Artikel Datenbank

[GrayGhost]

USB Stick verschlüsseln

TrueCrypt kann in einem sogenannten "traveller mode" betrieben werden. Das bedeutet, dass TrueCrypt nicht auf dem Betriebssystem installiert sein muss, von dem aus auf den USB Stick zugegriffen werden soll. Allerdings gibt es zwei Dinge zu beachten:

1. Du brauchst für den Zugriff auf den USB Stick Administrator Rechte
2. Eine Analyse der Registry kann verraten, dass ein TrueCrypt Volume auf dem Rechner gemountet war.

Es gibt zwei Wege TrueCrypt im "traveller mode" zu betreiben:

1. Du kannst das binäre Archive entpacken und das TrueCrypt executeable (TrueCrypt.exe) direkt ausführen
2. Du kannst die Funktion "Traveller Disk erstellen" verwenden um eine spezielle "Traveller Disk" anzulegen.

Die zweite Option bietet eine Reihe von Vorteilen und soll im folgenden beschrieben werden.


Einrichten der Traveller Disk
Aufgerufen wird der Assistent über Extras > Traveller Disk erstellen ...". Dieser Assistent erzeugt kein verschüsseltes Volume, sondern ein unverschlüsseltes. Dieses Traveller Disk Volume beinhaltet das ausführbare TrueCrypt Programm und optional das "autorun.inf" script. Der Dialog des Assistenten bietet einige Einstellungsmöglichkeiten:


Assistent für die Erstellung von TrueCrypt-Volumes mitkopieren
Diese Option brauchst du nur dann, wenn du über den USB Stick auf dem Zielrechner neue verschlüsselte Laufwerke oder Container anlegen willst. Um Speicherplatz auf dem Stick zu sparen, solltest du diese Option nicht auswählen.


Autostart-Konfigutration (autorun.inf)
In diesem Abschnitt kannst du den Stick so konfigurieren, dass TrueCrypt beim Anstecken automatisch ausgeführt wird oder dass ein TrueCrypt Volume automatisch gemountet wird. Erreicht wird dies durch die Erzeugung eines "autorun.inf" scripts, welches mit auf den USB Stick geschrieben wird. Das script wird vom Betriebssystem automatisch ausgeführt, wenn der USB Stick eingesteckt wird.

Diese Funktion kann nur auf Wechseldatenträgern wie USB-Sticks und auf CD/DVDs angewendet werden. Bei der Anwendung auf USB Sticks müssen als Betriebssystem Windows XP SP2 oder Windows Vista zur Verfügung stehen und die Autorun Funktion muss aktiviert sein. Beachte bitte auch, dass die autorun.inf im Wurzelverzeichnis des Datenträgers stehen muss.


Erstellung eines verschlüsselten Containers auf dem USB Stick
Ich wähle für dieses Tutorial die Option "TrueCrypt starten". Starte das Programm TrueCrypt. Öffne im Hautmenü die Option "Extras" > "Traveller Disk erstellen...".
Wähle deinen USB Stick über die Taste [Durchsuchen] aus, deaktiviere die Option "Assistent für die Erstellung von TrueCrypt-Volumes mitkopieren" und selektiere die Option "TrueCrypt starten". Betätige die Taste [Erstellen] um den Process zu starten.



Es öffnet sich nun ein Assistent, der dich durch die Konfiguration führt. Ich belasse die voreingestellte Option "Normales Trucrypt-Volume erstellen. Lies dir bitte den Text unter "Wichtig" aufmerksam durch und vergesse nicht für ca. 30 Sekunden den Mauszeiger innerhalb des folgenden Dialogs zu bewegen.



Die Taste [Weiter] führt dich zu einem Dialog in dem du angeben musst, wo sich der zu erstellende Container befinden soll. Hier habe ich natürlich meinen USB Stick gewählt. Ich kann in diesem Dialog erkennen, dass TrueCrypt die autorun.inf sowie einen Ordner mit den Programmdateien angelegt hat. Unten gebe ich nun in das Fenster "Dateiname" einen Namen für den Container an. Einfallsreich wie ich bin, nenne ich ihn "container". Wenn du magst, kannst du dem Namen auch noch eine beliebige Endung anfügen. Wie wäre es mit "dump.dat", oder "message.log"?



Die Taste [Speichern] führt dich in den nächsten Dialog, in dem du kontrollierst, ob der Volume Speicherort richtig angegeben ist. Gegebenenfalls musst du ihn über die Taste [Datei] anpassen.



Betätige die Taste [Weiter>] um in den Dialog zu gelangen, in dem du den Verschlüsselungsalgorithmus auswählen kannst. AES ist hier voreingestellt und die beste Wahl wenn es um Sicherheit und Geschwindigkeit geht. Die anderen Optionen erhöhen zwar noch einmal die Sicherheit, reduzieren aber dramatisch die Geschwindigkeit. Wie die englische Erklärung sagt, verwendet die amerikanische Regierung diesen Algorithmus zur Verschlüsselung geheimer Daten. Das sollte dann auch für dich gut genug sein



Die Taste [Weiter>] öffnet nun den Dialog in dem du die Größe des Containers angeben musst. Unterhalb des Eingabefeldes zeigt dir TrueCrypt an, wieviel Speicherplatz auf dem Datenträger zur Verfügung steht. Ich wähle hier 900 MB aus und lasse mir so noch 80 unverschlüsselte Megabytes auf dem Stick.



Über die Taste [Weiter>] gelangst du nun zum Dialog in dem du dein Kennwort eingeben musst. Ich brauche wohl nicht zu sagen, dass die Sicherheit der Verschlüsselung mit der Länge des Kennworts wächst. Der Dialog gibt eine ausführliche Anleitung für die Erstellung sicherer Kennworte. Da ich keine besondere Paranoia habe, verzichte ich auf zusätzliche Schlüsseldateien und verzichte hier auf eine Anleitung, wie diese zu erstellen und anzuwenden sind.



Nun sind wir soweit mit der Erstellung des Volumes zu beginnen. Betätige die Taste [Weiter>] um in den Volume-Format Dialog zu gelangen. In diesem belässt du die Voreinstellungen und klickst auf die Taste [Format].



Damit ist die Erstellung eines TrueCrypt Traveller USB Sticks mit verschlüsseltem Conainer abgeschlossen. Im Folgenden werde ich dir noch zeigen, die der USB Stick anzuwenden ist.


Handhabung des verschlüsselten USB Sticks
Wenn auf dem Rechner, an den du den Stick anschließt, die Autostart Funktion konfiguriert ist, wird kurz nach dem Einstecken der bekannte Windows Autostart Dialog erscheinen. Dieser enthält eine Option um TrueCrypt zu starten. Markiere die Option und klicke auf die Taste [OK].



Der sich öffnende TrueCrypt Dialog zeigt dir im oberen Bereich die Liste der freien Laufwerksbuchstaben an. Diese Liste ist bei meinem Rechner schon erschreckend kurz geworden .
Du musst jetzt dem zu öffnenden Container einen freien Buchstaben zuweisen. Auf diesen Buchstaben wird dann das verschlüsselte Volume gemountet. Ich habe den Buchstaben X: ausgewählt.



Klicke nun auf die Taste [Datei] um die Containerdatei auszuwählen.



Offne deinen USB Stick, markiere deine Containerdatei und betätige die Taste [Öffnen]. Damit bist du zurück im TrueCrypt Dialog.



Nun mountest du das verschlüsselte Volume über einen Klick auf die Taste [Einbinden]. Es öffnet sich ein Dialog für die Eingabe deines Kennworts. Gib das Kennwort ein und bestätige die Eingabe mit [OK].



Du bist nun wieder zurück im TrueCrypt Dialog. Dir wird auffallen, dass nun hinter dem zuvor selektierten Laufwerksbuchstaben der Pfad zu deiner Containerdatei eigetragen ist und das sich die Taste [Einbinden] in [Trennen] verändert hat. In meinem Beispiel habe ich noch ein verschlüsseltes Verzeichnis meiner externen USB Platte eingebunden. Du kannst diesen Dialog jetzt schliessen. Die eingebundenen Volumes bleiben gemountet. Das der TrueCrypt Prozess noch läuft, kannst du im Systray sehen. Im Dateiexplorer siehst du den USB Stick als Laufwerk sowie dein Verschlüsseltes Volume unter dem von dir gewählten Buchstaben.




Trennen eines verschlüsselten Volumes
Wenn du das verschlüsselte Verzeichnis schliessen möchtest, dann musst du dieses trennen. Dazu klickst du das TrueCrypt Icon im Systray mit der rechten Maustaste an und wählst die Option "Trennen" für deinen Container an.



Kommentare und Ergänzungen willkommen.
MfG Erhard Olszok aka GrayGhost