Hallo alle miteinander,
da es gerade bei mir mal wieder fällig war, möchte ich meine Erkentnisse zum Erstellen/Mounten/Unmounten von Truecrypt Partitionen veröffentlichen.
Ich weiß, dass es zu diesem Thema bereits einige auch recht umfangreiche Tutorials gibt, dennoch wird man bei einfacher Umsetzung dieser Anleitungen zwangsweise auf Probleme stoßen.
Installation:
Wenn es euch geholfen hat würde ich mich über ein Dank freuen ;-)
da es gerade bei mir mal wieder fällig war, möchte ich meine Erkentnisse zum Erstellen/Mounten/Unmounten von Truecrypt Partitionen veröffentlichen.
Ich weiß, dass es zu diesem Thema bereits einige auch recht umfangreiche Tutorials gibt, dennoch wird man bei einfacher Umsetzung dieser Anleitungen zwangsweise auf Probleme stoßen.
Installation:
Vorerst werden einige Pakete benötigt:
Danach ladet ihr von truecrypt.org die aktuelle console-only Version herunter und entpackt diese.
Danach die Installationsroutine ausführen
So das wars auch schon mit der Installation, truecrypt kann jetzt verwendet werden.
Ich nehme an, dass die meisten vom euch TC entweder dazu verwenden auf Linux erstellte ext Partitionen oder unter Windows erstellte ntfs Formationen zu handeln.
Erstellen eines Volumes:
Als erstes stelle ich daher vor, wie eine jungfräuliche Partition zu einem True-Crypt geschützten Device wird:
Dafür sucht ihr euch die Partitionsbezeichnung des zu verschlüsselnden Volumes raus. (fdisk -l)
Ich meinem Fall ist das "/dev/sdb3"
Danach wird die truecrypt-Routine gestaretet:
In diesem Fall möchten wir ein einfaches nicht verstecktes Volument erstellen, wählen also 1 aus und bestätigen mit Enter.
Danach fragt euch Truecrypt nach dem volume path und ihr setzt das entsprechende Volume ein und bestätigt mit Enter.
Jetzt bekommt ihr eine Auswahlmöglichkeit zu den Verschlüsselungeverfahren.
Ich habe bisher immer nur mit AES gearbeitet, da alle weiteren Verschlüsselungsverfahren die Geschwindigkeit meines kleinen NAS Servers (Asrock E350M) heftigst in den Keller drücken.
Das ganze mag bei dicken Systemen nicht so doll auffallen, aber die betreibe ich in der Regel daheim nicht auf Console-Basis, daher lasse ich die mal außen vor.
Für welches Verfahren ihr euch unter dem Strich entscheidet bleibt natürlich euch überlassen, das AES Verfahren gilt aber bei Wahl eines anständigen Passworts weiterhin als sicher.
Danach steht die Auswahl des Hash-Algorythmus an:
Von RIPEMD-160 kann ich mittlerweile nur abraten.
1. Gilt der nicht als besonders sicher
2. Gibts bei Verwendung des RIPEMD-160 bei TC einen Bug, der das anständige einbinden eines ext* formatierten Containers verhindert.
Ob SHA-512 auch langfristig Sicherheit bietet, darüber streiten derzeit die Kryptanalytiker.
Prinzipiell basiert dieser Algorythmus auch auf SHA-1 nur mit wesentlich längeren Hashwerten.
Ich empfehle daher derzeit SHA-512
Danach ist das Filesystem dran:
Was ihr jetzt letzten Endes nehmt bleibt natürlich auch hier euch überlassen, ich verwendet schon seit langem ext4 und bin da immer gut mit gefahren.
Abschließend werdet ihr noch nach dem gewünschten Passwort gefragt und müsst es nochmals wiederholen:
ACHTUNG: Vernünftige Passwörter sollten Sonderzeichen und Groß- Kleinbuchstaben sowie Zahlen enthalten, außerdem empfehle ich mindestens 15 Stellen.
Mein persönliches Passwort hat ca. 30 Stellen, merken kann man es sich beispielsweise recht einfach wenn man zusammenhanglose Nomen durch ein Sonderzeichen trennt.
Und dann gehts los:
Am Ende bekommt ihr noch eine Erfolgsmeldung.
Einhängen eines Volumes:
Abschließend möchte wird das Volument natürlich auch einhängen:
Wenn ihr alles richtig gemacht habt, ist der Container jetzt in /mnt/truecrypt geladen.
Überprüfen könnt ihr das ganze mit
Aushängen eines Volumes:
Aushängen könnt ihr die Volumes entweder über den mnt point oder über das device:
Oder einfach alle aushängen:
Theoretisch habt ihr euch die Möglichkeit ein Volume ohne Filesystem zu erstellen und dann hitnerher das mapper-Device zu formatieren!
Dafür müsst ihr beim ersten laden des Containers --filesystem=none anfügen und dann wieder über truecrypt -l schauen welches mapperdevice verwendet wird.
Das mapper Device könnt ihr dann ganz regulär formatieren mit mkfs oder wie auch immer ihr das wollt.
Danach dann entsprechend einmal unmounten und wieder neu mounten (diesmal natürlich ohne --filesystem=none)
Zu beachten bei NTFS Containern:
Jetzt noch eine wichtige Sache zum Thema NTFS.
Wenn ihr ein NTFS formatiertes Volume auf einem Windows Rechner mit TC verschlüsselt habt könnt ihr das auch unter Debian laden, müsst dabei aber einige Sachen beachten.
Der Befehl zum einfachen mounten lautet:
Das Problem dabei ist aber, dass nur root Leserechte hat und selbst root hat keine Schreibrechte.
In meinem Fall habe ich über den NAS einige NTFS Partitionen über Samba freigegeben, benötige daher die Rechte 777.
Die holen wur uns über den Zusatz
Der ganze mount-Befehl sieht daher so aus:
(Unmask fungiert umgekehrt also 0007 wäre beispielsweise 770)
Zu beachten gilt auch beim ntfs-3g Mount, dass das ziemlich Ressourcenfressend ist.
Mit meinem kleinen E350 Board habe ich mit einer AES-Twofish Verschlüsselung und dem ntfs system eine Lese und Schreibgeschwindigkeit von etwa 10 MB/s hinbekmommen, daher hat zeitgleich runterladen mit VDSL 50k und einen Film gucken schon zu Problemen geführt.
Insbesondere wegen der Geschwindigkeit aber auch aufgrund der einfacheren Rechtevergabe empfehle ich daher unbedingt ext3 oder ext4 als Dateisystem wenn die Platte dauerhaft in dem Rechner bleiben soll.
Ich hoffe ihr könnt was damit anfangen, insbesondere die NTFS Geschichte hat mich echt Zeit gekostet, da dieser Weg so nirgends anständig geschildert wird.
Auch an dem Bug mit dem dem RIPEMD-160 - Hash Algo habe ich lange gesessen.
Danach ladet ihr von truecrypt.org die aktuelle console-only Version herunter und entpackt diese.
Danach die Installationsroutine ausführen
So das wars auch schon mit der Installation, truecrypt kann jetzt verwendet werden.
Ich nehme an, dass die meisten vom euch TC entweder dazu verwenden auf Linux erstellte ext Partitionen oder unter Windows erstellte ntfs Formationen zu handeln.
Erstellen eines Volumes:
Als erstes stelle ich daher vor, wie eine jungfräuliche Partition zu einem True-Crypt geschützten Device wird:
Dafür sucht ihr euch die Partitionsbezeichnung des zu verschlüsselnden Volumes raus. (fdisk -l)
Ich meinem Fall ist das "/dev/sdb3"
Danach wird die truecrypt-Routine gestaretet:
In diesem Fall möchten wir ein einfaches nicht verstecktes Volument erstellen, wählen also 1 aus und bestätigen mit Enter.
Danach fragt euch Truecrypt nach dem volume path und ihr setzt das entsprechende Volume ein und bestätigt mit Enter.
Jetzt bekommt ihr eine Auswahlmöglichkeit zu den Verschlüsselungeverfahren.
Ich habe bisher immer nur mit AES gearbeitet, da alle weiteren Verschlüsselungsverfahren die Geschwindigkeit meines kleinen NAS Servers (Asrock E350M) heftigst in den Keller drücken.
Das ganze mag bei dicken Systemen nicht so doll auffallen, aber die betreibe ich in der Regel daheim nicht auf Console-Basis, daher lasse ich die mal außen vor.
Für welches Verfahren ihr euch unter dem Strich entscheidet bleibt natürlich euch überlassen, das AES Verfahren gilt aber bei Wahl eines anständigen Passworts weiterhin als sicher.
Danach steht die Auswahl des Hash-Algorythmus an:
Von RIPEMD-160 kann ich mittlerweile nur abraten.
1. Gilt der nicht als besonders sicher
2. Gibts bei Verwendung des RIPEMD-160 bei TC einen Bug, der das anständige einbinden eines ext* formatierten Containers verhindert.
Ob SHA-512 auch langfristig Sicherheit bietet, darüber streiten derzeit die Kryptanalytiker.
Prinzipiell basiert dieser Algorythmus auch auf SHA-1 nur mit wesentlich längeren Hashwerten.
Ich empfehle daher derzeit SHA-512
Danach ist das Filesystem dran:
Was ihr jetzt letzten Endes nehmt bleibt natürlich auch hier euch überlassen, ich verwendet schon seit langem ext4 und bin da immer gut mit gefahren.
Abschließend werdet ihr noch nach dem gewünschten Passwort gefragt und müsst es nochmals wiederholen:
ACHTUNG: Vernünftige Passwörter sollten Sonderzeichen und Groß- Kleinbuchstaben sowie Zahlen enthalten, außerdem empfehle ich mindestens 15 Stellen.
Mein persönliches Passwort hat ca. 30 Stellen, merken kann man es sich beispielsweise recht einfach wenn man zusammenhanglose Nomen durch ein Sonderzeichen trennt.
Und dann gehts los:
Am Ende bekommt ihr noch eine Erfolgsmeldung.
Einhängen eines Volumes:
Abschließend möchte wird das Volument natürlich auch einhängen:
Wenn ihr alles richtig gemacht habt, ist der Container jetzt in /mnt/truecrypt geladen.
Überprüfen könnt ihr das ganze mit
Aushängen eines Volumes:
Aushängen könnt ihr die Volumes entweder über den mnt point oder über das device:
Oder einfach alle aushängen:
Theoretisch habt ihr euch die Möglichkeit ein Volume ohne Filesystem zu erstellen und dann hitnerher das mapper-Device zu formatieren!
Dafür müsst ihr beim ersten laden des Containers --filesystem=none anfügen und dann wieder über truecrypt -l schauen welches mapperdevice verwendet wird.
Das mapper Device könnt ihr dann ganz regulär formatieren mit mkfs oder wie auch immer ihr das wollt.
Danach dann entsprechend einmal unmounten und wieder neu mounten (diesmal natürlich ohne --filesystem=none)
Zu beachten bei NTFS Containern:
Jetzt noch eine wichtige Sache zum Thema NTFS.
Wenn ihr ein NTFS formatiertes Volume auf einem Windows Rechner mit TC verschlüsselt habt könnt ihr das auch unter Debian laden, müsst dabei aber einige Sachen beachten.
Der Befehl zum einfachen mounten lautet:
Das Problem dabei ist aber, dass nur root Leserechte hat und selbst root hat keine Schreibrechte.
In meinem Fall habe ich über den NAS einige NTFS Partitionen über Samba freigegeben, benötige daher die Rechte 777.
Die holen wur uns über den Zusatz
Der ganze mount-Befehl sieht daher so aus:
(Unmask fungiert umgekehrt also 0007 wäre beispielsweise 770)
Zu beachten gilt auch beim ntfs-3g Mount, dass das ziemlich Ressourcenfressend ist.
Mit meinem kleinen E350 Board habe ich mit einer AES-Twofish Verschlüsselung und dem ntfs system eine Lese und Schreibgeschwindigkeit von etwa 10 MB/s hinbekmommen, daher hat zeitgleich runterladen mit VDSL 50k und einen Film gucken schon zu Problemen geführt.
Insbesondere wegen der Geschwindigkeit aber auch aufgrund der einfacheren Rechtevergabe empfehle ich daher unbedingt ext3 oder ext4 als Dateisystem wenn die Platte dauerhaft in dem Rechner bleiben soll.
Ich hoffe ihr könnt was damit anfangen, insbesondere die NTFS Geschichte hat mich echt Zeit gekostet, da dieser Weg so nirgends anständig geschildert wird.
Auch an dem Bug mit dem dem RIPEMD-160 - Hash Algo habe ich lange gesessen.
Wenn es euch geholfen hat würde ich mich über ein Dank freuen ;-)
Zuletzt bearbeitet:
