auf Facebook teilen auf Google+ teilen auf LinkedIn teilen auf Pinterest teilen twittern
Werbehinweise
» Startseite » Blog » TrueCrypt: Eine komplette Partition bzw. Festplatte verschlüsseln 

Blog

August 2017 April 2017 März 2017 Februar 2017 Dezember 2016 Juli 2016 Februar 2016 Januar 2016 Oktober 2015 Juli 2015 Juni 2015 März 2015 Januar 2015 Dezember 2014 November 2014 Oktober 2014 September 2014 Juni 2014 April 2014 März 2014 Februar 2014 Januar 2014 Dezember 2013 November 2013 Oktober 2013 August 2013 Juli 2013 März 2013 Februar 2013 Januar 2013 Dezember 2012 November 2012 Oktober 2012 September 2012 August 2012 Juli 2012 Juni 2012 Mai 2012 April 2012 März 2012 Februar 2012 Januar 2012 Dezember 2011 November 2011 Oktober 2011 September 2011 August 2011 Juli 2011 Juni 2011 Mai 2011 April 2011 März 2011 Februar 2011 Januar 2011 Dezember 2010 November 2010 Oktober 2010 September 2010 August 2010 Juli 2010 Juni 2010 Mai 2010 April 2010 März 2010 Februar 2010 Januar 2010 Dezember 2009 November 2009 Oktober 2009 September 2009 Januar 2009 Dezember 2008 November 2008 Oktober 2008 September 2008 Juni 2008 Mai 2008 April 2008 Ubuntu: Virtuelle Benutzer bei pure-ftpd verwenden TrueCrypt: Eine komplette Partition bzw. Festplatte verschlüsseln TrueCrypt: Die Grenzen von FAT32 bzw. vfat Pimp my Fahrrad – allerdings sinnvoll Vista vs. Maus TrueCrypt: NTFS und Linux? Kein Problem! Kurze-Hosen-Wetter Bregenz #1 Bregenz #2 Deppenapostroph, Apostrophitis und der X_FISH März 2008 Februar 2008 Januar 2008 Dezember 2007 November 2007 Oktober 2007 Mai 2007 Februar 2007 Januar 2007 September 2006 August 2006 Juni 2006 Mai 2006 April 2006 März 2006 Februar 2006 November 2005 Oktober 2005 September 2005 Juli 2005 Juni 2005 Mai 2005 Mai 2004 Oktober 2003 September 2003 Juli 2003 Juni 2002 Mai 2002 März 2002 Februar 2002 Januar 2002 November 2001 Oktober 2001 Juli 2001 Juni 2001 Mai 2001 März 2001 Februar 2001 Januar 2001
get Opera
get Mozilla Firefox
get Konqueror
get Mozilla Thunderbird
get Ubuntu Linux

Anzeige
ALL-INKL.COM - Webhosting Server Hosting Domain Provider

06.

April

2008

TrueCrypt: Eine komplette Partition bzw. Festplatte verschlüsseln

Schon länger wollte ich mit TrueCrypt nicht nur Container anlegen, sondern eine komplette Partition oder gar eine komplette Festplatte verschlüsseln. Nicht weil ich so hochsensible Daten haben würde, sondern vielmehr weil ich es einfach mal ausprobieren wollte.

Wie lange würde das Anlegen der verschlüsselten Partition dauern? Kann ich sowohl von Linux als auch von Windows darauf zugreifen? Gibt es Probleme mit Windows wenn ich die Datenträgerverwaltung aufrufe?

Fragen über Fragen, welche ich nun alle beantwortet bekommen habe. Die letzte sogar recht »schmerzvoll«, mehr dazu im letzten Teil dieses Blogeintrags.

Verwendet habe ich die TrueCrypt-Version 5.1a unter Linux (Ubuntu 7.10) sowie die Windows-Version von TrueCrypt, ebenfalls in der Version 5.1 in Verbindung mit Windows Vista 32 Bit. Da ich die Partition von Linux aus mit TrueCrypt bearbeitet habe, zeigen sämtliche Screenshots die Linux-Version von TrueCrypt. Da die Fenster aber so gut wie identisch sind, sollte dies für Windows-Benutzer kein Problem beim Nachvollziehen der einzelnen Schritte darstellen.

Hinweis im Dezember 2018

Die Anleitung habe ich im April 2008 geschrieben. Damals war die Version 5.1 von TrueCrypt noch aktuell und TrueCrypt wurde bis Februar 2012 kontinuierlich verbessert und bis zur Version 7.1a auf vielen Seiten ausdrücklich empfohlen.

Mit der Version 7.2 wurde im Mai 2014 die Möglichkeit zum Verschlüsseln entfernt und das Programm ausschließlich auf das Entschlüsseln früher angelegter Container und verschlüsselter Partitionen reduziert. TrueCrypt wurde seitdem auf keiner der zahlreichen Plattformen weiterentwickelt.

Als Alternative zu TrueCrypt wird VeraCrypt empfohlen. VeraCrypt kann alte TrueCrypt-Verschlüsselungen entschlüsseln und bietet ein eigenes, verbessertes Containerformat an.

Die aktuelle Version vom 12. September 2018 trägt die Versionsnummer 1.23. VeraCryt gibt es für Windows, MacOS, Linux und FreeBSD.

Die einzelnen Screenshots sind verkleinert worden damit sie in das Fenster meiner Homepage passen. Mittels einem Klick auf das jeweilige Bild kann es in originaler Größe in einem neuen Browserfenster bzw. -tab aufgerufen werden.

Die Oberfläche von TrueCrypt präsentiert sich wie seit diversen Versionen gewohnt aufgeräumt, klar und so gut wie unmissverständlich. Mittels einem Klick auf »Create Volume« gelangt man zum Dialog wie er im nächsten Bild zu sehen ist:

Natürlich möchte ich diesmal ein komplettes Laufwerk verschlüsseln und nicht nur einen Container anlegen. Daher wähle ich die komplette Festplatte aus in Form von /dev/sdb aus. Unter Windows würde die gleiche Auswahl übrigens \Device\Harddisk1 lauten.

Natürlich kann man auch eine einzelne Partition verwenden und muss nicht die komplette Festplatte auswählen.

Unerfahrenen Benutzern wird nun dazu geraten einen Container anzulegen anstatt eine komplette Partition bzw. Festplatte zu verschlüsseln. Wieso das seinen Sinn hat? Dazu später mehr. Ich habe natürlich ausgewählt das komplette Device, in meinem Fall also die komplette Festplatte verschlüsseln zu wollen und das ich mir sicher bin das ich genau das auch will.

Der nächste Schritt ist das Auswählen des Verschlüsselungsalgorhythmus. Ich habe es beim Standardeintrag, also »AES« belassen.

Nach der Bestätigung des Algorhythmus wird man aufgefordert das Passwort für die Verschlüsselung einzugeben. Man kann es später auch noch bzw. sogar mehrfach ändern, dennoch sollte man schon jetzt ein sicheres, also komplexes Passwort wählen. Ein paar Informationen wie so ein Passwort aufgebaut sein sollte (und wie nicht) sind beispielsweise hier zu finden: Security: Passwort.

TrueCrypt meldet sich unter Umständen mit der Warnung das das Passwort nicht komplex genug sei. Man kann dennoch das eigene Passwort verwenden und muss sich kein Neues ausdenken.

Das einzige zur Verfügung stehende Format ist »FAT«. Zwar ist ein Dropdown-Menü vorhanden, aber außer »None« ist kein weiterer Menüpunkt vorhanden.

Die Option »Quick format« kann aktiviert werden. In diesem Fall formatiert TrueCrypt die Partition bzw. das Laufwerk deutlich schneller, die zuvor vorhandenen Daten werden allerdings nicht so sicher gelöscht wie möglich. Ein entsprechender Warnhinweis wird von TrueCrypt bei Auswahl dieser Option automatisch eingeblendet.

Wenn man sich sicher ist die Formatierung zu starten, bestätigt man dies mit »Format«.

Anschließend kommt die übliche Warnung von wegen »Sind Sie wirklich sicher? Es werden alle vorhandenen Daten gelöscht«.

Nach dem Starten des Vorgangs ohne »Quick format« ausgewählt zu haben nicht erschrecken: Bei meiner 320 Gigabyte großen Festplatte hatte TrueCrypt zunächst 11 Stunden für das Anlegen der Partition kalkuliert gehabt. Nicht mal eine Minute später hatte sich die Anzeige dann auf 3 Stunden eingependelt welche mit der benötigten Zeit fast übereinstimmen.

Nach knapp über zwei Stunden habe ich den folgenden Screenshot aufgenommen. Die angegebenen 3 Stunden waren also korrekt kalkuliert gewesen:

Noch ein Screenshot kurz vor Schluss...

...und fertig ist das Anlegen des verschlüsselten Bereiches in Verbindung mit sicherem Löschen der zuvor vorhandenen Daten. Nicht davon verwirren lassen das das abgebildete Fenster »stehenbleibt«.

Die eigentliche Meldung versteckt sich eventuell hinter dem Fenster, je nachdem ob man es noch einmal in den Vordergrund geholt hat oder ob der Rechner einfach »ruhig durchgelaufen« ist:

Nach erfolgreichem Anlegen gibt TrueCrypt noch folgendes Fenster aus um nach dem Bestätigen wieder die Standardansicht wie nach dem Start des Programms anzuzeigen.

Nun ans Mounten der Festplatte. Wie schon angegeben habe ich keine Partition sondern die komplette Festplatte formatiert. Daher wähle ich unter Linux auch nicht den bekannten Pfad zu einer Partition, sondern den Pfad zum eigentlichen Device aus: /dev/sdb:

Nur einen Slot auswählen, das richtige Passwort eingeben und schon ist der verschlüsselte Bereich zum Lesen und Schreiben gemountet:

Zum Testen ob ich an die Dateien auch unter Windows herankomme habe ich in den gemounteten Bereich einfach ein Bild kopiert und anschließend den verschlüsselten Bereich wieder per TrueCrypt-GUI ungemountet.

Die nächsten Bilder zeigen es deutlich: Von Linux habe ich zu Windows gewechselt. Dort habe ich wie eingangs schon erwähnt ebenfalls die Version 5.1a installiert gehabt. Die Partition bzw. Festplatte konnte ich bequem über das Menü auswählen und mounten:

Im WindowsExplorer sieht man: Das Bild ist da, ich kann auch von Windows aus mit Lese- und Schreibzugriff auf die Daten zugreifen.

Es ist keine Partition angelegt. Was passiert nun eigentlich wenn ich die Datenträgerverwaltung von Windows Vista aufrufe? Na, ich habe es einfach mal probiert.

Die Zerstörung des verschlüsselten Bereichs

Warnung: Dieser Schritt hat zur irreparablen Zerstörung des verschlüsselten Bereiches geführt!

Die folgenden Schritte nicht nachmachen – außer ihr wollt selbst testen ob sich noch Daten wiederherstellen lassen.


Ich habe lediglich die Meldung das ich den MBR neu schreiben wolle bestätigt. Dabei wurden für TrueCrypt wichtige Bereiche überschrieben und die verschlüsselten Daten (in meinem Fall lediglich die Kopie eines Bildes) waren zerstört.

Nach dem Neuschreiben des MBR präsentierte sich die Festplatte unter Windows als »Nicht zugeordnet« und somit ohne jegliche Partitionen.

Wieder unter Linux wollte ich versuchen ob ich die Daten bzw. den verschlüsselten Bereich nicht doch wiederherstellen kann. Dafür habe ich auf TestDisk zurückgegriffen.

Da ich unter Ubuntu das entsprechende Paket einfach installieren kann, bin ich diesen Weg gegangen:

 sudo apt-get install testdisk 

Anschließend habe ich die 320 GB Festplatte mit TestDisk durchsuchen lassen – erfolglos. Für TestDisk war die Festplatte ohne jegliche Partition (was ja genaugenommen auch stimmt) und es waren keine Informationen vorhanden mit welchen Daten hätten wiederhergestellt werden können.

 TestDisk 6.6, Data Recovery Utility, February 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

TestDisk is free software, and
comes with ABSOLUTELY NO WARRANTY.

Select a media (use Arrow keys, then press Enter):
Disk /dev/hdc - 75 MB / 71 MiB (RO)
Disk /dev/sda - 500 GB / 465 GiB
Disk /dev/sdb - 320 GB / 298 GiB
Disk /dev/sdc - 1020 MB / 973 MiB






[Proceed ] [ Quit ]

Note: Disk capacity must be correctly detected for a successful recovery.
If a disk listed above has incorrect size, check HD jumper settings, BIOS
detection, and install the latest OS patches and disk drivers.

Mein Fazit soweit an dieser Stelle: Das ich weder das Bild noch den verschlüsselten Bereich nicht mit relativ einfachen Mitteln wiederherstellen konnte, spricht eigentlich für die Qualität vo TrueCrypt. Für den normalen Heimanwedender genügt also eine mit TrueCrypt verschlüsselte Festplatte und die Datenträgerverwaltung von Windows Vista um die Daten recht sicher zerstören zu können... *räusper*

Gut, das war jetzt zynisch, aber es entspricht sicherlich der Wahrheit das diese »Sicherheitsstufe« für die meisten Anwender ausreichen sollte wenn sie ihre gebrauchte Festplatte beispielsweise bei eBay verkaufen wollen.

Der zweite Durchlauf

Neugierig wie sich Windows Vista bzw. die dazugehörige Datenträgerverwaltung verhält, habe ich eine Partition angelegt und diese dann mit TrueCrypt von Linux aus als verschlüsselten Bereich neu angelegt.

Mittels der Option »Quick format« musste ich dafür auch keine weiteren drei Stunden warten, sondern war sehr schnell für den Test bereit.

Diesmal wurde nicht /dev/sdb sondern /dev/sdb1 als zu verschlüsselnder Bereich ausgewählt. Das Einbinden unter Linux wie auch unter Windows ging problemlos von der Hand, auf den verschlüsselten Bereich konnte wie erwartet lesend und schreibend zugegriffen werden.

Bei gparted wurde die Festplatte mit einem »unbekannten Dateisystem« angegeben. Die Ausgabe von fdisk unter linux lautete:

 Disk /dev/sdb: 320.0 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x000d037f

Device Boot Start End Blocks Id System
/dev/sdb1 1 38913 312568641 83 Linux

Der Partitionstyp »83« wäre »Linux native partition« – und als solche hatte ich sie mittels gparted angelegt gehabt.

Anders als im ersten Versuch war die Datenträgerverwaltung von Windows diesmal mit der Festplatte »zufrieden«. Schließlich war eine Partition angelegt worden. Zwar war sie für Windows Vista nicht formatiert, aber es kam keine Meldung das der MBR neu geschrieben hätte werden müssen.

Um es noch einmal zu betonen: Unter Windows konnte ich mit TrueCrypt die verschlüsselte Partition problemlos einbinden. Lediglich die Datenträgerverwaltung von Windows konnte mit der Partition nichts anfangen.

Mein persönliches Fazit

In der Regel wird es wohl so sein das keine kompletten Datenträger verschlüsselt werden, sondern nur einzelne Partitionen. Die Variante mit den Containern ist natürlich auch noch vorhanden, jedoch können diese von jedem Benutzer mit entsprechenden Zugriffsrechten umbenannt oder gelöscht werden. Von da her würde ich wenn ich es bräuchte nicht auf Container, sondern auf verschlüsselte Partitionen zurückgreifen.

Was ich noch nicht testen konnte: Ob es Probleme bei großen Dateien gibt bzw. wie Windows bzw. Linux damit umgeht.

Ich muss wohl mal eine Knoppix-DVD per Bittorrent herunterladen und dann unter Windows testen ob ich Zugriff auf die Datei erhalte. Bei einer FAT-Partition (sofern TrueCrypt sie als solche anlegt) könnten ja Probleme entstehen.

Ich werde berichten!

X_FISH


 
 
Das Generieren dieser Seite dauerte genau 0.071 Sekunden.