[[Vorlage(Archiviert)]] {{{#!vorlage Hinweis Dieser Artikel beschreibt die Bedienung von TrueCrypt per Konsole. Ein aktueller Artikel über TrueCrypt, der die Bedienung per GUI beschreibt, findet sich [:Archiv/TrueCrypt:hier]. Die vollständige Revisions-Historie dieses Artikels ist ebenfalls unter [:Archiv/TrueCrypt:] einsehbar. }}} [[Vorlage(Getestet, gutsy, feisty, dapper)]] {{{#!vorlage Hinweis * Diese Anleitung bezieht sich auf '''TrueCrypt v4.3a''' (3.5.2007). * Mittlerweile ist Version 5.1 erschienen (10.03.2008), sowie Version 6.0 (5.7.2008) * Die Version 5.1 besitzt eine [wikipedia:Grafische_Benutzeroberfläche:GUI] (Grafische Oberfläche). * Ab Version 5.0 friert das System wegen eines Kernel-Bugs beim Schreiben großer Dateien in ein TC-Volume ein. Abhilfe schafft die Installation eines Kernels mit Version >= 2.6.24 (ab Hardy Heron erfüllt) }}} [[Inhaltsverzeichnis(2)]] [[Bild(TrueCrypt/Logo.png, 200, left)]] [http://www.truecrypt.org/ TrueCrypt] {en} (TC) ist eine Software zum Anlegen verschlüsselter, virtueller Laufwerke oder zum Verschlüsseln ganzer Festplattenpartitionen oder Speichermedien, wie z.B. USB-Sticks. Die Software wurde ursprünglich für Windows entwickelt, steht aber mittlerweile auch (ab Version 5.0 sogar mit grafischer Oberfläche) für Linux zur Verfügung. Das Ver- und Entschlüsseln der Daten erfolgt automatisch und in Echtzeit (on-the-fly), d.h. nachdem ein verschlüsseltes Laufwerk eingehängt wurde, kann ganz normal darauf zugegriffen werden und man bemerkt keinen Unterschied zu einem unverschlüsselten Laufwerk. Folgende Verschlüsselungsalgorithmen werden unterstützt: * [wikipedia:Advanced_Encryption_Standard:AES-256] * [wikipedia:Blowfish:Blowfish (448-bit Schlüssel)] * [wikipedia:Twofish:] * [wikipedia:CAST_(Algorithmus):CAST5] * [wikipedia:Serpent_(Verschlüsselung):Serpent] * [wikipedia:Triple_DES:Triple DES] Die Verfügbarkeit der Software für verschiedene Betriebssysteme ermöglicht es, dass z.B. ein verschlüsselter USB-Stick, Festplatte o.ä. plattformübergreifend genutzt werden kann. TrueCrypt ist Open-Source und somit für jeden frei und kostenlos verfügbar. {{{#!vorlage Hinweis Mittlerweile ist mit [http://bockcay.de/forcefield/ Forcefield] {en} auch eine GNOME-Benutzeroberfläche als [http://bockcay.de/stuff/programs/forcefield/forcefield_0.91-1_i386.deb deb-Paket] {dl} für [:Edgy_Eft:Edgy Eft] und [:Feisty_Fawn:Feisty Fawn] verfügbar, das wie gewohnt installiert werden kann. Unter [:Dapper_Drake:Dapper Drake] kann ''Forcefield'' aufgrund fehlender Abhängigkeiten leider nicht genutzt werden. Weitere Informationen zu ''Forcefield'' finden sich u.a. im englischsprachigen [http://ubuntuforums.org/showthread.php?t=364415 Ubuntu-Forum] {en} . Außerdem gibt es mit tcgui eine umfangreiche deutsch -und englischsprachige Benutzeroberfläche für TrueCrypt, die neben Ubuntu auch unter Kubuntu funktioniert. Weitere Informationen im [topic:114235:Forum]. ##Auch für KDE ist mittlerweile eine Oberfläche bei [http://www.kde-apps.de/content/show.php/Truecrypt+GUI?content=56921 KDE-Apps.de] {de} verfügbar. Seit der Version 5.0 enthält TrueCrypt bereits eine eigene GTK Oberfläche für Linux. }}} {{{#!vorlage Warnung Daten aus dem verschlüsselten Container können im Betrieb auf andere Bereiche der Festplatte gelangen: beispielsweise in den Auslagerungsspeicher (Swap), oder in das Verzeichnis des Druckerspoolers. Sofern die betreffenden Partitionen nicht ebenfalls verschlüsselt sind, können dort eventuell Dateien gelesen oder Reste gelöschter Dateien extrahiert werden. }}} = Installation = Die Installation von TrueCrypt wird auf der Seite * [:Archiv/TrueCrypt/Installation:TrueCrypt installieren] beschrieben. Falls es während der Installation zu Fehlermeldungen kommt, finden sich evtl. auf der Seite [:Archiv/TrueCrypt/Problembehebung:Problembehebung] Hinweise zu deren Lösung. = TrueCrypt verwenden = Nachfolgend werden die wesentlichen Operationen von TrueCrypt erläutert. Dazu gehören an erster Stelle das Anlegen eines verschlüsselten Laufwerkes, sowie das Ein- und Aushängen des Laufwerkes in die vorhandene Verzeichnisstruktur. Eine Übersicht sämtlicher Befehle und Optionen erhält man über die [:man:Manpage] von '''truecrypt'''. Eine deutsche Übersetzung der Manpage von Truecrypt findet sich auf [http://wildblue.de/linux/truecrypt/man_truecrypt_de.txt wildblue.de] {de} . Ausführliche Informationen und Erläuterungen zur Software im Allgemeinen, sowie speziell auch zu den verwendeten Verschlüsselungsalgorithmen finden sich in der [http://www.truecrypt.org/user-guide/ Dokumentation] {en} zu TrueCrypt. == Truecrypt als unprivilegierter Benutzer ohne Rootrechte starten und benutzen == {{{#!vorlage Hinweis Diese Anleitung ist aktuell und funktioniert mit allen Truecrypt Versionen. }}} Standartmäßig kann nur ein Benutzer mit Rootrechten Truecrypt starten, und den Inhalt der eingebundenen Container lesen und schreiben. Oftmals möchten aber auch Benutzer ohne Adminiations-Rechte ihre Container nutzen. Im Folgenden wird erklärt wie man eine Gruppe 'truecrypt' anlegt, deren Mitglieder alle dieses Programm benutzen können. Als Erstes legt man eine neue Gruppe, ''truecrypt'' an und fügt ihr sämtliche Benutzer ein, die Truecrypt benutzen dürfen. Wie das geht ist im Wiki Artikel [:Benutzer_und_Gruppen#Benutzer:] erklärt. Nun editiert man die Datei '''/etc/sudoders'''. Diese Datei sollte immer mit einem spezifischen Editor wie '''visudo''' bearbeitet werden s. auch [:sudo/Konfiguration:]. Hier wird nun folgende Zeile angefügt: {{{ %truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt }}} Sie bestimmt, dass die Gruppe ''truecrypt'' das Programm Truecrypt mit [:sudo:Root-Rechten] und ohne Passwortabfrage benutzen darf. Nun wird die Datei gespeichert. Anschließend können alle Mitglieder der ''truecrypt'' Gruppe mit Truecrypt arbeiten. == Unterscheidung Container/Partition == Generell gibt es __zwei__ Typen von TC-Laufwerken, die unterschiedlich gehandhabt werden: * Ein __TC-Container__ ist von außen gesehen eine ganz normale Datei, die - wie andere Dateien auch - kopiert, verschoben, auf CD gebrannt oder einfach gelöscht werden kann. Die TC-Containerdatei beinhaltet allerdings ein verschlüsseltes, virtuelles Laufwerk, das nach dem Einbinden mit TrueCrypt wie jedes andere Laufwerk zum Speichern von Daten genutzt werden kann. * Bei einer __TC-Partition__ wird eine komplette Partition oder auch eine ganze Festplatte mittels TrueCrypt verschlüsselt. Dazu zählen auch USB-Wechselplatten, Floppy-Disks, USB-Sticks oder andere Datenträger. Das Verschlüsseln einer ganzen Partition ist weniger flexibel als der "TC-Container", da das verschlüsselte Laufwerk an den Datenträger gebunden ist, aber dafür ist die Performance besser. {{{#!vorlage Warnung Wenn die TC-Containerdatei auf einem [:Dateisystem:] mit Journaling liegt, wie z. B. ''ext3'', ''ReiserFS'', ''XFS'' oder ''NTFS'', kann eine Passwort- oder Schlüsseländerung unter Umständen wieder rückgängig gemacht werden. Dies kann ein Sicherheitsrisiko bedeuten! Siehe hierzu [http://www.truecrypt.org/docs/?s=journaling-file-systems hier] {en} . }}} Wenn man ein verschlüsseltes Laufwerk anlegen will, muss man sich vorab für eine dieser beiden Varianten entscheiden. Für beide Typen gilt, dass die Größe des TC-Laufwerkes im nachhinein __nicht__ mehr verändert werden kann. Ggf. müsste dann ein neues, größeres Laufwerk erstellt und die Daten von dem alten in das neue Laufwerk verschoben werden. Das Erstellen eines TC-Laufwerks, sowie das Ein-/Aushängen ist auf der Seite * [:Archiv/TrueCrypt/TC-Laufwerk:] beschrieben. Darüber hinaus gibt es noch die Möglichkeit, innerhalb eines TC-Laufwerks ein weiteres Laufwerk anzulegen. Dieses ist ohne Kenntnis des Passwortes unsichtbar, und wird daher als "verstecktes TC-Laufwerk" bezeichnet. Wie man ein solches verstecktes TC-Laufwerk erstellt und verwendet, steht auf der Seite * [:Archiv/TrueCrypt/Verstecktes_TC-Laufwerk:TrueCrypt/Verstecktes TC-Laufwerk] == "Laufwerk einhängen" vereinfachen == Die Befehlseingabe zum Einhängen eines TC-Laufwerkes ist recht umständlich und man möchte nicht unbedingt immer ein Terminal zum Ein- und Aushängen öffnen. Nachfolgend zwei Vorschläge, die das Einhängen eines TC-Laufwerkes vereinfachen, solange für Truecrypt noch keine eigene grafische Oberfläche zur Verfügung steht. === Eintrag im Startmenü === Anstatt die Befehle zum Ein- und Aushängen eines Laufwerkes immer umständlich über die Konsole einzugeben, empfiehlt es sich, für diese beiden Kommandos einen Eintrag im [:Menüeditor:Startmenü] zu erstellen. Auf diese Weise kann einfach per Mausklick ein- bzw. ausgebunden werden. Der Befehl muss dann aber unbedingt im __Terminal__ ausgeführt werden, damit das Passwort dort eingegeben werden kann. Alternativ ist auch ein Aufruf per [[Vorlage(Tasten, Alt+F2)]] möglich (siehe [:Programme_starten:Programme starten]). === Passwort-Dialog === Alternativ kann man sich auch einen Passwortdialog dargestellt anzeigen lassen. Wie sich ein solcher Passwortdialog realisieren lässt und wie man damit ein TC-Laufwerk einhängt, ist auf der Seite * [:Archiv/TrueCrypt/TC-Passwortdialog:TC-Passwortdialog] beschrieben. === Komplett automatisches Einhängen eines Truecrypt-Laufwerks === Es gibt auch die Möglichkeit ein Truecrypt-Laufwerk komplett automatisch einzuhängen. Dies führt aber unweigerlich dazu, dass das verwendete Passwort im Klartext in einer Datei auf dem Rechner aufgeschrieben ist. Dennoch kann das wünschenswert sein, etwa wenn man das Betriebssystem selbst bereits auf einer verschlüsselten Platte betreibt. Genaueres ist auf folgender Seite zu finden: * [:Archiv/Dualboot verschlüsseln:Dualboot verschlüsseln] == Passwort ändern == Das Passwort eines TC-Laufwerkes lässt sich jederzeit mit dem Terminal-Befehl {{{#!vorlage Befehl truecrypt --change }}} ändern. Die Angabe des Containerfiles oder des Geräts ist dabei nicht zwingend notwendig. Wird nichts angegeben, wird es vom Programm abgefragt. == TC-Laufwerk formatieren == Anstatt des standardmäßig verwendeten FAT-Dateisystems sollte man - bei __ausschließlicher__ Linuxbenutzung - das TC-Laufwerk mit einem Linux-Dateisystem wie z.B. EXT3 oder ReiserFS formatieren. Die entsprechende Formatierung eines TC-Laufwerkes ist auf der Seite * [:Archiv/TrueCrypt/TC-Laufwerk_formatieren:TC-Laufwerk formatieren] beschrieben. = Probleme nach Kernel-Update = Hin und wieder wird bei einer der regelmäßigen Systemaktualisierungen auch der Linux-Kernel aktualisiert und ist dann unter Umständen mit der installierten TrueCrypt Version nicht mehr kompatibel. Dann ist eine Neuinstallation von TrueCrypt erforderlich. Sollte auch das aktuelle Deb-Paket von der TrueCrypt Homepage fehlschlagen ist eine Installation aus den Quellen erforderlich. Version 5 wurde so umgestaltet, das die Software nicht mehr von einem Kernelupdate beeinflusst wird. = Links = * [http://www.truecrypt.org/ Homepage] {en} * [wikipedia:TrueCrypt:Wikipedia-Artikel zu TrueCrypt] * [http://de.linwiki.org/index.php/TrueCrypt LinWiki] {de} ---- # tag: Sicherheit