Bei Truecrypt [4] handelt es sich um ein sehr beliebtes Tool, das unter Linux, Windows und OS X komplette Block-Devices verschlüsselt. Die Daten werden dabei ebenfalls verschlüsselt, bevor sie auf die Festplatte gelangen. Das Programm bietet eine ganze Reihe interessanter Features, darunter Support für Hardware-beschleunigte Verschlüsselung mit Intel-AES-NI und Beschleunigung durch die Nutzung mehrerer Prozessorkerne. Eine Reihe weiterer Optimierungen wie Read-Write-Pipelining sorgen für gute Performance des Systems. Selbst die Boot-Partition eines Systems kann mit Truecrypt verschlüsselt werden. Das Ganze bekommt man sogar kostenlos mit einer Open-Source-Lizenz.
Truecrypt gibt es mit grafischem Frontend (
Abbildung 1
) oder als Kommandozeilenprogramm, wobei selbst Letzteres sehr einfach zu benutzen ist. Nach der Installation steht auf der Kommandozeile das Tool
»truecrypt
«
zur Verfügung, mit dem man zuerst das Mapping und das Volume vorbereitet. Das umfasst einige Schritte, die in
Listing 7
zu sehen sind: Auswahl der Verschlüsselungs- und Hash-Algorithmen, des eingesetzten Dateisystems, der Passphrase und des Keyfiles
[5]
.
Listing 7
Mapping und Volume
[root@test8 src]# /usr/bin/truecrypt --volume-type=normal -c /dev/sdb1 Encryption algorithm: 1) AES 2) Serpent 3) Twofish 4) AES-Twofish 5) AES-Twofish-Serpent 6) Serpent-AES 7) Serpent-Twofish-AES 8) Twofish-Serpent Select [1]: 1 Hash algorithm: 1) RIPEMD-160 2) SHA-512 3) Whirlpool Select [1]: 1 Filesystem: 1) None 2) FAT 3) Linux Ext2 4) Linux Ext3 5) Linux Ext4 Select [2]: 5 Enter password: Re-enter password: Enter keyfile path [none]: none Please type at least 320 randomly chosen characters and then press Enter: Characters remaining: 290 Characters remaining: 290 Characters remaining: 181 Characters remaining: 139 Characters remaining: 83 Characters remaining: 47 Characters remaining: 24 Done: 100.000% Speed: 193 MB/s Left: 0 s The TrueCrypt volume has been successfully created.
Das Keyfile ist optional, aber es verhilft beispielsweise zu besserem Schutz gegen Brute-Force-Attacken. Außerdem können damit mehrere Benutzer mit unterschiedlichen Passwörter ein Volume mounten. Unabhängig davon verlangt das Truecrypt-Setup die Eingabe von 320 zufälligen Buchstaben. Dann legt es das Dateisystem an, das sich mit
»truecrypt
«
mounten lässt.
Truecrypt wickelt das Mapping und das Mounten im Gegensatz zu DMCrypt in einem Schritt ab. Das ist kein großer Unterschied, aber trotzdem macht es die Benutzung von Truecrypt etwas einfacher. Auch für das Unmounten genügt der
»truecrypt
«
-Befehl.