TrueCrypt

Aus Siduction Wiki DE
Wechseln zu: Navigation, Suche

Einleitung

TRUECRYPT ist eine Software, die es erlaubt Daten verschlüsselt abzuspeichern. TRUECRYPT ist für verschieden Betriebssystem erhältlich

Vorläufig dient dieser Artikel dazu, truecrypt aus der Kommandozeile zu bedienen. Für die graphische Bedienung siehe zum Beispiel [1]

Während des Erstellens des Artikels war die Version 7.1 aktuell.

Lizenz

Die Software steht unter der "TrueCrypt License".

Begriffe

Virtuelle Partition

TRUECRYPT verwaltet Daten in einem Behälter, der ein verschlüsselten Dateisystem enthält. Dieser Behälter wird virtuelle Partition genannt. Technisch gesehen ist dies ein Blockgerät mit einem Dateisystem, das per Einbinden ("mounten") zugänglich gemacht wird.

Dieser Behälter kann ein Blockgerät (z.B. eine Festplattenpartition) oder auch eine Datei sein.

Schlüsseldatei (Key File)

Zuerst: Es geht auch ohne Schlüsseldatei.

Eine Schlüsseldatei dient dazu, das Passwort zu ergänzen: Zum Zugriff wird das Passwort und die Schlüsseldatei benötigt.

Vorteile:

  • Mehrere Benutzer können verschiedene Passwörter haben, die dann Zugang zu einem Dateisystem erlauben
  • Eine Schlüsseldatei kann bis zu 1 MByte haben: ein Durchspielen aller Möglichkeiten (Brute-Force-Angriff) wird extrem erschwert
  • Mit Schlüsseldateien kann ein Mehrbenutzer-Teilungsmodul verwendet werden: Nur wenn alle Schlüsseldateien vorhanden sind, ist ein Zugriff möglich
  • Es können Smartcards als Schlüsseldateien verwendet werden

Installation

Tar-Archiv herunterladen (eine Konsolen-Version), entpacken und die Installationsdatei ausführen. Es wird dann das Kommando /usr/bin/truecrypt zur Verfügung gestellt.

Erzeugen eines verschlüsselten Dateisystems

Die einfachste Möglichkeit: der interaktive Modus:

 truecrypt --create /home/jonny/my-virtual-partition

Es werden dann alle notwendigen Daten abgefragt:

  • Modus: normal oder verborgen
  • Größe der virtuellen Partition
  • Verschlüsselungsverfahren: AES, Serpent, Twofish oder diverse Kombinationen
  • Hash-Verfahren: RIPEMD-160, SHA-512 oder Whirlpool
  • Dateisystem: FAT, Ext2, Ext3 oder Ext4
  • Schlüsseldatei(en): Hier können mehrere Dateien angegeben werden. Die Liste wird mit einer Leereingabe abgeschlossen.

Beispiel zum Erstellen von virtuellen Paritionen per Kommandozeile:

 truecrypt --password geheim --keyfile /home/rootsec/mymovie.mpg \
   --encryption AES --hash SHA-512 --size=100M --filesystem=ext4 \
   --create /home/jonny/my-virtual-partition

Einbinden einer virtuellen Partition

truecrypt -m noatime /home/jonny/my-virtual-partition /media/target/

Es wird dann das Passwort und die (optionale) Schlüsseldatei abgefragt.

Mit -m kann man Optionen für das Mounten angeben.

Abmelden einer virtuellen Partition

truecrypt -d my-virtual-partition

Sicherheitstipps

  • Konsolenkommandos werden normalerweise in der Historie aufgehoben. Dies kann verhindert werden, indem ein Leerzeichen vor dem Befehl eingegeben wird
  • Nutze nicht die Möglichkeit, Passwörter als Argument anzugeben. Sie sind dann z.B. mit dem ps-Kommando sichtbar