Komplette Festplatte verschlüsseln mit Truecrypt 5

Mit der brandneuen Version 5.0 von Truecrypt lässt sich erstmals die gesamte Festplatte verschlüsseln. Bisher konnte Truecrypt nur einzelne Container erstellen und verschlüsseln.

Diese Container bieten zwar bereits eine hohe Sicherheit, es besteht jedoch die Gefahr, dass eine Anwendung beim Öffnen eines Dokumentes eine temporäre Datei anlegt und diese beim Beenden nicht vollständig löscht. Es können also nicht verschlüsselte Spuren zurückbleiben. Anders sieht es aus, wenn die gesamte Festplatte samt Betriebssystem und aller Daten verschlüsselt wird.

Die englische Version von Truecrypt 5.0 gibt es hier zum Download (Update: Mittlerweile ist Version 5.0a erschienen, die mehrere Fehler behebt). Wer will, kann zusätzlich eine deutsche Sprachdatei herunterladen und nach der Installation des englischen Hauptprogramms in den Truecrypt-Programmordner entpacken, um die Oberfläche ins Deutsche zu übersetzen. Der Status für die Übersetzung steht allerdings momentan noch auf „incomplete“. Ich habe deshalb darauf verzichtet und verwende im folgenden die englische Version.

An der Installation hat sich im Vergleich zum Vorgänger wenig geändert. Einfach durchklicken und fertig. Beim ersten Start sieht das Programm auch wie gewohnt aus.

Zum Verschlüsseln der Festplatte enthält Truecrypt 5.0 nun einen neuen Assistenten, der sich unter „System, Encrypt System Partition/Drive…“ befindet. Man sieht darunter übrigens auch den Menüpunkt „Permanently Decrypt System Partition/Drive“, der die Verschlüsselung bei Bedarf wieder rückgängig macht (siehe unten).

Aber zurück zum Assistenten, der die Platte verschlüsselt. Nach dem ersten Klick auf „Next“ sucht der Wizard nach versteckten Bereichen auf der Festplatte und fragt dann danach, wieviele Betriebssysteme sich auf dem Computer befinden.

Nach einem Klick auf „Next“ kann man wie früher schon bei den Containern die gewünschte Verschlüsselung auswählen. Danach kommt die Vergabe des Passworts sowie die Erstellung des Schlüssels, bei der man die Maus möglichst wirr über den Bildschirm bewegen soll.

Als nächstes erstellt der Wizard eine „Rescue Disk“, die Datenverlust verhindern soll, falls beispielsweise Windows nicht mehr startet. In diesem Fall lässt sich die Festplatte mit der Rescue Disk auch ohne laufendes Betriebssystem wieder entschlüsseln – vorausgesetzt man hat sein Passwort nicht vergessen.

Die Rescue Disk ist ein Image im ISO-Format, das man auf eine CD-ROM brennen soll. Der Assistent ist an dieser Stelle sehr penibel. Wenn die CD nicht gebrannt wurde, geht’s nicht mehr weiter.

Wer keinen Brenner hat, wie ich in meinem Testsystem beispielsweise, kann alternativ die Daemon Tools Lite (Vorsicht: bei der Installation unbedingt die mitgelieferte Adware abwählen!) verwenden. Einfach damit das ISO mounten und schon kann es weitergehen.

Die Auswahl bei „Wipe Mode“ kann man in den meisten Fällen auf „None (fastest)“ belassen. Anschließend führt Truecrypt mehrere Tests durch, bevor die Festplatte dann tatsächlich verschlüsselt wird. Dabei wird der PC unter anderem neu gestartet.

Beim Booten meldet sich Truecrypt 5 nun zum ersten Mal mit dem Truecrypt Boot Loader.

Passwort eintippen und Windows startet wie gewohnt. Wenn das System die Tests bestanden hat, meldet sich Truecrypt mit „Pretest Completed“.

Ein Klick auf „Encrpyt“ startet die eigentliche Verschlüsselung, die je nach Größe der Festplatte durchaus einige Zeit dauern kann.

Je ein Klick auf „OK“ und „Finish“ schließt danach den Vorgang ab. Die Festplatte ist jetzt verschlüsselt. In Zukunft meldet sich bei jedem Booten von Windows der Boot Loader von Truecrypt (siehe Screenshot weiter oben), außerdem startet das Programm nun immer automatisch, was man am kleinen Icon unten rechts im System-Tray sehen kann.

Es ist nach dem Verschlüsseln der Festplatte immer noch möglich, den Computer von einer Live-CD zu starten. Von dieser ist allerdings dann kein Zugriff mehr auf die Inhalte der Platte verfügbar. Auch Ophcrack und andere Knackprogramme haben so keine Möglichkeit mehr, die Windows-Passwörter auszulesen. Die Sicherheit eines Windows-Systems wird durch Truecrypt 5.0 also erheblich verbessert – vorausgesetzt, man vergisst sein Passwort nicht.

Eine spürbar niedrigere Performance durch die Verschlüsselung der Festplatte, die eventuell zu erwarten wäre, ist mir bisher nicht aufgefallen. Die Entschlüsselung der Platte habe ich auch ausprobiert: Man ruft den Befehl „System, Permanently Decrypt System Partition/Drive“ im Menü auf, bestätigt zwei Mal und Truecrypt entfernt die Verschlüsselung wieder.

Ergänzung: Truecrypt 5.0 hat Probleme mit erweiterten Partitionen, die nach einer Verschlüsselung der System-Partition „unsichtbar“ werden. In diesem Fall, wie oben beschrieben, die Festplatte wieder zuerst entschlüsseln und dann anschließend auf die Version 5.0a umsteigen.

Ergänzung 2: Offensichtlich sind auch in Version 5.0a noch zahlreiche Fehler enthalten. Eine Übersicht dazu findet sich hier.

0 Gedanken zu “Komplette Festplatte verschlüsseln mit Truecrypt 5

  1. Ich bin etwas verwundert, dass TC 5.0a den Ruhezustand nicht mehr gestattet (den Standby Modus aber schon). CompuSec hingegen erlaubt auch den Ruhezustand. Da ist wohl die Architektur noch nicht ganz praxistauglich.

Schreibe einen Kommentar zu Rebell Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.