VeraCrypt - Systemübergreifende Verschlüsselung

Foto: © marcus_hofmann / Fotolia.com

Foto: © marcus_hofmann / Fotolia.com

VeraCrypt ist eine betriebssystemübergreifende Methode um einzelne Datenbestände bzw. das gesamte Betriebssystem zu verschlüsseln. Es steht damit in Konkurrenz zu nativen Methoden wie z.B. LUKS. Im Gegensatz zu diesem ist es mit VeraCrypt aber auch möglich ein Betriebssystem nachträglich zu verschlüsseln. 

Von TrueCrypt zu VeraCrypt

Das überraschende Entwicklungsende von TrueCrypt und die immer noch etwas mysteriösen Hintergründe haben die Anwender um eine funktionsfähige, systemübergreifende Möglichkeit zur Verschlüsselung gebracht. Zwar haben alle Betriebssysteme ihre Verschlüsselungssysteme (LUKS/dm-crypt, BitLocker, FileVault), aber keines davon funktioniert auf allen Betriebssystemen. TrueCrypt wurde mit der Einstellung seiner Entwicklung nicht sofort unbenutzbar. Obwohl die Hintergründe des plötzlichen Entwicklungsstops immer noch mysteriös sind, förderten die Audit-Ergebnisse keine substanziellen Schwächen zutage. Doch mit zeitlicher Distanz zum Entwicklungsstop von TrueCrypt wachsen auch die bekannten Schwachstellen im Code.

Der Quellcode von TrueCrypt war zwar immer frei zugänglich, die Lizenz wurde von Instanzen wie der Open Source Initiative (OSI) jedoch nie als Open Source Lizenz anerkannt (siehe auch den entsprechenden Abschnitt bei Wikipedia). Durch diese Unklarheiten wurde ein sonst üblicher Automatismus der Open Source Welt verzögert. Dieser führt nämlich normalerweise dazu, dass bei einem Entwicklungsstop eines wichtigen Open Source-Projekts oder Differenzen in der Entwicklergemeinde sofort eine Abspaltung des Codes vorgenommen wird.

Inzwischen hat sich unter den diversen Nachfolgeprojekten jedoch VeraCrypt durchgesetzt. Die Lizenzfrage ist zwar noch nicht endgültig geklärt, scheint aber an Brisanz verloren zu haben. VeraCrypt basiert auf TrueCrypt und ist auch in der Lage mit dessen Containern umzugehen. Neu hinzugefügter Code steht unter einer Apache-Lizenz, während der übernommene Code weiterhin unter der TrueCrypt-Lizenz steht. Für eine komplette Überarbeitung des Codes fehlen wohl vor allem die Entwickler - ein chronisches Problem in der Open Source - Welt.

Vor- und Nachteile von VeraCrypt

Der Hauptvorteil von VeraCrypt gegenüber nativen Verschlüsselungmethoden der jeweiligen Betriebssysteme besteht in seiner systemübergreifenden Verfügbarkeit. Damit ist es insbesondere für den sicheren Dateiaustausch, sowie die Verschlüsselung externer Datenträger geeignet. Diese lassen sich zwar auch durch LUKS oder BitLocker sichern, aber dies schränkt die Nutzbarkeit auf die jeweilig unterstützen Betriebssysteme ein. Dadurch eignen sich diese Methoden nur für Anwender, die in einem absolut homogenen Betriebssystemumfeld agieren - ein Anwendungsszenario, das immer seltener zum Einsatz kommt.

Außerdem unterstützt VeraCrypt das Prinzip der glaubhaften Abstreitbarkeit. Durch versteckte Container lassen sich selbst bei erzwungener Passwortherausgabe sensible Daten schützen. Ein maßgeblicher Vorteil gegenüber vielen anderen Verschlüsselungslösungen.

Genau wie TrueCrypt, kann auch VeraCrypt für die Komplettverschlüsselung des Betriebssystems genutzt werden. Das ist insbesondere dann interessant, wenn man z.B. unter Windows dem proprietären BitLocker nicht vertraut. Unter Linux gibt es keine nennenswerten Vorteile zu LUKS (dm-crypt). Hier liegen aber auch die größten Nachteile von VeraCrypt, was durch die wenigen Entwickler und den betagten Code bedingt sein dürfte. VeraCrypt kann - ebenso wie TrueCrypt - noch immer nicht mit UEFI-Systemen umgehen. Damit ist VeraCrypt für die Vollverschlüsselung auf modernen Systemen weitgehend uninteressant. Das ist aber vor allem bei modernen Betriebssystemen unattraktiv, für z.B. Windows 7 spielt das keine Rolle, da dieses ebenfalls nur im s.g. Legacy-Modus funktioniert.

Installation und Einrichtung

Der Installationsprozess von VeraCrypt verrät die Fokussierung auf Windows-Systeme. Während Windows-Anwender einfach die im Downloadarchiv enthaltene .exe-Datei nutzen können, steht für Linux-Anwender nur eine binäre Installationsroutine zur Verfügung. Einzelne Distributionen wie openSUSE haben in Fremdquellen auch Pakete für die Installation, aber hier muss man dem jeweiligen Autor der Fremdquelle vertrauen - eine Entscheidung die bei Verschlüsselungssoftware noch schwerer fällt, als sonst.

Die Installation wird über den Aufruf der Installationsdatei gestartet und ähnelt weitgehend einer typischen Windows-Installation.

veracrypt

Die Oberfläche erinnert stark an TrueCrypt, wodurch sich langjährige Nutzer gleich zu Hause fühlen werden. Die Einrichtung eines verschlüsselten Containers oder externen Datenträgers ist selbsterklärend.

veracrypt erstellen

Über die Schaltfläche Volume erstellen beginnt man die Routine zur Erstellung eines neuen verschlüsselten Containers. Zuerst muss man den gewünschten Verschlüsselungstyp auswählen. Wie bereits erwähnt ist die Verschlüsselung der System-Parition nur auf herkömmlichen BIOS-Systemen möglich, nicht jedoch auf modernen UEFI-Systemen. Nach der Auswahl des Typs muss noch entschieden werden, ob man im Sinne des Prinzips der "glaubhaften Abstreitbarkeit" einen versteckten Bereich anlegen möchte.

veracrypt erstellen hidden volume

Sofern man keine Systeme mit herkömmlicher TrueCrypt-Installation hat, kann man neue Container im VeraCrypt-Format anlegen. Das Dateisystem sollte zudem ebenfalls durch alle Zielbetriebssysteme unterstützt werden. Meist ist deshalb NTFS sinnvoll - trotz all seiner Nachteile.

Weiterführende Links

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top