Markus Baersch

Software · Beratung · Lösungen

Suche im Blog

Sign In

Saturday, 31 March 2007

USB-Stick kostenlos verschlüsseln. Warum und wie?

Was schleppt man nicht immer so alles mit sich herum...  und es ist ja so einfach geworden mit den USB-Sticks, die man inzwischen an jeder zweiten Tankstelle als Werbegeschenk bekommt und deren bezahlbare Kapazität sich mittlerweile in Bereiche vorwagt, die nie ein ZIP- oder JAZ-Laufwerk gesehen hat (wer sich noch erinnern kann).

<Kleiner Exkurs> Und überhaupt ist USB inzwischen irgendwie mein Ding geworden, obwohl ich länger dazu gebraucht habe als andere: Der neue Brenner, der vor einiger Zeit seinen dahingeschiedenen eingebauten Großvater ersetzt hat, brennt problemlos und ausreichend performant extern via USB. Die ein wenig an den Hüften spannende Festplatte wird durch eine robuste externe Platte entschlackt, auf die all der Kram kommt, der nach einer Neuinstallation oder Rechnertausch schmerzlich vermisst wird. Beides ist mir persönlich sicher auch noch in fünf, sechs Jahren - ja vielleicht sogar noch länger - schnell genug, wenn die outgesourced'te (wie zum Teufel soll man das eigentlich richtig schreiben? Muss man das überhaupt?)  Peripherie lange genug durchhält. Der Rechner sicher nicht! </kleiner Exkurs>

OK, zurück zum Thema: Auf schlüsselanhängergroßen "Platten", Sticks, MP3-Playern und auf unterschiedlichsten Vertretern der formfaktorreichen Speicherkartenwelt trägt Hinz wie Kunz heute federleichte und dennoch enorme Datenmengen durch die Gegend, die in ausgedruckter Form selbst dem guten alten Hulk beim hilfsmittellosen Transport den (grünen?) Schweiß auf die Stirn treiben würde. Sind das alles immer nur die neusten Top 8000 aus den gängigen Charts? Verstohlen abgefilmte Augenkrebsfassungen der bald erscheinenden cineastischen Meisterwerke mit Wolldecken-im-Mund-Ton? Oder hat der eine oder andere auch Dinge bei sich, die er nicht nur vermissen würde, sondern auch gern selbst nach einem Verlust des Datenträgers "einigermaßen sicher" wissen würde? Und das vorzugsweise kostenlos?

Klar weiß ich selbst, dass nichts, was von Menschenhirn zum Schutz von Privatsphäre erdacht wurde, nicht mehr oder minder leicht von versierter und gut ausgerüsteter Hackerhand wieder an´s Tageslicht gezerrt werden kann (Ihr Säcke!), aber wenn wir mal ehrlich sind, so finden die statistisch gesehen weniger häufig einen USB-Stick mit vielleicht doch eher privatem Inhalt als das Heer der reinen PC-Anwender. Und die mögen zwar allesamt ein gewisses Potential krimineller Energie in sich tragen, aber nicht alle haben das Rüstzeug, um sich selbst durch eine vergleichsweise einfache Verschlüsselung zu bohren.

Dummerweise ist aber für alles, was einem dazu zuerst einfällt, ein leicht googlebares Kraut gewachsen: Verschlüsselte ZIP-Archive sind weniger sicher als die Rente, versteckte Dateien und Ordner keine wirklich sichere Lösung und alles nach dem Gebrauch in "tmpaskdsdjlasds.$$$" umzubenennen oder ähnliche Späße ist gleichfalls kindisch wie umständlich. Hausgemachte Verschlüsselung von Office-Dokumenten und gängigen Datenbanken hält einer guten Suche im Web auch nicht lange Stand. (Nebenbei tun dies die Passwörter vieler Anwender auch nicht und für eine BruteForce-Attacke braucht es neben einem der vielen Tools dann nur noch ein wenig Zeit, die man mit Kenntnissen über den Angegriffenen noch verkürzen kann, indem man ein paar Stichworte vorgibt und das Werkzeug dann seine Arbeit machen läßt).

Also muss ein anderes Stück Software her, dem man ansatzweise vertraut. Das kann die Anwendung sein, die beim USB-Stick der preislichen Mittelklasse gleich dabei war oder die bisher unbeachtet zum schon lange gekauften "Alles kein Problem, wir kümmern uns drum" - Sicherheitspaket gehört, dass man sich in einem Moment geistiger Klarheit mal für den heimischen PC gegönnt (und seit Ablauf der im Preis enthaltenen Updates natürlich nicht mehr aktualisiert) hat.

Wer nun aber einen USB-Stick oder anderen externen Datenträger - mit elektronischen Kontoauszügen, den Passwörtern seiner Bank- und Mailaccounts, abgelegt in Pimmy oder anderen praktischen Programmen oder die anzüglichen Fotos der Freundin (die die Frau besser nicht sehen sollte) - ohne Software hat und plötzlich oder erst jetzt beim Lesen einen Anflug von Sicherheitsbedürfnis verspürt, dem mag ich nun, da er so lange durchgehalten hat, auch gern einen Tipp geben. Ich habe mir einige Dinge angesehen. Für mein portables Fort Knox Light fiel die Wahl nach einigen Versuchen auf (... and the winner is:) TrueCrypt (Tusch verklingt, Beifall setzt ein).

Neben dem angenehmen Preis gefallen mir einige Kleinigkeiten an dieser Lösung, die optisch vielleicht nicht das Maß der Dinge ist, aber ich will ja auch verschlüsseln und nicht in's Kunstmuseum.

  • Das Programm selbst (man kann sich bis auf unter 900 KB sparen, wenn man nur das allernötigste für die meisten Fälle mitnimmt) passt gut auf den USB-Stick, so dass man an jeden beliebigen PC alles mitbringt, was man braucht, damit man auf seine geschützten Daten zugreifen oder das geschützte Archiv mit frischen Daten ausbauen kann
  • Der Zugriff auf das Archiv kann dadurch problemlos auch via Autorun.inf gleich beim Einstecken des Sticks angeworfen werden. Ein Archiv läßt sich dann einfach wie ein weiteres Laufwerk mounten, so dass man "natürlich" darauf zugreifen kann
  • Es bietet nicht nur ein, sondern mehrere Verschlüsselungsverfahren und -algorhytmen, die sich auch unterschiedlich Kombinieren lassen
  • Auf Zuruf kann es auch Deutsch und andere Sprachen; Sprachdateien gibt es wie XML-Sand am Meer. Das mag dem einen oder anderen bei der Bedienung des nicht ganz intuitiven Menüs helfen
  • Hardcore-Paranoiker können versteckte innere Volumes in "ummantelnden" Archiven anlegen und je nach Passwort das innere oder äußere Volume beim Zugriff öffnen. Mir gefällt das deswegen so gut, weil man den drei "Schichten" der Verschlüsselung eines Archivs so auch weitere Schalen hinzufügen kann - und ganz einfach, weil es geht und ich die Idee mag. Das Argument, dass man das Kennwort der ersten drei Schalen preisgeben kann, wenn man dazu gezwungen wird, um die Existenz des inneren Volumes mit den "eigentlichen" Daten, die durch Pseudowichtiges Beiwerk im äußeren Container noch weiter verschleiert werden, zu schützen, mag für Geheimagenten noch gut sein, die dem Druck einer Folter ausreichend lange Stand halten können; mir gefällt einzig und allein das Konzept... Ich gedenke ja aber auch nicht, mit einem USB-Stick voller Geheimpläne in Krisengebiete zu fliegen, sonst denke ich vielleicht mal anders darüber.
  • Das Tool ist nicht nur für USB-Sticks, sondern auch für Archive auf MP3-Playern, externen Festplatten (siehe oben ;)) oder auch dem (bitte niemals verlieren!) Notebook oder Desktop prima geeignet (übrigens nicht nur unter Windows)
  • Per Kommandozeilenparameter kann man das Programm so ziemlich zu allem veranlassen, nur nicht zum Stepptanz. Wer Spaß an autorun.infs, Batch-Dateien oder Scripten aller Art hat, wird sich darüber freuen. So zusagen "adminkompatibel" :-)

Eine Installations- und Bedienungsanleitung spare ich mir allein deshalb schon, weil das hier sonst noch das Internet sprengt. Außerdem habe ich bei meiner Suche nach einer kostenlosen Lösung meines Anliegens einen Haufen an deutschen und englischen Anleitungen in den Suchergebnissen gefunden, also warum noch eine mehr dahin posten, wo selten die Sonne scheint? Statt dessen möchte ich Dir, lieber Leser, noch ein paar Tipps und Anregungen geben, wenn Du TrueCrypt wirklich ausprobieren möchtest oder ernsthaft darüber nachdenkst, portable Daten mit dessen Hilfe zu rüsten:

  • In einer Autorun.inf auf dem Stick kann mehr passieren, als nur "etwas" zu starten. Ich statte z. B. alles, was ich so mit mir rumtrage, mit einer Bitte um Rückgabe aus, da ich prinzipiell immer noch an das Gute im Menschen glaube. Eine Textdatei mit der Adresse und dem Angebot eines angemessenen Finderlohns (Betrag ruhig reinschreiben!) erhöht die Rückgabewahrscheinlichkeit selbst bei einem MP3-Player enorm, wenn man an einen entsprechenden Finder gerät; selbst wenn der auch prima einen neuen Player gebrauchen kann. Je nachdem, ob auf dem Player nur Mucke oder auch wichtigere Dinge untergebracht sind, mag das also durchaus sinnvoll sein. Diese Textdatei kann beim Zugriff auf den Stick gleich geöffnet (open=...) - bzw. mit einem entsprechend reißerischen Titel wie "BITTE BITTE BITTE LESEN" in das Menü neuerer Windowsfassungen eingebunden werden.

    In meinem Fall beschränke ich mich darauf, ein "Gefunden? <meine Mailadresse>" als Label des Laufwerks via autorun zu beschränken. Das ist erstens weniger umständlich; zweitens muss das reichen, wenn der potentielle Finder wirklich vorhaben sollte, Gefundenes zurück zu geben. Ein kleines Beispiel dafür siehe unten.
  • Wenn alles, was portabel und per USB anschließbar ist, im Explorer nun plötzlich "Gefunden? Bitte [email protected]" (siehe oben) heißt, kann das unübersichtlich werden, wenn mehr als ein Gerät eingesteckt wird. Egal, dafür gibt es Icons. Der MP3-Player bekommt ein schönes Grammofonsymbol (Mist, ich wollte doch "Grammophon" schreiben!); der USB-Stick 1 ein anderes, ebenso eindeutiges Symbol , das von USB Stick 2 abweicht usw.  "Icon=blabla.ico" in der autorun reicht und die Icons findet man zu Phantastilliarden Hoch Zehn im Web.
  • Twofish, AES und die NavySeals zusammen helfen nichts, wenn das Passwort zu kurz, zu erratbar oder schlicht "zu doof" ist.  Ein einigermaßen ordentliches Passwort (sicher ist man nie, aber wir versuchen es hier ja gerade) ist auch ordentlich lang; enthält große wie kleine Lettern nebst Zahlen und vorzugsweise auch das eine oder andere Sonderzeichen. Und wenn es schon "lesbare" Begriffe sein müssen, dann bitte falsch kombiniert und / oder falsch geschrieben. Genug davon; nur bitte mal drüber nachdenken. Es muss ja nicht jedes Passwort "recht sicher" sein, das man im Leben braucht - aber wir verstecken hier schließlich gerade die Pläne zur angestrebten Weltherrschaft auf dem Stick und da darf es auch gern etwas sicherer sein, oder?
  • Auch der Dateiname eines verschlüsselten Containers muss nicht immer gleich darauf hinweisen, dass darin etwas liegt, dass man schützen möchte. Die meisten Verschlüsselungsprogramme sind sehr nachsichtig, wenn man einen andere oder gar keine Extension vergibt. Das hilft zwar im Beispiel eines automatisch geöffneten Archivs beim Einstecken nicht viel, da hier der Name des Archivs und dessen Existenz ja direkt kundgetan wird, kann aber als Denkanstoß beim Schützen von Daten auf dem heimischen PC dienen.
  • Als "Quickstart" mag ein Beispiel für eine autorun.inf auf einem USB-Datenträger dienen:

    [autorun]
    label=Gefunden? [email protected]
    icon=TC\stick.ico
    action=Archiv öffnen
    open=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
    shell\mdec=Archiv öffnen...
    shell\mdec\command=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
    shell\start=TrueCrypt starten...
    shell\start\command=TC\TrueCrypt.exe
    shell\dismount=Alle TrueCrypt - Laufwerke trennen
    shell\dismount\command=TC\TrueCrypt.exe /q /d

Tipp: Sollte das "Starten" des Archivs auf einem Zielrechner mal nicht funktionieren, ist dort wahrscheinlich eine ältere Fassung von TrueCrypt installiert und aktiv, so dass der Treiber beleidigt ist und sich weigert, das Archiv seines Nachfolgers zu öffnen. In diesem Fall zuerst (-> siehe Tray) TrueCrypt auf dem Rechner beenden und dann noch Mal "ein-sticken"...

#