Sicher ist sicher

Die Vorstellung, dass persönliche oder wichtige Daten fremden Leuten in die Hände fallen ist sicherlich keine schöne. Sei es auf dem heimischen PC, dem Notebook oder auf einem USB-Stick - bestimmte Sachen möchte man einfach für sich behalten. Aber ein Notebook kann gestohlen, ein USB-Stick unachtsam liegengelassen werden - dies ist an sich schon ärgerlich genug. Wenn man dann aber noch befürchten muss, dass Fremde nun die persönlichen Dokumente einsehen können ist das in einige Fällen eventuell noch unangenehmer als der materiale Schaden.

Um sich das zu ersparen kann man seine Daten verschlüsselt ablegen und transportieren. TrueCrypt bietet im Prinzip alles, was man dafür braucht. Die einfachste Variante ist ein sogenannter Container in dem die Dateien und Ordner abgelegt werden, die verschlüsselt werden sollen. Der Container selbst ist entweder selbst eine Datei oder eine ganze Festplattenpartition, die von TrueCrypt entsprechend umgewandelt wurde. In beiden Fällen wird ein solcher Container als Laufwerk eingebunden und kann dementsprechend auch wie ein solches verwendet werden. Die Daten werden dabei "on-the-fly" ent- und verschlüsselt - der Benutzer bekommt davon während der regulären Arbeit mit dem System absolut nichts mit.

Relativ neu ist die Systemverschlüsselung von TrueCrypt. Die Idee ist simpel: Statt einen oder mehrere Container für wichtige Dateien zu schaffen wird einfach das komplette System, auf Wunsch auch gleich mit allen anderen Partitionen der Festplatte, verschlüsselt. Unterstützt werden hier unter anderem Windows XP und Vista.

Ein Container ist schnell erstellt. TrueCrypt bietet entsprechende Assistenten für die wichtigsten Vorgänge an. Die Oberfläche ist, wie auf den Screenshots auch ersichtlich, in deutsch verfügbar - allerdings muss man sich die benötigte XML-Sprachdatei dafür noch extra herunterladen und in das Installationsverzeichnis kopieren. Es ginge sicherlich auch einfacher.

Grundsätzlich wird zunächst bestimmt ob man ein "normales" oder ein verstecktes Volumen (Container) erstellen möchte. Das versteckte Volumen ist ein Container in einem Container - wobei der äußere Container lediglich als Tarnung dient und selbst keine wichtigen Daten enthält. All diese Dinge sind hervorragend dokumentiert - leider aber in den meisten Fällen nur auf englisch.

Nachdem man den Speicherort festgelegt hat kann man die Art der Verschlüsselung festlegen - ein eingebauter Benchmark erlaubt einem direkt festzustellen welcher Verschlüsselungsstärke welche Performance bietet. Diesbezüglich lässt sich übrigens festhalten, dass mit einem halbwegs aktuellen Rechner subjektiv kein Unterschied zu einem unverschlüsselten Laufwerk feststellbar ist (AES Verschlüsselung).

Nach der Festlegung der Größe des Containers kommt man zu einem weiteren wesentlichen Punkt - dem Schlüssel. TrueCrypt bietet hier die Wahl entweder ein Kennwort zu vergeben, ein oder mehrere Keyfiles zu verwenden (welches man sich z.B. auf einen USB-Stick kopieren kann) oder beide Möglichkeiten in Kombinationen (das Öffnen des Containers ist dann nur mit Kennwort und Schlüsseldatei möglich). Als Schlüsseldateien sind im Prinzip jegliche Dateien geeignet - es werden aber in jedem Fall nur die ersten 1024 KB verwendet. Es besteht auch die Möglichkeit ganze Verzeichnisse bzw. deren Inhalt als Schlüssel zu verwenden. Dies kann aber zu Problemen führen wenn dort unbemerkt eine Datei hineingerät - z.B. in Form einer automatisch erzeugten Systemdatei. Der Container lässt sich dann natürlich erstmal nicht mehr öffnen.

Bei der abschließenden Formatierung des Containers wird dieser zunächst komplett mit zufälligen Daten überschrieben - es soll ja von außen niemand feststellen können ob er nun bis oben hin voll mit persönlichen Dateien ist oder evtl. noch komplett leer.

Seit der Version 5.0 bietet TrueCrypt die Möglichkeit das komplette Betriebssystem bzw. die Partition auf der es installiert ist zu verschlüsseln. Optional lässt sich diese Verschlüsselung auf die komplette Festplatte erweitern - leider jedoch nicht auf andere Festplatten die noch im System stecken sollten.

Prinzipiell unterscheidet sich die Systemverschlüsselung nicht von der schon beschriebenen Verschlüsselung einzelner Container. Der Unterschied liegt vor allem darin, dass ein Bootloader installiert werden muss, der sich noch vor Windows in den Bootprozess "einklinkt". Desweiteren können für die Systemverschlüsselung zur Zeit nur Passwörter und keine Keyfiles als Schlüssel verwendet werden. Die Verschlüsselung des System ist problemlos nachträglich und sogar während dem Betrieb möglich. Es ist ebenfalls möglich das System wieder komplett zu entschlüsseln.

Da dem TrueCrypt Bootloader in solch einer Konfiguration eine essenzielle Bedeutung zukommt, wurde auch entsprechend vorgesorgt: Im Verlauf des Assistenten für die Systemverschlüsselung wird eine entsprechende Rescue-CD bzw. ein Image erzeugt, welches nach dem Brennen auch nochmal von besagtem Assistenten auf Lesbarkeit überprüft wird. Diese CD dient dann als Notnagel falls das Hochfahren von der Festplatte aus irgendeinem Grund nicht mehr möglich sein sollte.

Hat man diese (sinnvolle) Hürde genommen wird noch eine "Trockenübung" durchgeführt. TrueCrypt installiert den Bootloader zunächst ohne weitere Funktion und man muss sogleich das System frisch starten um zu testen ob der Bootloader korrekt funktioniert. Klappt das ebenfalls steht der Verschlüsselung nun zumindest Seitens des Assistenten nichts mehr im Weg. (cf)