[[Vorlage(Getestet, focal, bionic, jammy)]]

{{{#!vorlage Wissen
[:Paketinstallation DEB: DEB Pakete installieren]
[:Terminal: Ein Terminal öffnen]
[:sudo: Root-Rechte]
[:Paketquellen_freischalten/PPA: PPAs verwenden]
[:Pakete installieren: Installation von Programmen]
[:Programme_starten: Starten von Programmen]
}}}
[[Inhaltsverzeichnis()]]

[[Bild(VeraCrypt-Logo.png, 48, align=left)]]
[https://www.veracrypt.fr Veracrypt] {en}  ist eine Software für Linux, Windows und Mac OSX zur Datenverschlüsselung, insbesondere zur vollständigen oder teilweisen Verschlüsselung von Festplatten und Wechseldatenträgern. Das Programm baut auf TrueCrypt 7.1a auf und ist damit ein Nachfolger des TrueCrypt-Projekts sein, da dessen Entwicklung eingestellt wurde. 2016 erfolgte eine Sicherheitsüberprüfung des Programms. Dabei fand man einige Lücken, die teilweise mit der Version 1.19 behoben wurden. 

= Installation =
VeraCrypt ist nicht in den offiziellen Paketquellen enthalten und muss manuell oder aus einem  [launchpad:~unit193/+archive/ubuntu/encryption:PPA] {en} installiert werden.

{{{#!vorlage Warnung
[:Fremdsoftware:Fremdsoftware] kann das System gefährden. 
}}}


== Manuell ==
Für alle Ubuntu Versionen stehen Deb-Pakete auf der offiziellen [https://www.veracrypt.fr/en/Downloads.html Downloadseite] {en} zur Verfügung. Diese lassen sich leicht mit der Ubuntu Paketverwaltung installieren.

 1. Das Deb-Paket für die eigene Ubuntu Version [https://www.veracrypt.fr/en/Downloads.html herunterladen] {en}
 1. Das Deb-Paket installieren[1]
   - entweder - durch Doppelklick die '''.deb'''-Datei im Dateibrowser (Nautilus) 
   - oder - im Terminal durch den Befehl[2][3]: {{{#!vorlage Befehl
sudo apt install ./PFAD/ZU/veracrypt-VERSION-Ubuntu-RELEASE-amd64.deb}}} VERSION ist dabei die aktuelle Versionsnummer. 

== Installation aus PPA ==
 [[Vorlage(PPA, unit193/encryption, ppa)]]
Wurde das PPA aktiviert, kann das Programm mit dem folgenden Paket installiert werden:
{{{#!vorlage Paketinstallation
veracrypt
}}}


= Verwendung =
[[Bild(veracrypt_start_gui.png, alt="VeraCrypt-GUI", align=right, 300)]]

Nach dem Start[6] von VeraCrypt öffnet sich die Programmoberfläche, aus welcher neue verschlüsselte Volumes erstellt oder vorhandene eingehängt werden können. Die grafische Benutzeroberfläche liegt bisher nur in Englisch vor. Sie orientiert sich in Aussehen und Bedienung stark an TrueCrypt. Ziel des Projekts ist unter anderem, auch TrueCrypt-Container zu öffnen und zu bearbeiten. Einige Funktionen aus TrueCrypt sind allerdings nicht mehr verfügbar, weil sie als [https://www.computerbase.de/2016-10/truecrypt-alternative-veracrypt-audit/ Sicherheitslücke] {en} angesehen werden.

Auf der VeraCrypt-Homepage gibt es ein [https://www.veracrypt.fr/en/Beginner's%20Tutorial.html Beginner's Tutorial] {en}, welches Schritt-für-Schritt erklärt, wie man VeraCrypt-Volume erstellt, einhängt und benutzt.

{{{#!vorlage Hinweis
Das Beginner's Tutorial und weitere Dokumentation befindet sich nach der Installation ebenfalls im lokalen Dateisystem unter '''/usr/share/doc/veracrypt/HTML/'''. Damit ist ein Zugriff auf die Dokumentation auch dann sichergestellt, wenn kein Zugang zum Internet besteht.
}}}

== Ein neues Volume erstellen ==
Um ein neues Volume bzw. einen neuen Container zu erstellen, wird in der Programmoberfläche ein [[Vorlage(Tasten, lmt)]]-Klick auf den "''Create Volume''"-Button ausgeführt. Daraufhin öffnet sich ein Assistent, welcher Schritt-für-Schritt durch die Erstellung führt. Eine Übersicht der einzelnen Dialogfenster dieses Assistenten kann dem bereits erwähnten [https://www.veracrypt.fr/en/Beginner's%20Tutorial.html Beginner's Tutorial] {en} entnommen werden. Der Benutzer hat beim Durcharbeiten des Assistenten folgende Angaben zu machen:

 1. Entscheidung, ob das Volume als Dateicontainer oder mit einer Partition/Festplatte erstellt werden soll
 1. Entscheidung, ob ein Standard- oder Hidden-Volume erstellt werden soll
 1. Angabe des Speicherorts für das zu erstellende Volume
 1. Auswahl der Optionen zur Verschlüsselung (die Vorauswahl sollte für die meisten Anwendungsfälle in Ordnung sein)
 1. Angabe der Volume-Größe (diese kann nachträglich nicht verändert werden)
 1. Angabe eines Passworts und ggf. einer Schlüsseldatei
 1. Auswahl eines Dateisystems für das zu erstellende Volume
 1. Formatierung des Volumes und Ende des Assistenten

== Einhängen eines Volumes ==
Bevor Verzeichnisse und Dateien in einem Volume erstellt bzw. bearbeitet werden können, muss das Volume eingehängt werden. Dazu wählt man in der Programmoberfläche einen freien Slot aus, führt anschließend einen [[Vorlage(Tasten, lmt)]]-Klick auf "''Select File...''" bzw. "''Select Device...''" aus und navigiert zur Container-Datei bzw. zum Verschlüsselten Laufwerk. Mit einem [[Vorlage(Tasten, lmt)]]-Klick auf "''Mount''" wird das Volume/Device eingehängt. Dabei wird das bei der Erstellung vergebene Passwort und ggf. die Schlüsseldatei abgefragt. Der Einhängepunkt kann der Programmoberfläche von VeraCrypt entnommen werden.

Durch einen [[Vorlage(Tasten, lmt)]]-Klick auf "''Dismount''" wird das entsprechende Volume/Device wieder ausgehängt.

== Automatisches Aushängen verhindern ==
In der Standard-Einstellung werden die Veracrypt-Laufwerke im Standby-Modus (Bereitschaft) und beim Herunterfahren automatisch ausgehängt.
Falls man Dateien oder Programme von den verschlüsselten Containern bzw. Laufwerken geöffnet hat, fehlt diesen Dateien beim Aufwecken der Zugriff auf ihren Speicherort.

Zum Deaktivieren des automatischen Aushängens (dismount) während des Bereitschafts-Modus muss die Datei '''/etc/default/veracrypt''' mit root-Rechten[3] bearbeitet werden. z.B. [2]

{{{#!vorlage Befehl
sudo xdg-open /etc/default/veracrypt
}}}

Die folgende Option für das [:Herunterfahren:] (Shutdown) kann unverändert gelassen werden :

{{{
VERACRYPT_SHUTDOWN_UNMOUNT="yes"
}}}

Die folgende Option für Bereitschaft und andere Energiesparzustände (Suspend und Hibernate) kann von "yes" auf "no" geändert werden:

{{{
VERACRYPT_SUSPEND_UNMOUNT="no"
}}}

= Deinstallation =
Wurde VeraCrypt nicht über die Paketverwaltung installiert, wird zur Deinstallation das folgende Skript ausgeführt:
{{{#!vorlage Befehl
sudo /usr/bin/veracrypt-uninstall.sh
}}}

= Konfiguration =
Das System kann noch konfiguriert werden, um alle Möglichkeiten von VeraCrypt verwenden zu können. Dabei geht es insbesondere um das Einhängen von den verschlüsselten Geräten in das Dateisystem, was normalerweise nur ein Administrator-Konto darf bzw. [:Root-Rechte:] erfordert. VeraCrypt fragt hier dann automatisch nach dem Passwort des Administrators.

Wenn ein Benutzer VeraCrypt nutzen soll, der aber keine Root-Rechte besitzt, kann eine Gruppe `veracrypt` angelegt werden. Hier fügt man sämtliche Benutzer hinzu, die VeraCrypt benutzen dürfen. Wie das geht, ist im Artikel [:Benutzer und Gruppen:] erklärt. Man sollte sich bewusst machen, dass mit diesen Rechten VeraCrypt auch missbraucht werden kann, um Daten zu vernichten. Die so privilegierten Nutzer sollten also vertrauenswürdig sein.

Dazu muss die Datei '''/etc/sudoers.d/veracrypt''' gemäß den Hinweisen im Artikel [:sudo/Konfiguration:] erstellt und darin folgende Zeile eingefügt werden:

{{{
%veracrypt ALL=(ALL) NOPASSWD:/usr/bin/veracrypt, /usr/bin/uptime
}}}

Diese Zeile erlaubt allen Mitgliedern in der Gruppe `veracrypt` das Programm Veracrypt mit Root-Rechten ohne jegliche Passwortabfrage zu benutzen.

= Links =
 * [https://www.veracrypt.fr Projektseite] {en}
 * [wikipedia:VeraCrypt:] - Wikipedia
 * [https://ostif.org/the-veracrypt-audit-results/ The VeraCrypt Audit Results] {en}
 * [:Daten_verschlüsseln:] - Alternativen zu VeraCrypt
 * [:Sicherheit:] {Übersicht} Übersichtsartikel zur Datensicherheit

#tag: Sicherheit, Verschlüsselung, Server