Das Verschlüsseln von ganzen Systemen wird mit Truecrypt 5.0 zum Kinderspiel. Endlich steht auch für unerfahrene Anwender eine kostenlose und gute Lösung zur Verfügung, mit der man seinen PC zuverlässig vor unerlaubtem Zugriff durch Dritte schützen kann. Leider funktioniert dies bis jetzt nur unter Windows XP, Windows Vista und Windows 2003 Server jeweils sowohl in der 32-Bit als auch in der 64-Bit Version. Anwender von Mac OS, Linux und Unix müssen zur Zeit noch auf andere Lösungen zurück greifen.

Nach der Installation von Truecrypt 5.0 startet man den Assistenten der einen durch die Verschlüsselung führt über System -> Encypt System Partition/Drive.

Im nachfolgenden Dialog kann man auswählen was man verschlüsseln will, die ganze Festplatte oder nur die Partition, auf der Windows installiert ist. Für was man sich entscheidet, sollte man davon abhängig machen, was mit dem System für Arbeiten erledigt werden und wie viele Personen es benutzen. Arbeitet man viel mit großen Daten (verschieben/löschen/kopieren von z.B. Videos) und sind dies Daten die nicht sensibel sind, so dass man diese nicht unbedingt verschlüsseln muss, bietet es sich hier an nur die Windows-Partition zu verschlüsseln und die Daten auf einer separaten Partition abzulegen. So ist das System geschützt und man hat gleichzeitig beim Arbeiten mit den Daten keine Einbußen in der Performance. Arbeiten an dem System mehrere Personen, bietet es sich eventuell ebenfalls an, nur die Systempartition zu verschlüsseln und auf einer weiteren Partition für jeden Anwender einen separaten Truecrypt-Container anzulegen. Dadurch ist das System geschützt und jeder Anwender hat nur Zugriff auf seine eigenen Daten. Arbeitet man alleine an dem PC und benutzt ihn primär zum Surfen und für Office-Anwendung (Textverarbeitung etc.), Musik hören etc. dann bietet es sich an die ganze Festplatte zu verschlüsseln.

Truecrypt kann auch verwendet werden, wenn auf dem PC mehrere Betriebssysteme installiert sind. Darauf einzugehen würde jedoch den Rahmen dieses Howtos sprengen, so dass ich darauf hier nicht weiter eingehen werde.

Als nächstes geht es nun an die Auswahl eines Verschlüsselungsalgorithmus. Zur Auswahl stehen Twofish, Rijndael(AES) und Serpent. Jeder der Algorithmen hat seine Stärken und Schwächen. Sie alle haben jedoch eine Gemeinsamkeit: Sie haben es in die Endrunde der Qualifikation zum Advanced Encryption Standard (AES) gebracht, welche Rijndael dann am Ende gewonnen hat. Daraus sollte man aber nicht direkt schließen, dass dieser Algorithmus auch der beste ist. Das ist er nur in Sachen Geschwindigkeit, in Punkto Sicherheit sind Twofish und Serpent wesentlich besser. Rijndael erhielt nur die Auszeichnung “hinreichend-sicher” während Twofish und Serpent als “hoch-sicher” eingestuft wurden. Ist man auf maximale Sicherheit aus, dann ist Serpent wohl die erste Wahl, kommt es einem in erster Linie auf die Geschwindigkeit an, dann sollte man sich für Rijndael(AES) entscheiden. Ein sehr gutes Mittelmaß zwischen Geschwindigkeit und Sicherheit bietet Twofish. Es besteht die Möglichkeit mehrere Algorithmen zu kombinieren. Davon möchte ich an dieser Stelle jedoch abraten, da das Mehr an Sicherheit und die erheblichen Leistungseinbußen (wie hoch diese genau sind, sieht man, wenn man auf den Button “Benchmark” klickt) in keinem Verhältnis stehen - ein gutes Passwort natürlich vorausgesetzt.

Im nächsten Schritt legt man das Passwort, mit dem man das System entschlüsseln kann, fest. Die Entwickler von Truecrypt empfehlen hier, nach dem Prinzip “je länger desto sicherer” ein Passwort von mindestens 20 Zeichen, welches nach Möglichkeit aus zufallsgenerierten Zeichen bestehen sollte. 20 Zeichen sind zwar - keine Frage - sehr sicher, aber für den Privatgebrauch in den meisten Fällen vielleicht doch ein bisschen übertrieben. Eine kurze Einführung in die Wahl zu sicheren Passwörtern findet sich hier.

Zur Erstellung des eigentlichen Schlüssels mit dem verschlüsselt wird müssen Zufallsdaten gesammelt werden, dies geschieht im nächsten Schritt. Zur Erzeugung verwendet man für gewöhnlich irgendwelche Daten, die so zufällig sind, wie es in einem PC eben geht. Truecrypt scheint hier primär Mausbewegungen zu verwenden, aber auch Daten, die beim Betrieb eines PCs nebenbei anfallen, also zum Beispiel Zustände von Registern im Prozessor. Meine Empfehlung an dieser Stelle: Die Maus circa 1-2 Minuten in dem Fenster auf beliebige Art und Weise bewegen und dann auf “Next” klicken.

Hier werden nun die Keys angezeigt.

Truecrypt erstellt eine Rescue Disk (TRD) mit dem der Bootmanager, den Truecrypt installiert, repariert werden kann, sollte dieser einmal beschädigt werden. Auch kann man mit der TRD das System wieder komplett entschlüsseln, für den Fall, dass man beispielsweise Windows einmal neuinstallieren muss. Diese CD erstellt Truecrypt automatisch in Form eines .iso-Images. Bevor man diese Disk nicht auf eine CD gebrannt hat lässt sich der Vorgang nicht fortsetzen. Sollte man über kein Brennprogramm verfügen bietet Truecrypt Downloadlinks zu zwei kostenlosen Programmen an.

Wenn man Daten von einer Festplatte löscht oder überschreibt sind diese nicht wirklich verloren. Da die Daten magnetisch gespeichert werden, lassen sich mit speziellen Methoden die “alten Magnetfelder” noch auslesen und die Daten ggf. rekonstruieren. Damit dadurch nicht die ganze Verschlüsselung zunichte gemacht wird bietet Truecrypt an, die Daten, bevor sie verschlüsselt wieder auf die Festplatte geschrieben werden, zu überschreiben. Das kann man entweder mit zwei verschiedenen Standards des US-Verteidigungsministeriums (3 bzw. 7 mal) oder mit dem Gutmann Algorithmus (35 mal) machen. Alternativ kann man auch ganz auf das Überschreiben verzichten, dies sollte man jedoch nur machen, wenn das System und die Festplatte frisch sind und sich noch keine Daten darauf befinden oder befunden haben. Ansonsten sollte man die Daten überschreiben lassen. Hier gilt je öfter desto sicherer aber desto länger dauert es. Bei 3 maligem überschreiben ist die Wahrscheinlichkeit, dass Daten rekonstruiert werden können, noch relativ hoch, bei 7 mal fast unmöglich, hier braucht man schon eine Menge Glück und bei 35 mal ist es nach Ansicht von Experten unmöglich die Daten zu rekonstruieren.

 Bevor das System verschlüsselt wird, wird erst einmal nur der Bootloader installiert und das System einmal neugestartet um zu testen ob alles funktioniert.

Nach dem Neustart kann man dann mit der Verschlüsselung beginnen.

Das Überschreiben (falls ausgewählt) und Verschlüsseln kann je nach Menge der Daten und gewähltem Algorithmus schon mal ein paar Stunden in Anspruch nehmen. Hier haben sich die Entwickler von Truecrypt eine sehr schöne Lösung einfallen lassen. Falls man den PC zwischenzeitlich einmal ausschalten muss, oder er zwangsweise ausgeschaltet wird (beispielsweise durch einen Stromausfall), so ist dies kein Problem und führt auch nicht zu Datenverlust. Nach dem Neustart kann man den Vorgang einfach fortsetzen. Während der PC ausgeschaltet ist, besteht dann natürlich die Möglichkeit, dass die noch nicht verschlüsselten Daten weiterhin gelesen werden können.

Das war's. Nach einem Neustart sollte einen dann der Truecrypt Bootloader begrüßen und nach dem Passwort fragen.

Mit Version 5.0 ist den Entwicklern ein gutes Stück Software gelungen welches es endlich auch Laien ermöglicht, ihr System ohne Vorkenntnisse einfach und sicher zu verschlüsseln. Bis jetzt funktioniert dies jedoch leider nur unter Windows, ob in einer der folgenden Versionen auch die Unterstützung für Linux und Mac OS Einzug erhält muss man abwarten. Die Idee der Rescue Disk ist sicherlich eine gute, wobei man allerdings über den Zwang, diese zu brennen, bevor man mit dem Verschlüsseln beginnen kann, geteilter Meinung sein kann, da es durchaus vorkommen kann, dass in einem PC kein Brenner vorhanden ist. Ansonsten macht das Programm einen sehr guten Eindruck auf mich.

Links.

Truecrpt Webseite

Truecrypt Download

Truecrypt Dokumentation (englisch)