USB Sticks sind eine feine Sache. Sie brauchen kaum Platz und sind für kleines Geld zu bekommen. Allerdings haben die Sticks auch eine Eigenart. Sie gehen gerne mal verloren. Um die Daten vor unerwünschten Blicken zu schützen, ist es erforderlich diese verschlüsselt abzulegen. Möglichkeiten zu verschlüsseln gibt es einige. Jede hat gewisse Vor- und Nachteile. Daten per GPG zu verschlüsseln geht recht schnell, allerdings wird dann der private Schlüssel benötigt, um die Daten zu entschlüsseln. Dieser ist jedoch in der Regel nicht zur Hand, wenn er gerade unterwegs mal gebraucht wird. Vollverschlüsselung per Software ist auch nicht immer das Mittel der Wahl, da die Software auf dem Zielgerät möglicherweise nicht installiert ist. Ich nutze hierfür seit Jahren die OpenSource Software TrueCrypt. Über die Vertrauenswürdigkeit möchte ich hier jetzt nicht schreiben. Das wird vielleicht später mal in einem eigenen Post kommen, wenn die noch fehlenden Audits abgeschlossen sind.
TrueCrypt bietet verschiedene Möglichkeiten der Verschlüsselung:
- Systemverschlüsselung
- Platten- / Partitionsverschlüsselung
- Containerverschlüsselung
Für einen USB Stick bietet sich die Containerverschlüsselung an, um nicht den kompletten Speicherplatz zu verschlüsseln. Denn ein paar Megabyte werden benötigt, um die TrueCrypt Binaries abzulegen. Somit besteht die Möglichkeit, an die verschlüsselten Daten zu kommen, auch wenn TrueCrypt auf dem Zielsystem nicht installiert ist. TrueCrypt redet hierbei von einer „Traveler Disk“. Um eine Traveler Disk zu erstellen, muss die TrueCrypt.exe ausgeführt werden. Eine Installation ist hierzu nicht erforderlich. TrueCrypt kann auch in ein beliebiges Verzeichnis extrahiert werden. Nach dem Start des Programms wird über das Menü „Tools“ der Punkt „Traveler Disk Setup“ aufgerufen.
Die Daten können direkt auf einen USB Stick oder ein beliebiges anderes Verzeichnis geschrieben werden. Das Zielverzeichnis muss jedoch bereits bestehen.
Nach ein paar Sekunden liegen die Dateien, die zum Mounten des USB Sticks benötigt werden im angegeben Verzeichnis. Somit ist es nicht erforderlich TrueCrypt auf einem System zu installieren. Jedoch kommt man für das Mounten des Sticks um Adminrechte nicht herum. Könnte also in einem Internet Cafe schwierig werden. Ob ich dort jedoch private Daten bearbeiten möchte, wage ich zu bezweifeln. Als nächstes muss ein verschlüsselter Container angelegt werden, damit die Daten auf dem Stick in Sicherheit sind. Dazu wird wieder über die TrueCrypt.exe das folgende Menü aufgerufen.
Hier wird „encrypted File Container“ ausgewählt.
Ein Standard Volume sollte für einen USB Stick ausreichend sein. Ein Hidden Volume bietet sich eher auf einem Notebook an um die Existenz zu verschleiern.
Im nächsten Schritt wird das Containerfile angegeben. Die Datei kann z.B. eine leere Textdatei sein.
Verschlüsselungs- und Hash Algorithmus kann frei gewählt werden. Je „heftiger“ der Algorithmus, desto langsamer wird der Stick später auch werden.
Die Volume Größe gibt an, wie groß unser Container später werden soll. Logischerweise darf er nicht größer als der Stick (abzüglich der TrueCrypt Binaries) sein.
Ein sicheres Passwort ist oberstes Gebot. Denn damit lebt bzw. stirbt die Sicherheit der verschlüsselten Daten. Ein Keyfile bietet sich eigentlich nur an, wenn der Stick immer am gleichen Zielsystem verwendet wird. Denn liegt das Keyfile auch auf dem Stick ist es relativ wirkungslos.
Um das Volume (Containerfile) ordentlich zu formatieren ist es wichtig einen Zufallsschlüssel zu generieren. Deswegen die Maus mind. 30 Sekunden wild über den Bildschirm wandern lassen, bis das Handgelenk schmerzt.
Ganz ohne Warnung geht’s nicht. Wer jetzt auf „Ja“ klickt, löscht das komplette Container File. Wenn hier also wichtige Daten enthalten sind, besser eine andere Datei wählen…
Je nachdem wie groß der Container wird, kann das Formatieren ein paar Augenblicke dauern. Zum Abschluss noch auf „Exit“ klicken und die Prozedur ist fertig.
Sollten die Binaries sowie das Containerfile nicht auf dem Stick erstellt worden sein, kann alles jetzt auf den Stick kopiert werden. Um den Stick zu verwenden, muss das Containerfile mit TrueCrypt gemountet werden. Dazu wird ein freier Laufwerksbuchstaben gewählt und über „Select File“ das Containerfile auf dem Stick ausgewählt. Danach auf „Mount“ klicken.
Nachdem das Passwort erfolgreich eingegeben wurde, steht das Volume unter dem gewählten Laufwerksbuchstaben zur Verfügung.
Wenn es nicht mehr benötigt wird über den Button „Dismount“ trennen.