Dokumenten-USB Stick mit VeraCrypt verschlüsseln

  • Ben 

Wir empfehlen alle wesentlichen Dokumente (Ausweise, Geburtsurkunde, usw.) als Scan auf einem USB-Stick bei sich zu haben. Damit diese Daten auch sicher sind, sollte der USB-Stick verschlüsselt werden. Heute verraten wir euch, wie.

Inhaltsverzeichnis

Vorwort

Einstellung der Sprache

Einen neuen Container erstellen

Art des Volumes

Anlegen eines Hidden Volumes

Auswahl des Verschlüsselungsalgorithmus

Festlegung der Speichergröße, des Passworts und des Dateisystems

Hidden Volumes vor Beschädigung schützen

Vorwort

Es gibt eine Vielzahl an Tools, Programmen und Methoden, um Dokumente oder ganze Speichermedien zu verschlüsseln. Als Beispiel soll hier VeraCrypt dienen.

VeraCrypt ist eine Open-Source-Software zur Datenverschlüsselung, insbesondere zur vollständigen oder partiellen Verschlüsselung von Festplatten und Wechseldatenträgern.Wikipedia

VeraCrypt steht für Windows, macOS und Linux zur Verfügung und kann kostenlos z.B. hier heruntergeladen werden.

Hier ein kleines Tutorial zur VeraCrypt-Benutzung, spezifisch für Containerdateien (auf USB-Sticks o.Ä.).

Einstellung der Sprache

Wenn man das Programm erstmalig startet kann man unter „Settings“->“Language“ die Sprache auf Deutsch umstellen. Damit geht die Bedienung schon mal viel leichter.

Einen neuen Container erstellen

Unter „Volumes“->“Neues Volume erstellen …“ kann man seine erste verschlüsselte Partition bzw. seinen Container anlegen.
Und steht auch gleich vor der ersten Entscheidung: Soll ich einen Containter (was das ist, dazu komme ich gleich) oder eine Partition erstellen, oder gleich die Systempartition verschlüsseln?

Systempartition verschlüsseln macht Sinn, wenn ich mein gesamtes Windows-System vor fremden Augen schützen möchte. Ich muss dann immer vor dem Start von Windows das Entschlüsselungspasswort eingeben.

Eine Partition zu verschlüsseln bedeutet, dass ein ganzes Laufwerk* (z.B. ein USB-Stick) verschlüsselt wird.

Ich werde hier nur die Erstellung und Verwendung von Containerdateien vorstellen. In der Containerdatei ist im Prinzip ein vollständiges Dateisystem enthalten. Ältere Semester kennen das sicher noch vom CD- oder DVD-Brennen (.img oder .iso-Dateien). Nur dass diesmal das Dateisystem auch verschlüsselt ist.
Der Vorteil einer Containderdatei gegenüber der Verschlüsselung des Laufwerks liegt darin, dass man den Rest des USB-Sticks noch normal verwenden kann, ohne vorher spezielle Software installieren zu müssen.

Art des Volumes

Schon wieder eine Entscheidung: Soll ein Standard-Volume erstellt werden, oder eines mit Hidden Volme?

Ein Standard-Volume ist genau das, was der Name vermuten lässt: Ein verschlüsselter Bereich (Containerdatei oder Partition), welcher mittels Passwort entschlüsselt werden kann.
Ein Hidden Volume, also ein versteckter Datenträger, ist ein Standard-Volume, in dem aber noch zusätzlich ein Hidden Volume eingebettet ist. Die Existenz des Hidden Volume kann nicht bewiesen werden. Daher kann man auch nicht (legal) gezwungen werden, es zu entschlüsseln: Es gibt keinen Hinweis oder gar Beweis für seine Existenz!

Anlegen eines Hidden Volumes

Der nächste Schritt ist die Auswahl des Modus: Direkt oder Komplett.

Direkt bedeutet, dass man einem Standard-Volume ein Hidden Volume hinzufügt. Wir wählen allerdings Modus Komplett, also die Anlage von sowohl Standard- als auch Hidden-Volume.

Als Speicherort wähle ich die Datei F:/Privat.tcc (TrueCryptContainer). Prinzipiell kann man aber jeden Namen (auch die Dateiendung ist frei wählbar) verwenden. Da der Dateityp aber sowieso anhand des Headers ermittelt werden kann, sehe ich hier keinen Grund, z.B. eine .zip o.ä. vorzutäuschen.

Auswahl des Verschlüsselungsalgorithmus

Als nächstes steht die Wahl des Verschlüsselungsalgorithmus’ an. Standard (in mehreren Sinnen) ist hier AES. Er ist hoch performant auf klassischer PC-Architektur (x86) und ARM-Rechnern (quasi alle Smartphones), sehr weit verbreitet und (obwohl im theoretischen Sinn bereits geknackt) derzeit und in mittlerer Zukunft unknackbar.

Ich nehme die Kombination Serpent(AES), wo zuerst mit AES verschlüsselt wird und dann zusätzlich nochmal mit Serpent (nochmal sicherer als AES). Diese Kombination bietet für mich einen guten Kompromiss aus Sicherheit (wenn ein Algo geknackt werden kann, greift immer noch der zweite) und Geschwindigkeit.

AES alleine ist um ca. 25% schneller bei der Ver- und Entschlüsselung und sicher genug für die nächsten Jahre. Es wäre also auch kein Fehler AES zu wählen und ist nicht umsonst als Standard gesetzt worden.

Hier kann man auch testen, wie performant die einzelnen Algorithmen auf dem jeweiligen System sind.

Festlegung der Speichergröße, des Passworts und des Dateisystems

Im nächsten Schritt erfolgt die Festlegung der Speichergröße (ich nehme 4.000 MB, die maximale Größe für FAT-Dateisysteme), dann kommen schon die Passwörter: Zuerst für den äußeren Container, dann für den inneren.

Dazwischen wird immer das Dateisystem abgefragt: FAT, exFAT oder NTFS.

FAT ist noch immer der Standard für USB-Sticks, auch wenn exFAT speziell dafür konzipiert wurde. FAT hat aber für mich den Vorteil, dass es quasi universell lesbar ist. exFAT wurde erst vergleichsweise spät entwickelt, und daher ist die Unterstützung nicht durch die Bank gesichert. NTFS ist seit Jahren das Dateiformat von Microsoft. Wer nie etwas anderes benutzen wird, kann auch das verwenden.

Beim Dialog für’s Formatieren wird auch ein Zufallszahlen-Puffer angelegt, welcher dadurch gefüllt wird, dass man die Maus (innerhalb des Fensters) bewegt. Diese Zufallszahlen werden benötigt, um dann den freien Speicher damit zu füllen. Dies ist nötig, um die Anwesenheit bzw. Nicht-Anwesenheit eines verschlüsselten Hidden-Volumes verschleiern zu können.

Wenn das äußere Volume verschlüsselt und formatiert ist wiederholt sich die Prozedur für das „innere“, versteckte Volume. Ich nehme hier 500 MB, damit man im äußeren Volume viel „leeren“ Platz hat und so das versteckte Volume nicht auffällt.

Es folgt nun ein Dialog, welcher eindringlich davor warnt, in das äußere Volume zu schreiben, ohne das Hidden-Volume abzusichern. Denn wenn das Programm nicht weiß, dass es ein verstecktes Volume gibt, kann es auch nicht darauf Rücksicht nehmen.

Hidden Volumes vor Beschädigung schützen

Daher muss man (sobald man Daten in das äußere Volume schreiben will) wie folgt vorgehen:
Zuerst ein freies Laufwerk im oberen Teil des Fensters auswählen (in diesem Fall: P:, dann das Volume (auf „Datei“ klicken und auswählen) und danach „Einbinden“ klicken.

Im folgenden Passworteingabedialog das Passwort für das äußere Volume eingeben und dann auf „Optionen“ klicken und das Hakerl bei „Verstecktes Volume vor Beschädigung durch äußeres Volume schützen“ setzen (und natürlich das richtige Passwort auch für das versteckte Volume eingeben. Jeweils mit OK bestätigen.

Es folgt wieder ein nicht unbedingt einfach zu verstehender Hinweis. Was er sagen will: Das versteckte Volume wurde nicht wirklich eingebunden, sondern nur der Header entschlüsselt, so dass bei einem Schreibvorgang in das äußere Volume darauf Rücksicht genommen werden kann.

Will man also in das versteckte Volume schreiben, so muss man im Einbinden-Dialog das äußere Volume auswählen, aber das Passwort für das Innere angeben.

Hört sich komplizierter an als es dann in der Praxis ist. Wer sich damit nicht herumschlagen will, kann ja einen Container ohne Hidden Volume erstellen. Diesen kann man später jederzeit hinzufügen (wenn man z.B. genügend Routine hat).

*) Gemeint ist hier nicht zwingend der physische Datenträger. Sondern das, was Windows als Laufwerk bezeichnet und ihm einen Laufwerksbuchstaben zuweist.


 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*