TrueCrypt installieren
Aus aktuellem Anlaß habe ich mich mal näher mit der Verschlüsselung meiner Daten beschäftigt. Sowohl im Büro als auch privat ist das – wenn auch aus unterschiedlichen Gründen – ein Thema. Ich habe definitiv nichts zu verbergen und exhibitioniere mich im Netz ja durchaus mehr, als es viele Freunde und Bekannte je tun würden, aber der entscheidende Punkt ist, dass *ich* selbst entscheide *welche Daten von mir* ich frei geben möchte. Was ich aber überhaupt gar nicht verknusen könnte ist, wenn – aus welchem Grund auch immer – ein Dritter in meinem Daten rumschnüffeln würde. Oder findet ihr es toll, wenn jemand bei einem Einbruch die Kleiderschränke durchwühlt? Die Klamotten zieht ihr ganz öffentlich an, aber wenn sich die jemand ohne euer Wissen ansieht oder durchwühlt ist Trara angesagt. Da wird dann in der Presse sogar von „traumatischen Folgen“ geschrieben. So eine Durchsuchung des PC ist aber in Ordnung, oder? Ne, nicht mit mir! Den Kleiderschrank kann ich nicht sicher verschließen, den kriegt man immer auf. Aber für die Daten auf dem PC gibt es tatsächlich ziemlich sichere und einfache Methoden, um ungebetene Gäste auszusperren!
TrueCrypt ist das Mittel der Wahl. Das kostenlose Open-Source Programm verschlüsselt defintiv sicher eure Daten. Sei es die ganze Festplatte oder einzelne Ordner. Am bequemsten und sichersten ist die Verschlüsselung der kompletten Festplatte. In der Regel hat ja so ein Rechner, wenn man ihn frisch vom Aldi Händler geholt hat, ein Laufwerk C und da liegt dann alles drauf. Bei mir ist das etwas anders, weil ich mehrere Platten im Rechner habe und die auch noch partitioniert sind. Zum Ausprobieren und Reinfuchsen habe ich daher den kleinen EeePC genommen. U.a. auch, weil so ein Laptop natürlich noch viel leichter ungewollt Dritten in die Hände gelangen kann.
TrueCrypt bietet die Möglichkeit, die System-Partition im laufenden Betrieb zu verschlüsseln. Das ist meiner Meinung nach für die meisten Benutzer die empfehlenswerteste Option. Keine Probleme mit dem Ein- oder Aushängen von Laufwerken – es ist schlicht alles gesichert. Lediglich ein Brenner sollte angeschlossen sein, weil im Zuge der Verschlüsselung eine Key-CD gebrannt wird, mit dem man im Fall der Fälle was retten kann. Das war zunächst bei dem Netbook ein Problem – welches sich aber nebenbei lösen ließ. Der Ablauf der Verschlüsselungsaktion ist kindergartenleicht. Im Prinzip folgt man den Anweisungen des Programms und hat – je nach Rechnerleistung und Größe der Festplatte – nach einer halben Stunde eine in absehbarer Zeit nicht knackbare Verschlüsselung seines Rechners. Nur um eines kommt man danach nicht mehr herum: zum Starten des PC muß zwingend jedesmal das Passwort eingegeben werden – würde ja sonst auch keinen Sinn machen.
Weitere Laufwerke
Bleibt noch das Problem von mehreren Laufwerken. Ich habe noch eine Partition D:, E: und F: … analog habe ich auf dem EeePC der eingelegten SD-Karte einen Laufwerksbuchstaben verpasst und aus Platzgründen die „eigenen Dateien“ dorthin verlegt. Würde ja Sinn machen, diese auch zu schützen. Sonst nimmt einfach jemand die Karte und liest sie an einem anderen Rechner aus. Das Verschlüsseln an sich ist kein Problem, wenn auch nicht ganz so simpel wie das der Systempartition. Weil hier nicht im laufenden Betrieb verschlüsselt werden kann.
TrueCrypt legt einen sogenannten Container an und speichert darin die verschlüsselten Daten. Dieser Container kann durchaus auch die ganze Partition sein, nur muß diese dazu leer sein. Also habe ich zunächst den Inhalt der SD-Karte auf die bereits verschlüsselte Platte C: kopiert. Danach mittels TrueCrypt aus der SD-Karte einen verschlüsselten Container gemacht und diesen „gemounted“ – sprich: einen Laufwerksbuchstaben zugeordnet. Dieses Laufwerk kann man nun genauso benutzen wie eine normale Festplatte. Also die vorher dort befindlichen Daten wieder zurück kopiert. Dabei werden sie dann automatisch verschlüsselt. Bestens!
Die Sache hat aber einen Haken: diese verschlüsselten Container werden nicht automatisch verbunden! Man muß nach einem Neustart also mit TrueCrypt dem verschlüsselten Container wieder einen Buchstaben zuweisen. Welcher das ist, kann gespeichert werden – man muß nur zusätzlich das Passwort eingeben. Das ist bei den „eigenen Dateien“ ein wenig unkomfortabel!
Besser wäre automatisch! Und das geht mit ein paar Handgriffen. Dabei macht man sich ein Tool namens runassvc zunutze. Das Programm erlaubt es, Programme als „Dienst“ auszuführen. TruCrypt kann per Kommandozeile bedient werden und ermöglicht es so, eine Batchdatei zu erstellen. Diese kann dann per „runassvc“ als Dienst installiert werden und somit vor der eigentlichen Benutzeranmeldung ausgeführt werden.
In dieser Batchdatei steht nur der Aufruf von TrueCrypt mit den entsprechenden Parametern des verschlüsselten Containers und dem zuzuordnenden Laufwerksbuchstaben:c:\programme\truecrypt\truecrypt.exe /password „Dein Passwortsatz“ /volume \Device\Harddisk1\Partition1 /letter „H“ /quit HUI! schreien jetzt alle! Da steht ja dann das Passwort im Klartext. Ja, tut es. Aber es liegt sinnvollerweise auf der verschlüsselten Systempartition, an die nur derjenige herankommt, der das Passwort kennt. Angreifbar ist das also nur, wenn jemand den eingeschalteten und nicht gesperrten PC im Zugriff hat. Und man kann das auch noch etwas verfeinern! Mit AutoIT kann man aus dieser im Klartext lesbaren Batchdatei eine EXE machen, die man dann schon nicht mehr so mir nichts Dir nichts auslesen kann.
Die so erzeugte ausführbare Programmdatei legt man irgendwo halbwegs versteckt auf dem Rechner ab, und lässt sie mit „runassvc“ als Dienst ausführen. Dann muß schon jemand ganz genau wissen, dass und wie ihr den PC gesichert habt, um das Passwort zu decompilieren.
Der Erfolg ist ein PC, bei dem man beim Starten einmal das TrueCrypt-Passwort eingibt und der dann ganz normal bootet und euch alle Partitionen wie vorher zur Verfügung stellt. Und wenn die Kiste aus ist, kommt niemand an die Festplatten mehr dran! So soll es sein. Klappt bei meinem EeePC ausgezeichnet und ich werde die restlichen Kisten hier genauso bearbeiten.
Hoffentlich geht das nicht mal „in die Hose“… *schock*
Wie sieht es mit Deiner Laufwerksperformance aus, nachdem Truecrypt alles verschlüsselt hat? Ich hatte es auch einmal auf meinem Netbook installiert. Dabei ist mir alles deutlich träger vorgekommen und letztendlich habe ich es wieder entfernt.
@Gucky: Was sollte da in die Hose gehen?
@info: Ich kann bei den Sachen, die ich mit der Kiste mache, keine Einbußen bemerken. „Trackmania“ läuft auf dem EeePC eh nicht flüssig. Im Internet rumdaddeln, mailen, Bilder bearbeiten usw. geht subjektiv genauso schnell wie vorher.
Ich habe allerdings die originale 8Gig SSD gleich zu Beginn gegen eine 16Gig-Runcore ausgetauscht. Mit der Twofish-Verschlüsselung wirft der Benchmark nu 29MB/s lesend aus. Das scheint mir für den normalen Betrieb ausreichen auf dem Netbook.
Heute abend nehme ich mir mal den ThinkPad T42 vor.
KEY-CD:
"Das war zunächst bei dem Netbook ein Problem – welches sich aber nebenbei lösen ließ."
WIE ließ sich das lösen? Ich habe das mehrfach erfolglos versucht und wäre über Hinweise sehr dankbar.
Das mit dem CD-Brenner? Nun, ganz pragmatisch: ich habe einfach einen rumliegenden externen Brenner per USB angeschlossen.
Wenn das nicht geklappt hätte, hätte ich versucht das ISO mittels Daemon-Tools als virtuelle CD zu mounten. Ob das klappt, habe ich noch nicht probiert.