNGS.DATEI }}} Selbstverständlich sollte man die Sicherungsdatei an einem sicheren Ort speichern, also insbesondere auf einem anderen Datenträger als das TC-Laufwerk. [[Anker(mounting)]] = TrueCrypt-Laufwerk ein-/aushängen = Bevor ein TC-Laufwerk eingehängt werden kann, muss zunächst die [http://de.wikipedia.org/wiki/Transparenz_%28Computer%29 transparente] {de} Ver-/Entschlüsselung durch TrueCrypt aktiviert werden. Dieser Vorgang nennt sich ''"Mapping"''. Dabei wird ein virtuelles Gerät '''/dev/mapper/truecryptX''' (``X`` steht für eine Ziffer) angelegt, welches wie eine unverschlüsselte Partition behandelt werden kann. Normalerweise geschieht das Mapping gleichzeitig mit dem Einhängen. Für den Anwender ist es z.B. dann sinnvoll, ein TrueCrypt-Laufwerk explizit zu mappen, wenn er es formatieren will. Dabei darf das Laufwerk nicht eingehängt sein. Das Mappen erreicht man mit dem Befehl {{{#!vorlage Befehl truecrypt /dev/sdb1 }}} Will man steuern, unter welcher Nummer das Laufwerk gemappt wird, so gibt man z.B. {{{#!vorlage Befehl truecrypt -N 5 /dev/sdb1 }}} ein. Dies führt zum Mapping unter '''/dev/mapper/truecrypt5'''. Ein gemapptes Laufwerk kann ganz normal mit [:mount:] eingehängt werden. Komfortabler ist aber folgende Möglichkeit: == Einhängen == Da vor dem eigentlichen Einhängen das Mappen des TrueCrypt-Laufwerks nötig ist, bietet TrueCrypt einen Befehl, der beide Vorgänge ausführt: {{{#!vorlage Befehl truecrypt /dev/sdb1 /mnt }}} Man gibt also einfach den Einhängepunkt als zusätzlichen Parameter an. Hierbei kann natürlich '''/mnt''' durch einen beliebigen Einhängepunkt wie '''~/truecrypt''' ersetzt werden. Will man Optionen an [:mount:] übergeben, so geschieht dies mit dem Parameter ``-M``. Beispielsweise könnte ein Einhängen mit Vollzugriff so aussehen: {{{#!vorlage Befehl truecrypt -M "rw,sync,utf8,uid=$UID,umask=0007" /dev/sdb1 /mnt }}} Die Optionen werden ausführlich im Artikel [:mount:] beschrieben. Das ''sync''-Flag sollte verwendet werden, wenn man Medien benutzt, welche entfernt werden könnten, also beispielsweise USB-Geräte. Nach der Befehlseingabe erfolgt die Abfrage des TrueCrypt-Passwortes für dieses Laufwerk: {{{Enter password for '/dev/sdb1': }}} Sofern das Passwort korrekt angegeben wird, kann anschließend auf die verschlüsselten Daten im Ordner '''/mnt''' zugegriffen werden. Um zu prüfen, ob die Partition richtig eingebunden wurde, wird der Befehl {{{#!vorlage Befehl truecrypt -l }}} in einem Terminal eingegeben. Daraufhin sollte eine Ausgabe erscheinen, welche Partition an welchem Mountpunkt eingebunden ist. === Besonderheiten Linux-Dateisystem === {{{#!vorlage Hinweis Dieser Abschnitt ist nur dann zu beachten, wenn das TC-Laufwerk mit einem Dateisystem wie ext2/3 oder reiserfs formatiert wurde. }}} Nach dem ersten Einhängen sollte man sicherstellen, dass die [:Rechte:] richtig vergeben werden. Da das [:Archiv/TrueCrypt/TC-Laufwerk_formatieren:Formatieren] mit [:sudo:Root-Rechten] geschieht, ist der Besitzer des Dateisystems zunächst einmal ``root``. Ändern lässt sich das mit {{{#!vorlage Befehl sudo chown -R $(id -un):$(id -gn) /mnt }}} Dabei wird allen Dateien und Ordnern der aktuell angemeldete Benutzer als Besitzer zugewiesen. === Besonderheiten FAT-Dateisystem === {{{#!vorlage Hinweis Dieser Abschnitt ist nur dann zu beachten, wenn das TC-Laufwerk mit dem FAT-Dateisystem (Standard bei TrueCrypt) formatiert wurde. }}} Als normaler Benutzer hat man normalerweise keine Schreibrechte auf eingehängte TC-Laufwerke mit FAT-Dateisystem (oder einem anderen Dateisystem ohne Rechteverwaltung). Um Schreibzugriff zu erhalten, sollte man den Parameter ``-u`` verwenden: {{{#!vorlage Befehl truecrypt -u /dev/sdb1 /mnt }}} == Aushängen == Das Aushängen des Laufwerkes geschieht mit folgendem Befehl: {{{#!vorlage Befehl truecrypt -d /mnt }}} Anstelle des Einhängepunktes (hier '''/mnt''') können auch Dateiname und -pfad des Containerfiles bzw. Gerätename der TC-Partition angegeben werden. Wird nichts angegeben, werden sämtliche TC-Laufwerke ausgehängt: {{{#!vorlage Befehl truecrypt -d }}} Partitionen können nur ausgehängt werden, wenn keine Anwendung mehr auf Daten darin zugreift - andernfalls erscheint eine "Busy"-Meldung. Mit dem Terminal-Befehl {{{#!vorlage Befehl lsof /mnt }}} lässt sich herausfinden, welche Anwendung ggf. noch auf die Daten zugreift. Die entsprechende Anwendung muss dann vor dem Aushängen beendet werden. = Siehe auch = * [:Archiv/TrueCrypt/Verstecktes_TC-Laufwerk:] * [:Archiv/TrueCrypt/Problembehebung:] ## [[Diskussion(143243,Zusammenlegen: TC-Partition und TC-Container ?)]] ---- # tag: Sicherheit