TrueCrypt Benutzung
Archivierte Anleitung
Dieser Artikel wurde archiviert. Das bedeutet, dass er nicht mehr auf Richtigkeit überprüft oder anderweitig gepflegt wird. Der Inhalt wurde für keine aktuell unterstützte Ubuntu-Version getestet. Wenn du Gründe für eine Wiederherstellung siehst, melde dich bitte in der Diskussion zum Artikel. Bis dahin bleibt die Seite für weitere Änderungen gesperrt.
Hinweis:
Dieser Artikel beschreibt die Bedienung von TrueCrypt per Konsole. Ein aktueller Artikel über TrueCrypt, der die Bedienung per GUI beschreibt, findet sich hier.
Die vollständige Revisions-Historie dieses Artikels ist ebenfalls unter Archiv/TrueCrypt einsehbar.
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Hinweis:
Diese Anleitung bezieht sich auf TrueCrypt v4.3a (3.5.2007).
Mittlerweile ist Version 5.1 erschienen (10.03.2008), sowie Version 6.0 (5.7.2008)
Die Version 5.1 besitzt eine GUI (Grafische Oberfläche).
Ab Version 5.0 friert das System wegen eines Kernel-Bugs beim Schreiben großer Dateien in ein TC-Volume ein. Abhilfe schafft die Installation eines Kernels mit Version >= 2.6.24 (ab Hardy Heron erfüllt)
TrueCrypt 🇬🇧 (TC) ist eine Software zum Anlegen verschlüsselter, virtueller Laufwerke oder zum Verschlüsseln ganzer Festplattenpartitionen oder Speichermedien, wie z.B. USB-Sticks. Die Software wurde ursprünglich für Windows entwickelt, steht aber mittlerweile auch (ab Version 5.0 sogar mit grafischer Oberfläche) für Linux zur Verfügung. Das Ver- und Entschlüsseln der Daten erfolgt automatisch und in Echtzeit (on-the-fly), d.h. nachdem ein verschlüsseltes Laufwerk eingehängt wurde, kann ganz normal darauf zugegriffen werden und man bemerkt keinen Unterschied zu einem unverschlüsselten Laufwerk. Folgende Verschlüsselungsalgorithmen werden unterstützt:
Die Verfügbarkeit der Software für verschiedene Betriebssysteme ermöglicht es, dass z.B. ein verschlüsselter USB-Stick, Festplatte o.ä. plattformübergreifend genutzt werden kann. TrueCrypt ist Open-Source und somit für jeden frei und kostenlos verfügbar.
Hinweis:
Mittlerweile ist mit Forcefield 🇬🇧 auch eine GNOME-Benutzeroberfläche als deb-Paket ⮷ für Edgy Eft und Feisty Fawn verfügbar, das wie gewohnt installiert werden kann. Unter Dapper Drake kann Forcefield aufgrund fehlender Abhängigkeiten leider nicht genutzt werden. Weitere Informationen zu Forcefield finden sich u.a. im englischsprachigen Ubuntu-Forum 🇬🇧 . Außerdem gibt es mit tcgui eine umfangreiche deutsch -und englischsprachige Benutzeroberfläche für TrueCrypt, die neben Ubuntu auch unter Kubuntu funktioniert. Weitere Informationen im Forum.
Seit der Version 5.0 enthält TrueCrypt bereits eine eigene GTK Oberfläche für Linux.
Achtung!
Daten aus dem verschlüsselten Container können im Betrieb auf andere Bereiche der Festplatte gelangen: beispielsweise in den Auslagerungsspeicher (Swap), oder in das Verzeichnis des Druckerspoolers. Sofern die betreffenden Partitionen nicht ebenfalls verschlüsselt sind, können dort eventuell Dateien gelesen oder Reste gelöschter Dateien extrahiert werden.
Installation¶
Die Installation von TrueCrypt wird auf der Seite
beschrieben. Falls es während der Installation zu Fehlermeldungen kommt, finden sich evtl. auf der Seite Problembehebung Hinweise zu deren Lösung.
TrueCrypt verwenden¶
Nachfolgend werden die wesentlichen Operationen von TrueCrypt erläutert. Dazu gehören an erster Stelle das Anlegen eines verschlüsselten Laufwerkes, sowie das Ein- und Aushängen des Laufwerkes in die vorhandene Verzeichnisstruktur. Eine Übersicht sämtlicher Befehle und Optionen erhält man über die Manpage von truecrypt. Eine deutsche Übersetzung der Manpage von Truecrypt findet sich auf wildblue.de 🇩🇪 . Ausführliche Informationen und Erläuterungen zur Software im Allgemeinen, sowie speziell auch zu den verwendeten Verschlüsselungsalgorithmen finden sich in der Dokumentation 🇬🇧 zu TrueCrypt.
Truecrypt als unprivilegierter Benutzer ohne Rootrechte starten und benutzen¶
Hinweis:
Diese Anleitung ist aktuell und funktioniert mit allen Truecrypt Versionen.
Standartmäßig kann nur ein Benutzer mit Rootrechten Truecrypt starten, und den Inhalt der eingebundenen Container lesen und schreiben. Oftmals möchten aber auch Benutzer ohne Adminiations-Rechte ihre Container nutzen. Im Folgenden wird erklärt wie man eine Gruppe 'truecrypt' anlegt, deren Mitglieder alle dieses Programm benutzen können.
Als Erstes legt man eine neue Gruppe, truecrypt an und fügt ihr sämtliche Benutzer ein, die Truecrypt benutzen dürfen. Wie das geht ist im Wiki Artikel Benutzer und Gruppen (Abschnitt „Benutzer“) erklärt.
Nun editiert man die Datei /etc/sudoders. Diese Datei sollte immer mit einem spezifischen Editor wie visudo bearbeitet werden s. auch sudo/Konfiguration.
Hier wird nun folgende Zeile angefügt:
%truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt
Sie bestimmt, dass die Gruppe truecrypt das Programm Truecrypt mit Root-Rechten und ohne Passwortabfrage benutzen darf.
Nun wird die Datei gespeichert. Anschließend können alle Mitglieder der truecrypt Gruppe mit Truecrypt arbeiten.
Unterscheidung Container/Partition¶
Generell gibt es zwei Typen von TC-Laufwerken, die unterschiedlich gehandhabt werden:
Ein TC-Container ist von außen gesehen eine ganz normale Datei, die - wie andere Dateien auch - kopiert, verschoben, auf CD gebrannt oder einfach gelöscht werden kann. Die TC-Containerdatei beinhaltet allerdings ein verschlüsseltes, virtuelles Laufwerk, das nach dem Einbinden mit TrueCrypt wie jedes andere Laufwerk zum Speichern von Daten genutzt werden kann.
Bei einer TC-Partition wird eine komplette Partition oder auch eine ganze Festplatte mittels TrueCrypt verschlüsselt. Dazu zählen auch USB-Wechselplatten, Floppy-Disks, USB-Sticks oder andere Datenträger. Das Verschlüsseln einer ganzen Partition ist weniger flexibel als der "TC-Container", da das verschlüsselte Laufwerk an den Datenträger gebunden ist, aber dafür ist die Performance besser.
Achtung!
Wenn die TC-Containerdatei auf einem Dateisystem mit Journaling liegt, wie z. B. ext3, ReiserFS, XFS oder NTFS, kann eine Passwort- oder Schlüsseländerung unter Umständen wieder rückgängig gemacht werden. Dies kann ein Sicherheitsrisiko bedeuten! Siehe hierzu hier 🇬🇧 .
Wenn man ein verschlüsseltes Laufwerk anlegen will, muss man sich vorab für eine dieser beiden Varianten entscheiden. Für beide Typen gilt, dass die Größe des TC-Laufwerkes im nachhinein nicht mehr verändert werden kann. Ggf. müsste dann ein neues, größeres Laufwerk erstellt und die Daten von dem alten in das neue Laufwerk verschoben werden.
Das Erstellen eines TC-Laufwerks, sowie das Ein-/Aushängen ist auf der Seite
beschrieben.
Darüber hinaus gibt es noch die Möglichkeit, innerhalb eines TC-Laufwerks ein weiteres Laufwerk anzulegen. Dieses ist ohne Kenntnis des Passwortes unsichtbar, und wird daher als "verstecktes TC-Laufwerk" bezeichnet. Wie man ein solches verstecktes TC-Laufwerk erstellt und verwendet, steht auf der Seite
"Laufwerk einhängen" vereinfachen¶
Die Befehlseingabe zum Einhängen eines TC-Laufwerkes ist recht umständlich und man möchte nicht unbedingt immer ein Terminal zum Ein- und Aushängen öffnen. Nachfolgend zwei Vorschläge, die das Einhängen eines TC-Laufwerkes vereinfachen, solange für Truecrypt noch keine eigene grafische Oberfläche zur Verfügung steht.
Eintrag im Startmenü¶
Anstatt die Befehle zum Ein- und Aushängen eines Laufwerkes immer umständlich über die Konsole einzugeben, empfiehlt es sich, für diese beiden Kommandos einen Eintrag im Startmenü zu erstellen. Auf diese Weise kann einfach per Mausklick ein- bzw. ausgebunden werden. Der Befehl muss dann aber unbedingt im Terminal ausgeführt werden, damit das Passwort dort eingegeben werden kann. Alternativ ist auch ein Aufruf per Alt + F2 möglich (siehe Programme starten).
Passwort-Dialog¶
Alternativ kann man sich auch einen Passwortdialog dargestellt anzeigen lassen. Wie sich ein solcher Passwortdialog realisieren lässt und wie man damit ein TC-Laufwerk einhängt, ist auf der Seite
beschrieben.
Komplett automatisches Einhängen eines Truecrypt-Laufwerks¶
Es gibt auch die Möglichkeit ein Truecrypt-Laufwerk komplett automatisch einzuhängen. Dies führt aber unweigerlich dazu, dass das verwendete Passwort im Klartext in einer Datei auf dem Rechner aufgeschrieben ist. Dennoch kann das wünschenswert sein, etwa wenn man das Betriebssystem selbst bereits auf einer verschlüsselten Platte betreibt. Genaueres ist auf folgender Seite zu finden:
Passwort ändern¶
Das Passwort eines TC-Laufwerkes lässt sich jederzeit mit dem Terminal-Befehl
truecrypt --change <Pfad und Dateiname des Containerfiles / Pfad zum verschlüsselten Gerät>
ändern. Die Angabe des Containerfiles oder des Geräts ist dabei nicht zwingend notwendig. Wird nichts angegeben, wird es vom Programm abgefragt.
TC-Laufwerk formatieren¶
Anstatt des standardmäßig verwendeten FAT-Dateisystems sollte man - bei ausschließlicher Linuxbenutzung - das TC-Laufwerk mit einem Linux-Dateisystem wie z.B. EXT3 oder ReiserFS formatieren. Die entsprechende Formatierung eines TC-Laufwerkes ist auf der Seite
beschrieben.
Probleme nach Kernel-Update¶
Hin und wieder wird bei einer der regelmäßigen Systemaktualisierungen auch der Linux-Kernel aktualisiert und ist dann unter Umständen mit der installierten TrueCrypt Version nicht mehr kompatibel. Dann ist eine Neuinstallation von TrueCrypt erforderlich. Sollte auch das aktuelle Deb-Paket von der TrueCrypt Homepage fehlschlagen ist eine Installation aus den Quellen erforderlich. Version 5 wurde so umgestaltet, das die Software nicht mehr von einem Kernelupdate beeinflusst wird.
Links¶