Dieser Artikel ist größtenteils für alle Ubuntu-Versionen gültig.
Diese Seite gehört zu dem Beitrag Archiv/TrueCrypt. Sie beschreibt das Erstellen eines TrueCrypt-Laufwerks sowie das Ein- und Aushängen des Laufwerks in die Verzeichnisstruktur.
Wie im Hauptartikel Archiv/TrueCrypt erläutert, gibt es zwei Arten von TC-Laufwerken: TC-Partitionen und TC-Containerdateien. Da die Syntax für beide weitgehend identisch ist, behandelt dieser Artikel beide TC-Laufwerkstypen. Als Platzhalter wird in beiden Fällen
/dev/sdb1
verwendet. Es gilt dabei
für TC-Partitionen:
/dev/sdb1 ist jeweils durch die richtige Bezeichnung der Partition, z.B. /dev/sdc3 zu ersetzen. Die Partitionsbezeichnung entnimmt man am besten einem Partitionierungsprogramm wie GParted, oder man betrachtet die Ausgabe von
sudo fdisk -l
für TC-Containerdateien:
/dev/sdb1 ersetzt man jeweils durch den Dateinamen der Containerdatei, z.B. ~/stats/help.dat. Der Dateiname ist frei wählbar, man sollte jedoch vermeiden, das Wort "truecrypt" oder das Kürzel "tc" darin zu verwenden, weil sonst für Dritte offensichtlich ist, dass es sich um ein TC-Laufwerk handelt.
Man sollte ein TC-Laufwerk immer selbst erstellen! Der Grund ist, dass erfahrene Anwender sich nach dem Anlegen des Laufwerkes den Header kopieren könnten und damit nach einer späteren Änderung des Passwortes durch den Nutzer in der Lage sind, das ursprüngliche Passwort wieder herzustellen.
Um ein TrueCrypt-Laufwerk zu erstellen, wird folgender Befehl in einem Terminal [1] aufgerufen:
sudo truecrypt -c /dev/sdb1
Es folgen einige Abfragen, von denen die meisten mit ⏎ (Default) beantwortet werden können. Ausnahme: Beim Anlegen einer Containerdatei wird deren Größe abgefragt. Außerdem muss natürlich das Passwort explizit angegeben werden. Hierbei sollte man Sicherheits 1x1 beachten.
Die Frage nach dem Dateisystem (Filesystem:
) kann man zunächst mit
2 beantworten, wenn man nicht FAT verwenden möchte. Anschließend kann man ein anderes Dateisystem erstellen, wie in Archiv/TrueCrypt/TC-Laufwerk formatieren beschrieben.
Volume type: <Return> Filesystem: <Return> # die nächste Frage entfällt bei TC-Partitionen Enter volume size (bytes - size/sizeK/sizeM/sizeG): <Größe, die die TC-Containerdatei haben soll> (z.B. 100M) Hash algorithm: <Return> Encryption algorithm: <Return> Enter password for new volume '/dev/sdb1': <Passwort> Re-enter password: <Passwort>-Wiederholung Is your mouse connected directly to computer where TrueCrypt is running? [Y/n] <Return>
TrueCrypt ermittelt nun einige "Zufallszahlen" aus den folgenden Mausbewegungen. Im Anschluss daran ist anhand einer Fortschrittsanzeige zu sehen, wie das Containerfile erstellt bzw. die Partition initialisiert wird. Dieser Vorgang kann durchaus einige Stunden dauern, je nach Größe des erstellten Laufwerks und nach Leistungsfähigkeit des Rechners.
Nach Beendigung des Vorgangs sollte man unbedingt eine Sicherung des Headers durchführen. Der Header ist ein Bereich innerhalb des TC-Laufwerks, der absolut unverzichtbar für die Entschlüsselung der Daten ist. Wird auch nur ein einziges Bit des Headers verändert - z.B. durch einen Datenträgerfehler - so wird unter Umständen das komplette TC-Laufwerk unbrauchbar. Dann hilft nur eine Rücksicherung des Headers.
Die Erstellung der Sicherung geschieht mit dem Befehl
truecrypt --backup-headers /dev/sdb1 /NAME/DER/SICHERUNGS.DATEI
Selbstverständlich sollte man die Sicherungsdatei an einem sicheren Ort speichern, also insbesondere auf einem anderen Datenträger als das TC-Laufwerk.
Bevor ein TC-Laufwerk eingehängt werden kann, muss zunächst die transparente Ver-/Entschlüsselung durch TrueCrypt aktiviert werden. Dieser Vorgang nennt sich "Mapping". Dabei wird ein virtuelles Gerät /dev/mapper/truecryptX (X
steht für eine Ziffer) angelegt, welches wie eine unverschlüsselte Partition behandelt werden kann.
Normalerweise geschieht das Mapping gleichzeitig mit dem Einhängen. Für den Anwender ist es z.B. dann sinnvoll, ein TrueCrypt-Laufwerk explizit zu mappen, wenn er es formatieren will. Dabei darf das Laufwerk nicht eingehängt sein.
Das Mappen erreicht man mit dem Befehl
truecrypt /dev/sdb1
Will man steuern, unter welcher Nummer das Laufwerk gemappt wird, so gibt man z.B.
truecrypt -N 5 /dev/sdb1
ein. Dies führt zum Mapping unter /dev/mapper/truecrypt5.
Ein gemapptes Laufwerk kann ganz normal mit mount eingehängt werden. Komfortabler ist aber folgende Möglichkeit:
Da vor dem eigentlichen Einhängen das Mappen des TrueCrypt-Laufwerks nötig ist, bietet TrueCrypt einen Befehl, der beide Vorgänge ausführt:
truecrypt /dev/sdb1 /mnt
Man gibt also einfach den Einhängepunkt als zusätzlichen Parameter an. Hierbei kann natürlich /mnt durch einen beliebigen Einhängepunkt wie ~/truecrypt ersetzt werden.
Will man Optionen an mount übergeben, so geschieht dies mit dem Parameter -M
. Beispielsweise könnte ein Einhängen mit Vollzugriff so aussehen:
truecrypt -M "rw,sync,utf8,uid=$UID,umask=0007" /dev/sdb1 /mnt
Die Optionen werden ausführlich im Artikel mount beschrieben. Das sync-Flag sollte verwendet werden, wenn man Medien benutzt, welche entfernt werden könnten, also beispielsweise USB-Geräte.
Nach der Befehlseingabe erfolgt die Abfrage des TrueCrypt-Passwortes für dieses Laufwerk:
Enter password for '/dev/sdb1':
Sofern das Passwort korrekt angegeben wird, kann anschließend auf die verschlüsselten Daten im Ordner /mnt zugegriffen werden.
Um zu prüfen, ob die Partition richtig eingebunden wurde, wird der Befehl
truecrypt -l
in einem Terminal eingegeben. Daraufhin sollte eine Ausgabe erscheinen, welche Partition an welchem Mountpunkt eingebunden ist.
Dieser Abschnitt ist nur dann zu beachten, wenn das TC-Laufwerk mit einem Dateisystem wie ext2/3 oder reiserfs formatiert wurde.
Nach dem ersten Einhängen sollte man sicherstellen, dass die Rechte richtig vergeben werden. Da das Formatieren mit Root-Rechten geschieht, ist der Besitzer des Dateisystems zunächst einmal root
. Ändern lässt sich das mit
sudo chown -R $(id -un):$(id -gn) /mnt
Dabei wird allen Dateien und Ordnern der aktuell angemeldete Benutzer als Besitzer zugewiesen.
Dieser Abschnitt ist nur dann zu beachten, wenn das TC-Laufwerk mit dem FAT-Dateisystem (Standard bei TrueCrypt) formatiert wurde.
Als normaler Benutzer hat man normalerweise keine Schreibrechte auf eingehängte TC-Laufwerke mit FAT-Dateisystem (oder einem anderen Dateisystem ohne Rechteverwaltung). Um Schreibzugriff zu erhalten, sollte man den Parameter -u
verwenden:
truecrypt -u /dev/sdb1 /mnt
Das Aushängen des Laufwerkes geschieht mit folgendem Befehl:
truecrypt -d /mnt
Anstelle des Einhängepunktes (hier /mnt) können auch Dateiname und -pfad des Containerfiles bzw. Gerätename der TC-Partition angegeben werden. Wird nichts angegeben, werden sämtliche TC-Laufwerke ausgehängt:
truecrypt -d
Partitionen können nur ausgehängt werden, wenn keine Anwendung mehr auf Daten darin zugreift - andernfalls erscheint eine "Busy"-Meldung. Mit dem Terminal-Befehl
lsof /mnt
lässt sich herausfinden, welche Anwendung ggf. noch auf die Daten zugreift. Die entsprechende Anwendung muss dann vor dem Aushängen beendet werden.
Diese Revision wurde am 7. März 2009 15:18 von BigMc erstellt.