## page was renamed from Baustelle/Verstecktes TC-Laufwerk [[Vorlage(Getestet, gutsy)]] {{{#!vorlage Wissen [:Terminal: Ein Terminal öffnen] [:Editor: Einen Editor öffnen] }}} [[Inhaltsverzeichnis(1)]] Diese Seite gehört zu dem Beitrag [:Archiv/TrueCrypt:]. Sie beschreibt das Erstellen eines versteckten TC-Laufwerks sowie das Ein- und Aushängen dieses Laufwerks in die Verzeichnisstruktur. = Worum geht es? = TrueCrypt kennt so genannte "hidden volumes", also versteckte Laufwerke, die sich innerhalb eines TrueCrypt-Laufwerks verbergen und durch ein eigenes Passwort geschützt sind. Jedes normale TrueCrypt-Laufwerk kann ein verstecktes Laufwerk beinhalten. Kennt jemand nur das Passwort für das äußere TC-Laufwerk, so sieht es für ihn so aus, als würde kein verstecktes Laufwerk existieren. Er kann also auch den gesamten Speicherplatz des Containers beschreiben. Wer nur das Passwort für das versteckte Laufwerk kennt, kann nur auf dieses zugreifen. Schließlich kann jemand, der das Passwort für äußeres und inneres Laufwerk kennt, das äußere Laufwerk unter Berücksichtigung des inneren Laufwerks mounten, und somit verhindern, dass das versteckte Laufwerk überschrieben wird. Der Sinn des Ganzen liegt in der [http://de.wikipedia.org/wiki/Glaubhafte_Bestreitbarkeit glaubhaften Bestreitbarkeit] {de} : Die Existenz eines TrueCrypt-Laufwerks lässt sich schwer leugnen - insbesondere dann, wenn die Software auf dem betroffenen Rechner installiert ist. Wird man gezwungen, das Passwort preiszugeben, so kann man trotzdem glaubhaft bestreiten, dass innerhalb des TC-Laufwerks ein weiteres, verstecktes Laufwerk existiert, da letzteres nicht nachzuweisen ist. Siehe auch: [http://forum.ubuntuusers.de/topic/133030/ Diskussion "Nicht erkennbare Verschlüsselung"] im Forum. [[Anker(Voraussetzungen)]] = Voraussetzungen = Zunächst benötigt man ein äußeres TrueCrypt-Laufwerk, also eine TrueCrypt-Partition oder eine TrueCrypt-Containerdatei. Zu deren Erstellung geht man vor wie im Artikel [:Archiv/TrueCrypt/TC-Laufwerk:] beschrieben. {{{#!vorlage Hinweis Zur Vereinfachung wird nun im Folgenden davon ausgegangen, dass eine TrueCrypt-Partition '''/dev/sdb1''' existiert. Es ist also jeweils ``/dev/sdb1`` durch die korrekte Bezeichnung der TrueCrypt-Partition bzw. durch den Dateinamen des Containers zu ersetzen. }}} [[Anker(Erstellung)]] = Erstellung = == Äußeres Laufwerk mappen == Zunächst stellt man sicher, dass kein TrueCrypt-Laufwerk gemappt ist: {{{#!vorlage Befehl truecrypt -d truecrypt -l }}} Man erhält die Ausgabe {{{No volumes mapped }}} Nun mappt man das TC-Laufwerk, das als Container für das versteckte Laufwerk dienen soll: {{{#!vorlage Befehl truecrypt -N 1 /dev/sdb1 truecrypt -l }}} Die Rückmeldung sollte dabei lauten: {{{/dev/mapper/truecrypt1 /dev/sdb1 }}} == Inneres Laufwerk einrichten == Jetzt folgt die eigentliche Erstellung des versteckten Laufwerks: {{{#!vorlage Befehl sudo truecrypt --type hidden -c /dev/sdb1 }}} Wie bei der Erstellung des äußeren Laufwerks folgen daraufhin einige Abfragen von TrueCrypt. Wenn man nicht FAT als Dateisystem haben möchte, beantwortet man die erste Frage mit [[Vorlage(Tasten, 2)]], die Formatierung kann man dann später manuell durchführen (s.u.) Die restlichen Abfragen kann man mit [[Vorlage(Tasten, Return)]] (Default) beantworten. Ausnahme ist natürlich das Passwort, welches gemäß [:Sicherheits_1x1:Sicherheits 1x1] gewählt werden sollte. Es darf nicht das gleiche Passwort sein, das für das äußere Laufwerk gewählt wurde! Wenn alle Angaben gemacht sind, ist anhand einer Fortschrittsanzeige zu sehen, wie das verschlüsselte Laufwerk erstellt wird. Dies geht in der Regel sehr viel schneller als die Erstellung des äußeren Laufwerks. == Verstecktes Laufwerk formatieren == Dieser Schritt ist nur dann notwendig, wenn bei der Einrichtung nicht FAT gewählt wurde. Zunächst muss das versteckte Laufwerk gemappt werden. Hierzu führt man exakt die gleichen Schritte durch wie beim Mappen des äußeren Laufwerks (s.o.). Der einzige Unterschied ist, dass man nun das Passwort des versteckten Laufwerks eingibt. Anschließend kann man mit {{{#!vorlage Befehl sudo mkfs.ext3 /dev/mapper/truecrypt1 }}} die Formatierung durchführen, wobei ``ext3`` natürlich durch ``ext2`` oder ``reiserfs`` etc. ersetzt werden kann. [[Anker(HeaderSicherung)]] == Header sichern == Zu guter Letzt sollte man unbedingt eine Sicherung des Headers durchführen. Der Header ist ein Bereich innerhalb des TC-Laufwerks, der absolut unverzichtbar für die Entschlüsselung der Daten ist. Wird auch nur ein einziges Bit des Headers verändert - z.B. durch einen Datenträgerfehler - so wird unter Umständen das komplette TC-Laufwerk unbrauchbar. Dann hilft nur eine Rücksicherung des Headers. Die Erstellung der Sicherung geschieht mit dem Befehl {{{#!vorlage Befehl truecrypt --backup-headers /NAME/DER/SICHERUNGS.DATEI /dev/sdb1 }}} Es werden stets Header von äußerer und versteckter Partition gleichzeitig gesichert. [[Anker(history)]] == Spuren verwischen == Ein Verstecktes Laufwerk macht keinen Sinn, wenn man seine Existenz anhand der eingegebenen Befehle erkennen kann. Daher empfiehlt es sich, den Verlaufsspeicher zu bereinigen. Hierzu schließt man zunächst das Terminal, und entfernt anschließend mit einem Editor [2] die betreffenden Befehle aus der Datei '''~/.bash_history'''. Außerdem bereinigt man mit Root-Rechten die Datei '''/var/log/auth.log'''. {{{#!vorlage Hinweis Dies erübrigt sich, wenn man zur Erstellung des versteckten TrueCrypt-Laufwerks eine Live-CD verwendet. }}} [[Anker(Verwendung)]] = Verwendung = Es gibt nun drei Möglichkeiten, das TrueCrypt-Laufwerk zu verwenden: == Passwort des äußeren Laufwerks ist bekannt == Wie bereits erwähnt, ist das versteckte Laufwerk für Benutzer unsichtbar, die nur das Passwort des äußeren Laufwerks kennen. In diesem Fall wird mit {{{#!vorlage Befehl truecrypt /dev/sdb1 ~/irgendwo }}} das äußere Laufwerk in voller Größe eingehängt. Hierbei erscheint das versteckte Laufwerk wie leerer Speicherplatz, und kann daher überschrieben werden. Für normales Arbeiten ist diese Methode also ungeeignet. == Passwort des versteckten Laufwerks ist bekannt == In diesem Fall kann man mit {{{#!vorlage Befehl truecrypt /dev/sdb1 ~/irgendwo }}} das versteckte Laufwerk mounten. Man gibt bei der Passwortabfrage einfach das Passwort des versteckten Laufwerks an. Das äußere Laufwerk wird dabei nicht eingehängt, und die Daten, die sich außerhalb des versteckten Laufwerks befinden, werden nicht überschrieben. == Passwort beider Laufwerke ist bekannt == Für normales Arbeiten mit dem äußeren Laufwerk sollte man den Befehl {{{#!vorlage Befehl truecrypt -P /dev/sdb1 ~/irgendwo }}} verwenden. Dabei werden beide Passwörter abgefragt. Das äußere Laufwerk wird dann unter Berücksichtigung des versteckten Laufwerks eingehängt. Ein versehentliches Überschreiben des versteckten Laufwerks wird verhindert. {{{#!vorlage Warnung Im Verlaufsspeicher der [:Shell:] kann man nach Eingabe dieses Befehls erkennen, wo sich ein verstecktes Laufwerk befindet. Es empfiehlt sich daher, den Befehl ``truecrypt -P`` auf die [:Bash: schwarze Liste des Verlaufsspeichers] zu setzen. }}} == Illustration == Zur Verdeutlichung soll hier anhand von Skizzen gezeigt werden, wie sich die Situation für verschiedene Benutzer darstellt: ||<-3 rowclass="titel"> (vermeintliche) Datenträgerbelegung || || Szenario || mit verstecktem Laufwerk|| zum Vergleich:[[BR]]ohne verstecktes Laufwerk|| || Reale Situation || [[Bild(./real.png, 200)]] || [[Bild(./container.png, 200)]] || || Kein Passwort bekannt || [[Bild(./unbekannt.png, 200)]] || [[Bild(./unbekannt.png, 200)]] || || Äußeres Laufwerk eingehängt, Passwort des versteckten Laufwerks unbekannt || [[Bild(./container.png, 200)]] || [[Bild(./container.png, 200)]] || || Verstecktes Laufwerk eingehängt || [[Bild(./versteckt.png, 200)]] || - || || Äußeres Laufwerk eingehängt, Passwort des versteckten Laufwerks eingegeben || [[Bild(./container-schutz.png, 200)]] || - || ||<-4 rowclass="titel"> Legende || || Grau:[[BR]]Datenträger || Blau:[[BR]]Äußeres TC-Laufwerk|| Gelb:[[BR]]Verstecktes TC-Laufwerk|| Rot:[[BR]]Nicht zugänglicher Bereich|| ## [[Diskussion(143009,[neuer Artikel]Verstecktes TrueCrypt-Laufwerk)]] ---- # tag: Sicherheit