Verschlüsselung mit TrueCrypt
Daten geschickt verstecken
Dateien in Containern verstecken
Die einfachste Möglichkeit, Dateien mit TrueCrypt zu verschlüsseln, ist ein Container, in dem alle wichtigen Dokumente eingeschlossen werden. Klicken Sie im Programmfenster von TrueCrypt auf Create Volume, um den Assistenten zu starten. Wählen Sie den Punkt Create a file container und im nächsten Fenster Standard TrueCrypt volume. Über Select File wählen Sie im dritten Schritt eine Datei aus, die Sie als Container nutzen wollen. Vorsicht: Der Inhalt der Datei wird überschrieben. Deswegen sollten Sie besser eine neue Datei erstellen, was Sie über den Datei-Auswahl-Dialog erledigen können. Name und Endung der Datei wählen Sie völlig frei, für TrueCrypt spielt das keine Rolle.
Im nächsten Dialog legen Sie fest, mit welchen Algorithmen die Dateien verschlüsselt und mit welchem Hash der Schlüssel erzeugt werden. Sind Sie sich nicht sicher, belassen Sie die Voreinstellungen AES und RIPEMD-160. Alternativ nutzen Sie auch eine Kaskade zur Verschlüsselungen, um etwa die Algorithmen AES, Serpent und Twofish gleichzeitig einzusetzen. Das erhöht die Sicherheit, geht aber zu Lasten der Performance. Wählen Sie anschließend die Größe des Containers und ein sicheres, also möglichst langes und kompliziertes Passwort.
Für mehr Sicherheit können Sie hier zusätzlich ein Keyfile zur Authentifizierung aussuchen. Beim Entschlüsseln des Containers müssen Sie dann nicht nur das Passwort, sondern auch noch eine oder mehrere Schlüsseldateien bereitstellen. Welche und wie viele das sind, bleibt Ihnen überlassen. Schlüsseldateien werden nicht überschrieben, Sie können also beliebige Dateien von der Festplatte oder besser noch von einem USB-Stick wählen.
Da der Container später als Laufwerk eingehängt wird, um auf den Inhalt zuzugreifen, entscheiden Sie sich im nächsten Schritt für ein Dateisystem. Ein Häkchen vor Dynamisch lässt den Container mit seinem Inhalt wachsen. Ein abschließender Klick auf Format erstellt den Container.
Ähnlich verfahren Sie beim Verschlüsseln einer ganzen Datenpartition. Im Assistenten wählen Sie Create a volume within a non-system partition/drive. Statt einer Containerdatei entscheiden Sie sich für eine Partition, die im Anschluss komplett formatiert wird. Wichtige Dateien sollten Sie also vorher in Sicherheit bringen. Die restlichen Schritte unterscheiden sich nicht von denen beim Erstellen eines Containers.
TrueCrypt beherrscht drei Verschlüsselungs-algorithmen, die auch miteinander kombiniert werden können.
Systempartition verschlüsseln
Seit Februar 2008 bietet TrueCrypt eine Funktion, die viele User besonders interessieren dürfte: Die Verschlüsselung der Systempartition. Damit fährt Windows erst hoch, wenn Sie das richtige Passwort eingeben. Der Unterschied zu einem BIOS-Kennwort: Selbst von außen – also mit einem Betriebssystem von CD oder einem zweiten PC – greifen Unbefugte nicht auf den Inhalt der Systempartition zu. Außerdem werden etwa Auslagerungsdatei und temporäre Dateien, die Windows auf der Systempartition ablegt, ebenfalls verschlüsselt. So gelangen keinerlei Dateireste auf einen ungesicherten Bereich der Festplatte.
Starten Sie den Assistenten über den Button Create volume. Hier aktivieren Sie nacheinander die Optionen Encrypt the system partition or entire system drive, Normal und Encrypt the Windows system partition. Alternativ entscheiden Sie sich für Encrypt the whole drive, um die ganze Festplatte mitsamt aller Partitionen auf einen Schlag zu verschlüsseln. Es folgen einige Fragen zu Ihrem Computer. So verschlüsseln Sie auch auf einem Multi-Boot-System die Systempartition oder lassen so genante Recovery-Partitionen unberücksichtigt. Wollen Sie nur die Windows-Partition verschlüsseln und betreiben mehrere Betriebssysteme parallel, sollten Sie die Hinweise bei Wahl der Option Multi-boot besonders aufmerksam lesen. Ansonsten folgen auch hier wieder die Fragen nach Verschlüsselungsalgorithmus sowie Passwort und eventuell Keyfile.
Neu ist hingegen die Rescue Disk: TrueCrypt erstellt eine ISO-Datei, mit der Sie eine bootfähige CD erzeugen müssen. Diese enthält eine Kopie des Boot-Loaders, den TrueCrypt auf der Festplatte einrichtet, um von Anfang an die Kontrolle über den Startvorgang zu erlangen und das Passwort abzufragen. Ist dieser beschädigt, fährt der Rechner nicht mehr hoch. Mit der Rescue Disk reparieren Sie den Boot-Loader im Notfall oder entschlüsseln eine Festplatte komplett. Sie müssen die Rescue Disk also an einem sicheren Ort aufbewahren. Übrigens: Erst wenn Sie die CD erstellt haben, fährt TrueCrypt mit der Arbeit fort.
Wichtig ist überdies zu wissen, dass die Systempartition beim Verschlüsseln nicht überschrieben wird und Sie währenddessen normal am PC weiter arbeiten können. Sie dürfen sogar den Rechner ausschalten. Beim nächsten Start setzt TrueCrypt seine Chiffrierungsarbeit fort.
Ohne Rescue Disk geht nichts: Erst wenn Sie diese erstellt haben, macht TrueCrypt weiter.
Systemlaufwerk verstecken
Die bloße Verschlüsslung scheint einigen Usern nicht auszureichen. Zumindest haben die Entwickler eine Methode entwickelt, codierte Partitionen und Container verschwinden zu lassen, um für noch mehr Sicherheit zu sorgen. Selbst ein Systemlaufwerk können Sie komplett verstecken. Einem möglichen Angreifer zeigen Sie stattdessen ein verschlüsseltes System, das nur scheinbar wichtige Daten enthält.
Der einfache Fall ist auch hier wieder das Erstellen einer verstecken Containerdatei oder Partition. TrueCrypt erschafft dazu innerhalb des Containers einen zweiten versteckten Bereich, der von außen nicht als solcher zu erkennen ist – selbst wenn Sie den äußeren Bereich öffnen.
Sie wählen dazu im Assistenten Hidden TrueCrypt volume. Haben Sie bereits einen Container verschlüsselt, nehmen Sie den Weg Direct mode, ansonsten den Normal mode. Mit diesem erstellen Sie zunächst den äußeren Behälter und anschließend den inneren, der etwas kleiner sein muss. Sie vergeben damit auch zwei Passwörter. Je nachdem welches Sie später eingeben, wird der äußere oder der innere Bereich geöffnet. Sollten Sie also gezwungen werden, das Passwort preiszugeben, verraten Sie nur jenes für den Außen-Container. Hier legen Sie einige Dokumente ab, die nur scheinbar geheim sind. So führen Sie andere User in die Irre.
Komplizierter wird es hingegen beim Einrichten eines versteckten, verschlüsselten Betriebssystems. Sie benötigen dazu mindestens zwei Partitionen auf der Festplatte, die direkt hintereinander liegen. Auf der ersten wird ein Windows als Köder angelegt. Es ist zwar auch verschlüsselt, aber nicht versteckt. Im Notfall können Sie das Passwort für dieses System verraten. Das zweite Windows, das sie eigentlich schützen wollen, liegt auf der zweiten Partition, die etwa zehn Prozent größer sein muss als die erste. Hier erstellt TrueCrypt wiederum einen äußeren und einen inneren Container. Letztere enthält das Betriebssystem.
Insgesamt vergeben Sie drei Passwörter, von denen Sie zwei – für das Köder-Betriebssystem und den äußeren Container auf der zweiten Partition – im Notfall preisgeben dürften. Welches Betriebssystem Sie starten, hängt wiederum vom Passwort a
b, das Sie beim Start des Computers eintippen. Auch hier geht der Assistent wieder alle Schritte mit Ihnen durch: Wählen Sie nach Encrypt the system partition or entire system drive die Option Hidden. Während des Vorgangs muss der Rechner einmal neu gestartet werden, da TrueCrypt den Inhalt der ersten Partition auf die zweite kopiert. Da das mitunter sehr lange dauert, können Sie auch hier den Rechner zwischendurch ausschalten. Allerdings muss TrueCrypt beim nächsten Start wieder von vorne beginnen. Aus Sicherheitsgründen sollten Sie übrigens bei allen Aktionen von TrueCrypt auf die Option Quick Format verzichten.
Zugriff auf verschlüsselte Datein
Um auf verschlüsselte Bereiche zuzugreifen, hängt TrueCrypt sie als Laufwerk ein. Der große Vorteil: Sie arbeiten mit Containern und Partitionen wie mit einem normalen Laufwerk. Öffnen, Kopieren und Speichern sind ohne Einschränkung möglich. Öffnen Sie mit dem Button Select File oder Select Device einen Auswahldialog, mit dem Sie den Container oder die entsprechende Partition auswählen. Nun bestimmen Sie aus der Liste im Programmfenster einen Laufwerksbuchstaben, mit dem der verschlüsselte Bereich im Windows Explorer angezeigt wird. Anschließend klicken Sie auf Mount und tippen das Passwort ein.
Haben Sie beim Erstellen des TrueCrypt-Volumes eine Schlüsseldatei ausgewählt, müssen Sie diese über den Button Keyfile einbinden. Mit einem Klick auf OK erlangen Sie Zugriff auf die verschlüsselten Dateien.
Öffnen Sie einen Außen-Container und wollen dort Dateien ablegen, aktivieren Sie zusätzlich die Option Protect hidden volume against damages caused by writing to outer volume aus dem Menü Mount Options. So verhindern Sie, dass der versteckte Bereich im Innern überschrieben wird. Arbeiten Sie mit einer versteckten Systempartition, haben Sie auf nicht-versteckte Container oder Partitionen nur Lesezugriff. Das soll verhindern, dass Dateien aus der verborgenen Umgebung herauskommen und einen Hinweis auf ein verstecktes System liefern.
Über den Schalter Dismount All schließen Sie alle Container wieder ein und entfernen sie aus der Liste der Laufwerke. Zuvor müssen Sie alle geöffneten Dateien speichern und schließen, um Datenverlust zu vermeiden.
Möchten Sie gleich beim Start von Windows Zugriff auf Ihre verschlüsselten Dateien erhalten, richten Sie TrueCrypt entsprechend ein: Mounten Sie die Container oder Partitionen, die Sie ständig brauchen und wählen Sie aus der Menüleiste den Befehl Volume | Save Currently Mounted Volumes as Favorite. Anschließend gehen Sie über Settings | Preferences in die Programmeinstellungen und aktivieren dort die Optionen Start TrueCrypt und Mount favorite volumes im Bereich Actions to perform upon log on to Windows. Nun werden Sie beim Start von Windows automatisch nach dem Passwort gefragt und die verschlüsselten Bereiche gleich als Laufwerke eingehängt – praktisch.
Zum Öffnen des verschlüsselten Bereichs, wählen Sie einfach die Containerdatei aus und hängen Sie als Laufwerk ein.
TrueCrypt für den USB-Stick
TrueCrypt bietet einen so genannten Traveler Mode, in dem Sie es ohne Installation auch auf fremden Rechnern nutzen können – sofern Sie dort Administratorenrechte besitzen. Am besten eignet sich dazu ein USB-Stick.
Starten Sie TrueCrypt und wählen Sie aus der Menüleiste Tools | Traveler Disk Setup. Über Browse wählen Sie den Speicher-Stick aus. Setzen Sie das Häkchen vor Include TrueCrypt Volume Creation Wizard, wenn Sie den vollen Funktionsumfang auch im Traveler Mode nutzen wollen. Haben Sie allerdings nur vor, bereits verschlüsselte Container oder Partitionen zu öffnen und keine neuen zu erstellen, können Sie die Option abwählen, um Platz zu sparen.
Mit den weiteren Optionen in diesem Dialog bestimmen Sie, ob TrueCrypt automatisch startet und schon einen bestimmten Container öffnen soll, wenn der USB-Stick angesteckt wird. Das ist besonders sinnvoll, wenn Sie verschlüsselte Dateien direkt auf dem Stick mit sich herumtragen. Ein Klick auf Create überträgt TrueCrypt Traveler auf den USB-Stick, von wo aus Sie das Tool über TrueCrypt.exe starten.
Im Traveler Mode benutzen Sie TrueCrypt auch unterwegs – am sinnvollsten zusammen mit den verschlüsselten Dateien auf einem USB-Stick.
Verschlüsselung entfernen
Benötigen Sie die Verschlüsselung nicht mehr, entfernen Sie sie dauerhaft. Über den Befehl System | Permanently Decrypt System Partition/Drive entschlüsseln Sie die Systempartition. Wollen Sie hingegen einen TrueCrypt-Container entschlüsseln, kopieren Sie die Daten heraus – anschließend können Sie die Containerdatei löschen. Eine verschlüsselte Partition beseitigen Sie, indem Sie sie formatieren. Klicken Sie dazu mit der rechten Maustaste auf das Arbeitsplatz-Icon und wählen Sie Verwalten aus dem Kontextmenü. Sie gelangen zur Computerverwaltung und klicken dort auf Datenträgerverwaltung. Hier finden Sie die verschlüsselte Partition, die Sie über das Kontextmenü formatieren können. Auch hier müssen Sie die Daten vorher sichern, da mit dem Formatieren alles verloren geht.