Sicher aufbewahrt
Windows XP Home kommt ohne die Dateiverschlüsselungsfunktion der Pro-Version. Das kostenlose TrueCrypt schließt diese Lücke. Auch Windows-2000-Nutzer können damit wieder eine sichere Dateisystemverschlüsselung installieren.
- Andreas Beier
![Bild 1 [150 x 113 Pixel @ 3,7 KB]](https://www.heise.de/altcms_bilder/58723/1_hires.jpg)
Windows XP Home kommt ohne die Verschlüsselungsfunktion Encrypted File System (EFS) der Windows-Versionen mit dem Namenszusatz "Professional" daher. Das kostenlose TrueCrypt schließt diese Lücke. Die Software ist auch für Windows 2000 interessant, dessen EFS-Schutz schon länger nicht mehr sicher ist.
Die Software TrueCrypt, die auch im Quelltext vorliegt, ging Anfang 2004 aus dem Projekt E4M (Encryption for the Masses) hervor und wurde seitdem stetig weiterentwickelt. Mittlerweile wird es von der TrueCrypt Foundation betreut. Anders als das Encrypted File System von Windows verschlüsselt es nicht einzelne Dateien, sondern bindet so genannte Image-Dateien als Laufwerke in das Betriebssystem ein. Die verhalten sich wie Festplatten oder andere physikalisch vorhandene Speichermedien.
In solchen virtuellen Laufwerken darf man nicht nur Daten speichern, sondern auch Programme, etwa eine Banking-Software, die nicht offen auf Festplatte liegen soll. Die Anwendungen auf einem Image-Laufwerk starten direkt, man muss sie nicht erst auf eine Festplatte kopieren. Ein TrueCrypt-Image darf sogar in einem anderen TrueCrypt-Image gespeichert sein. Das Anlegen und Nutzen von Image-Dateien setzt keine Administratorrechte voraus, sodass auch ein Anwender, der aus Sicherheitsgründen mit eingeschränkten Rechten arbeitet, nicht auf die Image-Verschlüsselung verzichten muss.
TrueCrypt kann außerdem Partitionen auf Festplatten, Disketten oder USB-Sticks verschlüsseln. Bei der Boot-Partition von Windows muss es allerdings passen. Das Arbeiten mit Partitionen verlangt administrative Rechte, ebenso wie die Installation von TrueCrypt.
Bei der Installation verhält sich TrueCrypt übrigens vorbildlich: Der Anwender darf bestimmen, ob die Installation für alle Benutzer eines Rechners gelten soll, ob er einen Eintrag ins Startmenü haben möchte, ob eine Verknüpfung zum Programm auf dem Desktop landen soll und ob der Installer eine Assoziation der Software mit der Dateinamensendung .tc herstellen soll. Der Installer verrät genau, welche Datei er wohin kopiert und welche Einträge er in der Windows-Registry vorgenommen hat. Ferner legt er einen Systemwiederherstellungspunkt an, sodass man neben dem üblichen Deinstallationsweg die Software auch mit der Systemwiederherstellung los wird.
Zauberhaft
Der Umgang mit TrueCrypt stellt auch in Verschlüsselungsfragen unerfahrene Anwender nicht vor Probleme. Das Hauptfenster zeigt eine Liste aller noch unbenutzten Laufwerksbuchstaben. Um ein verschlüsseltes Laufwerk einzuhängen, bestimmt man über "Select File?" eine Image-Datei oder über "Select Device?" eine verschlüsselte Partition und klickt anschließend auf "Mount" - fertig. Fortan kann man ohne Einschränkungen auf das neue Laufwerk zugreifen. TrueCrypt übernimmt das transparente Ver- und Entschlüsseln der Daten, der Anwender muss sich nicht darum kümmern. Achtung: TrueCrypt-Laufwerke stehen, solange sie gemountet sind, wie andere Laufwerke auch allen Benutzern eines PC zur Verfügung. Gewährt man etwa über die schnelle Benutzerumschaltung einem Kollegen Zugriff auf den Rechner, sollte man zuvor die privaten TrueCrypt-Laufwerke entfernen.
![Bild 3 [250 x 216 Pixel @ 12,1 KB]](https://www.heise.de/altcms_bilder/58723/3_hires.jpg)
Das kostenlose TrueCrypt schiebt Windows verschlüsselte Image-Dateien und Partitionen unter.
Beim Mounten darf man bestimmen, ob TrueCrypt ein Laufwerk schreibgeschützt oder als Wechselmedium einbinden soll. Letzteres hat den Vorteil, dass Windows keine Verzeichnisse für den Papierkorb und die Systemwiederherstellung anlegt.
Wer nach dem Anmelden automatisch seine TrueCrypt-Laufwerke einhängen will, der kann eine kleine Batch-Datei für den Autostart-Ordner schreiben. Die Zeile
truecrypt /volume imagedatei.tc /auto /quiet
mountet das Laufwerk in imagedatei.tc. Die Option /q sorgt dafür, dass nur ein unscheinbarer Dialog zur Passworteingabe erscheint, nicht jedoch das markante TrueCrypt-Hauptfenster. Weitere Kommandozeilenparameter beschreibt die Dokumentation. Eine Integration in den Anmeldedialog ist nicht möglich.
Beim Anlegen von neuen Images oder dem Verschlüsseln einer Partition hilft der "TrueCrypt Volume Creation Wizard", der zuerst abfragt, ob man ein normales oder ein verstecktes Laufwerk (dazu später mehr) erstellen möchte und ob es ein Image oder eine verschlüsselte Partition sein soll. Die Voreinstellungen für den Verschlüsselungsalgorithmus (Advanced Encryption Standard, AES) und Hash-Algorithmus (SHA-1) kann man getrost übernehmen. Beides sind bewährte Verfahren. Für SHA-1 existiert zwar ein theoretischer Angriff, der ist aber in der Praxis vorerst nicht zu fürchten. TrueCrypt unterstützt 13 verschiedene Verschlüsselungsverfahren, die alle als sicher gelten und in der mitgelieferten Dokumentation kurz beschrieben sind. Wem es auf Geschwindigkeit ankommt, darf mit der Benchmark-Funktion ermitteln, wie sich die einzelnen Verfahren schlagen und kann anhand der Ergebnisse seine Wahl treffen. Auf einem schnellen PC bremst TrueCrypt mit AES Dateiübertragungen nicht spürbar aus.
Anschließend fragt TrueCrypt die Image-Größe ab: Die theoretische Maximalgröße liegt jenseits dessen, was man zur Zeit auf Festplatten speichern kann. Die tatsächliche Größe bestimmt neben dem freien Platz auf der Festplatte das verwendete Dateisystem. Auf FAT32 kann eine Datei nicht größer werden als vier GByte, größere Images lassen sich nur auf NTFS ablegen. TrueCrypt legt seine Images immer in voller Größe an und füllt sie mit Zufallswerten. Anders als einfache Images unter Mac OS X wachsen die Laufwerke nicht erst bei Bedarf. Kurze Passwörter bemängelt TrueCrypt, lässt sie nach Rückfrage aber dennoch gelten. Tipps zur Passwortauswahl finden Sie auf der letzten Seite dieses Artikels.
![Bild 4 [250 x 122 Pixel @ 7,6 KB]](https://www.heise.de/altcms_bilder/58723/4_hires.jpg)
Im Arbeitsplatzverzeichnis ist nicht zu erkennen, ob es sich bei einem Laufwerk um eine verschlüsselte Image-Datei handelt. TrueCrypt bindet sie transparent ein.
Unter "Volume Format" legt man das Dateisystem im TrueCrypt-Image fest. Möchte man NTFS einsetzen, muss die Image-Größe mindestens 2526 KByte betragen, sonst muss man mit FAT vorlieb nehmen. Möchte man das Dateisystem eines TrueCrypt-Laufwerks nachträglich ändern, kann man dies auch im Windows Explorer mit dem Formatieren-Befehl aus dem Kontextmenü des Laufwerks erledigen. Eine Möglichkeit, ohne Datenverlust das Dateisystem zu ändern, gibt es nicht. Tools wie chkdsk oder defrag arbeiten problemlos mit TrueCrypt-Laufwerken zusammen. Das Umwandeln von Festplatten-Partitionen oder USB-Sticks in verschlüsselte Laufwerke funktioniert prinzipiell genauso, es gilt im zweiten Schritt lediglich eine vorhandene Partition auszuwählen. TrueCrypt verschlüsselt auch dynamische Datenträger. Allerdings bedarf es eines Neustarts nach dem Anlegen von dynamischen Laufwerken, ehe der Volume Creation Wizard diese anzeigt. Dort tauchen außerdem alle Laufwerke auf, die zu einem dynamischen Datenträger gehören. Es reicht aber aus, ein Laufwerk auszuwählen, um den kompletten Datenträger zu verschlüsseln.
Mata Hari
Eine TrueCrypt-Image-Datei lässt sich nicht als solche identifizieren. Sie enthält keine Signatur oder andere Byte-Folgen, anhand derer sie sich als verschlüsseltes Laufwerk erkennen ließe. Selbst TrueCrypt kann nur durch einen Mount-Versuch feststellen, ob es eines seiner Images vor sich hat. Das ist auch der Grund, warum die Funktion "Auto-Mount Devices", die alle vorhandenen TrueCrypt-Partitionen einhängt, so langsam arbeitet - sie muss eben alle Partitionen probe-mounten. Die Software erwartet keine Dateinamensendungen bei Image-Dateien. Zwar ist .tc offiziell mit TrueCrypt assoziiert, die Software funktioniert aber ebenso, wenn man Images beispielsweise die Endung .jpg verpasst.
![Bild 5 [250 x 154 Pixel @ 10,7 KB]](https://www.heise.de/altcms_bilder/58723/5_hires.jpg)
Beim Anlegen von verschlüsselten Laufwerken und Partitionen hilft dem Anwender ein Assistent.
Auch ein vom Wizard "hidden TrueCrypt volume" genanntes Laufwerk macht es Angreifern schwerer, an Daten zu gelangen. Ein verstecktes Laufwerk befindet sich innerhalb eines anderen. Da auf einem TrueCrypt-Laufwerk stets auch der unbenutzte Platz mit Zufallsdaten gefüllt ist, kann man nicht erkennen, ob ein Image noch ein verstecktes Laufwerk oder nur Leerdaten enthält. Das versteckte Laufwerk muss mit einem anderen Passwort als das äußere Image gesichert sein, da das Kennwort beim Mounten entscheidet, welches Laufwerk die Software einbinden soll. Die Entwickler haben durch Einsatz von Non-Paged-Speicher dafür Sorge getragen, dass keine Image-Passwörter oder -Schlüssel in der Auslagerungsdatei landen. Dateien, die sich in Bearbeitung befinden, etwa ein Word-Dokument, liegen jedoch in unverschlüsselter Form im Arbeitsspeicher und TrueCrypt kann nicht verhindern, dass dieser Teil vom System bei Bedarf in die Auslagerungsdatei umgebettet wird. Möchte man das vermeiden, empfehlen die Entwickler, die Auslagerungsdatei während des Einsatzes eines TrueCrypt-Volumes im Reiter "Erweitert" der Eigenschaften des Arbeitsplatzes auszuschalten. Wer dies nicht tun möchte, etwa weil sein PC nicht genügend Arbeitsspeicher eingebaut hat oder Software nutzt, die ohne virtuellen Speicher nicht arbeitet, kann zumindest durch Setzen des Registry-Schlüssel "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown" auf 1 Windows anweisen, beim Herunterfahren die Auslagerungsdaten mit Nullen zu überschreiben. Das Umsetzen der Auslagerungsdatei auf ein TrueCrypt-Laufwerk ist nicht möglich.
Auch beim Aktivieren des Ruhezustandes (Suspend to disk, Hibernation) kann TrueCrypt nicht verhindern, dass Daten aus einem Image unverschlüsselt auf der Festplatte landen.
Unterwegs
TrueCrypt kann seine Dateien auch als Laufwerke einbinden, wenn sie sich auf einem schreibgeschützten Medium wie CD oder DVD befinden. Unter Windows 2000 muss dann allerdings auf dem Medium FAT32 verwendet werden, da dieses Betriebssystem NFTS nicht schreibgeschützt mounten kann.
Da die Verschlüsselungssoftware auch ohne Installation arbeitet, wenn der Benutzer mit Administratorrechten angemeldet ist, kann man zu einem Image auch gleich das Verzeichnis "Setup Files" aus dem TrueCrypt-Zip-Archiv mit auf das optische Medium brennen. So hat man immer alles dabei, um auf verschlüsselte Daten zugreifen zu können. Gestartet wird die Software über TrueCrypt.exe. Es lässt sich auch in Windows PE, einem von CD startenden Windows, integrieren.
Die Funktion "Traveller Disk Setup" aus dem Tools-Menü kopiert das eigentliche Programm TrueCrypt.exe, den Wizard "TrueCrypt Format.exe" und den Treiber truecrypt.sys in ein Verzeichnis, das man auf die oberste Ebene einer CD/DVD-R brennen kann. Möchte man keine neuen Laufwerke erstellen, spart man durch Weglassen des Wizard Platz. Mehr als bescheidene 1,1 MByte kommen jedoch so oder so nicht zusammen.
Auf Wunsch erstellt dieses Setup auch auch eine autorun.inf, um - sofern die Funktion auf einem Rechner aktiviert ist - entweder TrueCrypt direkt nach dem Einlegen des Mediums zu starten oder das mitgegebene Image zu mounten - nach Passworteingabe, versteht sich. (adb)
Dieser Artikel beschreibt Truecrypt in der Version 3.1. Im November 2005 ist die Version 4.0 von Truecrypt erschienen.
|
