Daten verschlüsseln mit TrueCrypt

Daten verschlüsseln mit TrueCrypt

Da ich mir kürzlich einen neuen USB-Stick zugelegt habe, habe ich heute mal ein paar Portable Apps (unter anderem PuTTY, Firefox, Thunderbird und Notepad++) daraufkopiert, um auch unterwegs an fremden Rechnern Zugriff auf gewohnte Tools zu haben. Da auch einige sensible Daten dabei sind (private Keys, gespeicherte Firefoxpasswörter, …) und sich meine Freude, sollte der Fall eintreten, dass ich es in einem Zustand geistiger Abstinenz schaffe den Stick zu verlieren, über besagte Daten in fremden Händen in Grenzen halten würde, habe ich die PortableSuite einfach komplett in einen TrueCrypt-Container gesteckt, der auf dem Stick liegt. Somit sind bei Verlust zwar die Daten auf dem Stick futsch, aber ich kann zumindest sicher sein, dass auch niemand anderes daran kommt. Wie das funktioniert, werde ich in den folgenden Schritten kurz erklären.

Anmerkung: Prinzipiell benötigt TrueCrypt auf dem Zielrechner Administratorrechte. Es sind entweder die entsprechenden Rechte oder ein vorinstalliertes TrueCrypt nötig, um den Container auf einem fremden Rechner öffnen zu können.

Zuerst TrueCrypt von der Downloadseite herunterladen und installieren. Ich habe bei der Installation “Extract” gewählt, dadurch werden die Programmdateien nur entpackt, ohne irgendwas in Windows zu installieren. Trifft sich gut, da TrueCrypt im Endeffekt mit auf den Stick kommt (“Portable mode”) und es bei Bedarf vom Stick gestartet wird (mehr dazu später).

TrueCrypt-Container erstellen

Sind die TC-Dateien entpackt, können wir unseren Container auf dem Stick erstellen. Dazu starten wir zuerst die TrueCrypt.exe, die der Installer soeben frisch entpackt hat und wählen Create Volume:

Anschließend folgen wir dem Wizard. Wir wollen einen einfachen Dateicontainer erstellen und keine verschlüsselte Partition.

Wir wollen ein Standardvolume.

Ich erstelle Container hier exemplarisch auf dem Stick H:\ unter containercontainer.vol. Dateiname und -erweiterung sind prinzipiell egal, villeicht sollte man in Realität etwas weniger offensichtliche Dateinamen verwenden (je nach Paranoia-Grad) ;)

Im nächsten Schritt werden Verschlüsselungs- und Hashingalgorithmus festgelegt. Sofern man nicht weiß, was man tut sollten die Standardeinstellungen passen.

Dann wird die Größe des Volumes festgelegt. Meine PortableApps haben so ca. 250 MB, mit 600 sollte ich recht gut bedient sein.

Dann wird die Passphrase festgelegt. Hier ist es wichtig, eine möglichst lange, nicht erratbare Passphrase zu verwenden, sonst kann man sich die ganze Verschlüsselungsgeschichte gleich sparen. Der beste Verschlüsselungsalgorithmus ist machtlos wenn die Passphrase leicht erratbar ist. Alternativ kann man auch Keyfiles einsetzen, wobei da wieder die Frage ist, wie man denn die Keyfiles sicher aufbewahrt. Für den Einsatz auf einem Stick bietet sich also eine Passphrase an.

Im letzten Schritt zur Erstellung des Containers kann noch das gewünschte Dateisystem ausgewählt werden. Dann fuchtelt man einen Moment mit der Maus in dem Fenster herum, um dem Zufallsgenerator, der die Basis der Verschlüsselung bereitstellt, möglichst viel “Randomness” mitzugeben und klickt auf Format.

Nach kurzer Zeit ist der Container dann erstellt und einsatzbereit.

Mounten automatisieren

Man könnte den Container jetzt mittels der TrueCrypt-GUI ein/-ausbinden (mounten) und verwenden. Da das auf Dauer aber nicht sonderlich komfortabel ist, habe ich den Vorgang mittels 2 kleiner Batchscripts automatisiert. Damit das überall funktioniert, habe ich zuerst die TrueCrypt-Dateien nach H:\containertc auf den Stick kopiert und anschließend folgende zwei Scripts erstellt:

H:\containermount.bat

@echo off
tcTrueCrypt.exe /q /l z /m rm /e /v container.vol

H:\containerunmount.bat

@echo off
tcTrueCrypt.exe /q /d z

Das z bei /l z und /d z steht dabei für den Laufwerksbuchstaben, der muss auf dem Zielsystem selbstredend frei sein. Mehr zu den Commandline-Parametern gibts hier.

Verwendung

Die Verwendung ist denkbar simpel. Einfach die mount-Batchdatei ausführen, das Passwort eingeben und das Volume wird auf dem angegebenen Laufwerksbuchstaben eingebunden. Alle Daten, die auf diesem Laufwerk landen, werden in Wirklichkeit verschlüsselt auf dem TrueCrypt-Container auf dem Stick gespeichert. Will man das Volume wieder unmounten reicht das Ausführen der unmount-Batchdatei.