Gleich vorweg: Verschlüsselung ist nicht kompliziert und kann von jedem/jeder benutzt werden. Mit TrueCrypt sind die grundlegenden Funktionen sogar ausgesprochen einfach und komfortabel und doch sehr sehr sicher. Wer mit Word einen Brief schreiben und ausdrucken kann, kann auch mit TrueCrypt (kurz TC) Daten verschlüsseln. Und vielleicht macht es manchem sogar ein bißchen Spaß
Diese Anleitung behandelt die Grundlagen von TC und ist an alle Einsteiger, Unentschlosene und Skeptiker gerichtet.
Bitte verschlüsselt auf jeden Fall alle GL-bezogenen Daten, wie z.B. Zugangsdaten für dieses Forum, Kontaktdaten zu anderen GL, Notizen, Briefe usw. Damit schützt ihr nicht nur euch selbst sondern auch andere Leute. Vielleicht befürchten manche von Euch keine Hausdurchsuchung und liegen damit richtig, aber ihr könnt es nicht mit echter Gewisheit wissen. Außerdem können Eure Daten auch verloren gehen (z.B. mitsamt dem USB-Stick), geklaut werden (Laptop). Oder es lesen Unbefugte absichtlich oder durch Zufall in Euren Daten (Partner, Mitbewohner, Kinder, Kollegen, Freunde).
Wie läuft die Verschlüsselung mit TC grundsätzlich ab?
Wir beginnen mit den einfachsten und grundsätzlichen Funktionen und lassen alles, was nicht unbedingt nötig ist, erstmal beiseite. Optimale Sicherheit ist natürlich trotzdem gewährleistet.
Wir erstellen mit TC als erstes eine verschlüsselte Container-Datei. Diese Datei kann man mit einem Tresor vergleichen. Ob er innen leer oder voll ist, kann man von außen nicht erkennen. Die Container-Datei scheint immer aus absolut zufälligem Zeichensalat zu bestehen, egal ob sie bereits mit euren Daten gefüllt ist oder nicht. Mit TC könnt ihr die Datei öffnen. Dazu braucht ihr ein Passwort. Jetzt wäre also euer Tresor offen. Wenn ihr Daten reintut werden sie von TC im Hintergrund sofort verschlüsselt; wenn ihr Daten rausnehmt, werden sie ebenso "on-the-fly" im Hintergrund entschlüsselt. Tresor zumachen und fertig!
Die Container-Datei kann man mit einem virtuellen USB-Stick vergleichen. Wenn man sie mit TC öffnet und das richtige Passwort eintippt erscheint ein neues Laufwerk. Dieses Laufwerk verhält sich genauso wie eine Festplatte oder ein USB-Stick. Alles, was ihr in dieses Laufwerk speichert wird sofort von TC verschlüsselt und in die zugehörige Container-Datei reingeschrieben. Wenn ihr Dateien von diesem Laufwerk öffnet oder woanders hinkopiert werden die Daten aus der Container-Datei herausgelesen und entschlüsselt. Sobald ihr das Laufwerk in TC wieder abmeldet, verschwindet das Laufwerk und übrig bleibt die verschlüsselte Container-Datei, mit der keiner außer euch was anfangen kann.
Bevor es jetzt richtug los geht noch drei kleine Infos:
1. TC ist kostenlos und wird es auch immer bleiben.
2. TC benutzt nur anerkannte und weit verbreitete Verschlüsselungsmethoden, die derzeit und auf längere Zukunft als unknackbar gelten.
3. Es gibt keine Hintertüren (auch nicht für BKA, CIA und Co.). Der einzig mögliche Zugang zum Inhalt des Tresors besteht durch Öffnen der Tür. D.h. wer das Passwort vergessen hat, hat keine Aussicht mehr, an die Daten ran zu kommen. Umgekehrt aber: wer "123" oder "passwort" als Passwort wählt, muß befürchten, dass ein Angreifer die Tür des Tresors öffnen kann.
So, und nun gehts los:
Wenn noch nicht geschehen, laden wir uns jetzt TC von der Webseite runter:
http://www.truecrypt.org/
Wichtig: Bitte ladest Euch TC nur von dieser Seite runter und nicht von sonst irgendwo.
Unter "Download" finden wir die aktuelle Version für Windows, Mac und Linux. Unter Documentation eine umfangreiche englische Anleitung. TC selbst ist in englisch. Es gibt "Language-Packs" auch in deutsch für Windows. Damit habe ich aber keine Erfahrung. Wer dazu Hilfe benötigt, schreibt mir einfach eine Mail, ebenso wer beim Installieren Hilfe braucht.
Nach dem Öffnen sehen wir das Hauptfenster. Wir erstellen nun eine neue verschlüsselte Container-Datei und drücken dazu auf "Create Volume". Es öffnet sich ein "Wizard", der einen Schritt für Schritt anleitet. Ich werde jetzt nur die relavanten Punkte ansprechen, alles was ich nicht erwähne, sollte so bleiben, wie es bereits voreingestellt ist. Los gehts:
Wir wählen den bereits voreingestellten Punkt "Create an encrypted file container" und drücken "next".
Dann wählen wir "Standard TrueCrypt Volume" und "next".
Jetzt wird mit "Select File..." der Speicherort der neuen Container-Datei festgelegt und der Name vergeben.
Achtung: Bitte KEINE bereits bestehende Datei auswählen! Diese würde nicht verschlüsselt werden, sondern gelöscht werden und durch die neue Container-Datei ersetzt werden!
Ihr könnt jeden beliebigen Namen wählen. Auch die Dateiendung spielt keine Rolle, alles ist erlaubt, auch gar keine Dateiendung. Weiter mit "next".
Jetzt wird der Verschlüsselungsalgorithmus und der Hash-Algorithmus ausgewählt. Voreingestellt sind "AES" und "RIPEMD-160". Das ist so in Ordnung und muß nicht verändert werden. Bitte "next".
Als nächstes wird die Größe der Container-Datei bestimmt. Das ist dann auch die Größe des verschlüsselten Laufwerks. Die Größe kann nachträglich nicht verändert werden.
Als nächstes wird das Passwort festgelegt. Zur Sicherheit wird es zweimal eingegeben. Mit "Display Password" kann man sich anzeigen lassen, was man tippt.
Ein gutes Passwort hat meiner Meinung nach einen so hohen Stellenwert, dass ich dazu demnächst ein eigenes Thema widmen möchte. Aber schon mal vorweg: Bitte mindestens 10 Zeichen, besser mehr. Keine Begriffe, die im Wörterbuch stehen, keine Namen, mindestens eine Zahl und ein Sonderzeichen, bitte Groß- und Kleinschrift.
Das Passwort kann nachträglich jederzeit geändert werden.
Als nächstes kann man das Dateisystem wählen (Filesystem), das das verschlüsselte Laufwerk haben soll. Voreingestellt ist FAT, was in den meisten Fällen in Ordnung sein sollte. Wer hierzu Fragen haben sollte, schreibt mir gerne eine Mail.
Zur Verschlüsselung benötigt TC eine große Zufallszahl. Diese wird mathematisch ermittelt, jede Mausbewegung im "Wizard"-Fenster" nimmt nun Einfluß auf die Zufälligkeit. TC empfielt daher, einige Sekunden lang mit der Maus irgendwie in dem Fenster rumzukurven.
Dann bitte auf "Format" drücken.
Ist der Fortschrittsbalken durch, muß die Meldung "TrueCrypt-Volume has been succesfully created" erscheinen.
Jetzt noch auf "Exit" drücken und die Container-Datei ist fertig.
Nun wollen wir die Container-Datei von TC als Laufwerk einbinden lassen:
Im TC-Hauptfenster mit dem Knopf "Select File..." die Conatiner-Datei auswählen.
Dann im oberen Bereich des Hauptfensters einen Laufwerksbuchstaben auswählen (bei Windows) bzw. eine Slot-Nummer wählen (beim Mac). Es kann der oberste benutzt werden.
Dann den Knopf "Mount" drücken.
Jetzt bitte das Passwort eintippen und "OK" drücken.
Hinter dem in TC ausgewählten Laufwerksbuchstaben erscheinen nun ein paar Daten zu eurem verschlüsselten Laufwerk, welches jetzt zur Verfügung steht.
Windows-Benutzer können jetzt den "Arbeitsplatz" öffnen und finden dort ein neues Laufwerk mit dem Titel "Lokaler Datenträger" oder ähnlich zusammen mit dem in TC ausgewählten Laufwerksbuchstaben. Hier könnt ihr jetzt eure sensiblen Dateien reinschieben und wieder ganz normal von dort aus benutzen. Das verschlüsselte True-Crypt-Laufwerk verhält sich genauso wie es ein USB-Stick oder eine externe Festplatte tut, außer dass alles was in dieses Laufwerk reingetan wird sofort verschlüsselt wird und umgekehrt. D.h. solange das verschlüsselte Laufwerk aktiv eingebunden ist, so wie jetzt, kann jeder der psysikalischen Zugriff auf den Computer hat, auch die Daten auslesen (Tresortür steht offen).
Möchte man seine verschlüsselten Daten vor Zugriff schützen (z.B. weil man seinen Computer verlassen möchte), muß man das Laufwerk wieder abmelden und drückt dafür im TC-Hauptfenster auf "Dismount". Sobald die Informationen neben dem Laufwerksbuchstaben im TC-Hauptfenster verschwunden sind, ist das Laufwerk abgemeldet (Tresortür zu) und es kann nicht mehr auf die Daten zugegriffen werden.
Sollte der Computer mal bei geöffnetem Laufwerk abstürtzen oder sich wegen Stromausfall abschalten, besteht trotzdem volle Sicherheit, da die Daten ja wie bereits erwähnt, jederzeit in der Container-Datei verschlüsselt vorliegen.
Wie man an der großen Auswahl zur Verfügung stehenden Laufwerksbuchstaben (Windows) bzw. Slots (Mac) erkenn kann, ist auch möglich mehrere Container-Dateien gleichzeitig als verschlüsselte Laufwerke zu benutzen.
Zum Schluss noch zwei kleine aber wichtige Sicherheitsproblematiken, an den TC selbst aber unschuldig ist und von denen ihr euch bitte nicht abschrecken lasst:
1. Folgende Situation: Ihr habet bereits sensible Daten auf euren Festplatten UNverschlüsselt gespeichert. Jetzt habt ihr euch ein verschlüsseltes TC-Laufwerk eingerichtet, in das ihr nun diese Dateien reinkopiert. Soweit alles prima, aber was passiert mit den alten unverschlüsselten Dateien? Ihr könnt sie natürlich einfach in den Papierkorb schieben und ihn leeren. Dann wären die Dateien aber evtl. mit Spezial-Programmen wieder herstellbar. Um dies zu vermeiden, müssen die alten unverschlüsselten Dateien "sicher" gelöscht werden. D.h. die Dateien werden erst komplett mit sinnlosen Daten überschrieben und erst dann gelöscht. Wie dies funktioniert, werde ich in einer extra Anleitung beschreiben.
2. Öffnet ihr eine Text-Datei von Eurem verschlüsselten Laufwerk aus z.B. mit Word, kann es je nach Word-Einstellungen sein, dass Word temporäre Sicherungs-Dateien erzeugt, die aber NICHT in eurem verschlüsselten Laufwerk sondern z.B. auf Partition c: geschrieben werden. Auch wenn Word diese temporären Dateien beim Schließen selber wieder löscht, lassen sich diese Dateien mit speziellen Programmen evtl. wieder herstellen. Eine der Lösungen liegt in der richtigen Einstellung der anderen verwendeten Programme.
Auf eine andere Lösung und auf weitere gute Funktionen von TC möchte ich in einer folgenden Anleitung "TC für Fortgeschrittene" eingehen.
Kleiner Tipp: In einem anderen Forum kann man immer wieder lesen, dass Leute ihre Daten mit TC und einem super Passwort verschlüsseln und dann das Passwort vergessen. Deshalb empfehle ich, das Ganze zuerst nur mit unwichtigen Daten in Ruhe auszuprobieren bis die Abläufe und das Passwort ins Blut übergegangen sind.
Wenn ihr sensible Daten ab jetzt auf diese Art verschlüsselt, habt ihr bereits unwahrscheinlich viel für eure Sicherheit und Privatsphäre getan. Das wird euch zu Gute kommen - anderen GLs indirekt aber auch.
Es ist unbestritten ein Mehraufwand, der sich aber meiner Meinung nach für viele GLs lohnen dürfte. Auch wenn man gar nichts "verbrochen" hat! Und wenn man mal einem Blick auf die historische Entwicklung der Verschlüsselung wirft, wird man/frau schnell erkennen, dass solcher Datenschutz noch nie so einfach und so sicher war wie heute.
Und nun wünsche ich allen GLs viel Spaß bei Verschlüsseln!
(ich habe ihn auf jeden Fall)
Fragen und Anregungen sind immer willkommen! Bitte an meine Mail-Adresse in der Signatur.
