Verschlüsselung der Festplatte mit verstecktem Betriebssystem

Seit Version 6.0 von TrueCrypt ist außerdem eine besondere Funktion integriert: Man hat nun die Möglichkeit, je nach Art des Passwortes welches man zu Beginn eingibt, entweder auf ein öffentliches oder ein verstecktes Betriebssystem zugreifen. Gibst du z.B. das Passwort sicher_1_HEIT_2_ist_3_WICHTIG, dein Notfallpasswort, ein, lädt der Computer dein öffentliches Windows, auf welchem du neben Firefox, Pidgin und einem Textverarbeitungsprogramm nichts weiter Bedenkliches gespeichert hast. Du kannst nun schnell dein privates ePostfach abrufen, deinem Kumpel Bescheid geben wann die Feier heute Abend steigt und schnell bei einem Auktionshaus auf das neue Mobiltelefon bieten, ohne dass ein potenzieller Angreifer merkt, dass du dich eigentlich gar nicht in deiner gewohnten Umgebung befindest. Es soll Fälle geben, in denen man gezwungen ist – oder wird – das Passwort herauszugeben, genau für einen solchen Fall wurde diese Funktion eingebaut. Bilst du nun alleine und in Sicherheit, gibst du dein anderes Passwort ein und es wird dein normales (geheimes) Windows, unter welchem du alle brisanten Daten und Konten gespeichert hast, hochgefahren. In dieser Umgebung kannst du nun in aller Ruhe deine Kontakte zu Kameraden pflegen, Projekte für die nächsten Aktionen planen und verwalten sowie interne Foren abrufen.

Soviel zum Allgemeinen, nun wird für die Interessierten die dahinterstehende Technik erläutert: Vor Installation des Betriebssystems wird die Festplatte in zwei Partitionen unterteilt, die erste dient dem öffentlichen Bereich, die zweite dem versteckten Bereich sowie versteckten Betriebssystem. Nachdem Windows und anschließend TrueCrypt installiert wurde, wird der versteckte Bereich, also die zweite Partition verschlüsselt. Ist die Verschlüsselung abgeschlossen, werden weniger brisante Daten, ein paar Fotos, Lieder und belanglose Textdokumente in diesen Bereich kopiert. Nun wird das auf Partition 1 befindliche Windows in Partition 2 versteckt eingebettet. Danach wird das auf Partition 1 befindliche Windows ebenfalls verschlüsselt. Wir haben nun drei Passwörter. Mit unserem ersten Passwort gelangen wir beim Hochfahren nach Eingabe desselbigen auf Partition 1, auf welcher das öffentliche Windows liegt. Anhand unseres zweiten Passworts können wir nun Partition 2 öffnen und sehen die belanglosen Daten, mehr nicht. Geben wir jedoch beim Hochfahren das dritte Passwort ein, wird das in Partition 2 eingebettete, versteckte Windows geladen.

Voraussetzung für das Verschlüsseln der Festplatte mit dieser Methode ist, dass der vorhandene Datenträger in zwei Partitionen unterteilt ist. Dabei ist zu beachten, dass Partition 2, auf welche das versteckte Betriebssystem kommt, mindestens 5% größer sein muss als Partition 1. Diese sollte aber auch nicht viel größer sein, da die Größe des versteckten Betriebssystems immer nur so groß ist, wie die Größe von Partition 1. Haben wir also eine 160GB Festplatte und unterteilen diese in 30GB (Partition 1) und 130GB (Partition 2), so ist der Bereich auf Partition 2 in dem sich das versteckte Betriebssystem befindet am Ende auch nur maximal 30GB groß, d.h. uns gehen abzüglich der 1GB an irrelevanten Daten auf Partition 2 rund 99GB verloren!

Im Hauptfenster drückst du auf Volumen erstellen.

Hier wählst du "System-Partition bzw. System-Laufwerk verschlüsseln" und drückst auf Weiter.

Im folgenden Fenster wählst du Versteckt und bestätigst mit Weiter.

Es erscheint nun eine Meldung, die dir mitteilt, dass sich auf der momentanen Partition, auf der sich Windows befindet, keine sensiblen Daten befinden dürfen bzw. sollten. Bestätige dies mit OK und klicke dann auf Weiter.

Nun erscheint eine Warnung. Du musst dir bewußt sein das du eine Windows Installations CD/DVD benötigst um weiter machen zu können. Dies wird mit JA bestätigt.

Wieder erscheint eine Information die besagt das während des Verschlüsselungsprozesses auf keinen Fall in den Ruhezustand oder Standby-Modus gegangen werden solle (Deaktivieren!). Es wird wieder mit OK bestätigt.

Im folgenden Fenster wählst du Ein Betriebsystem aus uns bestätigst mit Weiter.

Es folgt eine weitere Warnung. Das Betriebssystem muss bei Windows aktiviert sein. Wenn dein derzeitiges Betriebssystem den Anforderungen entspricht bestätige mit JA.

In den nächsten Schritten wird das äußere TrueCrypt Volumen (Partition 2) erstellt. Im folgenden Fenster drücken wir direkt auf Weiter.

Als nächstes wird der Algorithmus ausgewählt, welcher die Grundlage der Verschlüsselung bieten soll. Am Besten wählst du den Advanced Encryption Standard (AES) oder Twofish. Diese bieten eine sichere Verschlüsselung bei wenig Systembelastung. Als Hash-Algorithmus kannst du RIPEMD-160 lassen.
Weiter!

Merke dir welchen Algorithmus du wählst denn du MUSST! ihn zwingend in den nächsten Schritten erneut auswählen

Im folgenden Fenster wird die Gesamtkapazität der Partition 2 angezeigt. Bestätige mit Weiter

Nun musst du ein Passwort wählen.

Bitte Abschnitt Das Passwort beachten!

Hast du dieses eingegeben, bestätigst du wieder mit Weiter.

Im folgenden Fenster wählst du das Dateisystem. Wenn du Daten die größer als 4 GB auf deiner Festplatte lagern möchtest nimmst du JA ansonsten sollte NEIN angeklickt bleiben. Weiter

Wie empfehlen dir auf NEIN zu klicken und somit das FAT Format zu wählen

Nun musst du etwas mit der Maus im Fenster hin und her fahren (um Zufallsdaten zu sammeln).

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen.
Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser.
Dies trägt zu einer verbesserten Verschlüsselung bei.

Danach drückst du auf Formatieren.

TrueCrypt verschlüsselt nun Partition 2. Dieser Vorgang kann, je nach Leistung des vorhandenen Computers, sehr lange dauern.

Wenn die Partition vollständig verschlüsselt ist, wirst du aufgefordert schein-sensible Daten darauf zu speichern. Öffne über den Knopf das äußere Volume und kopiere Daten hinein, die zwar vertraulich wirken, es aber in Wahrheit gar nicht sind. Am Besten ist eine Mischung aus Dokumenten, Video- und Audiodateien, sowie Bildern. Empfehlenswert ist es auch nicht gerade nur 100 Megabyte zu belegen, sondern schon das ein oder andere Gigabyte (wenn möglich) um nicht ganz so auffällig zu wirken. Hast du das getan, drücke auf Weiter

Die Daten auf dieser Partition darfst du nach Abschluss dieses Leitfadens auf KEINEN FALL mehr verändern! Falls doch, ist ein Datenverlust oder gar eine Zerstörung des versteckten Windows die Folge.

Jetzt beginnt die Erstellung des versteckten Betriebssystems.

Nachdem du in dem oberen Fenster auf Weiter gedrückt hast erscheint die von uns weiter oben schon angekündigte Warnung. Merke dir unbedingt den Algorithmus den du verwendest da du ihn in exakt gleicher Form öfter brauchen wirst. Weiter gehts mit einem Klick auf OK.

Als nächstes wird der Algorithmus ausgewählt, welcher die Grundlage der Verschlüsselung bieten soll. Am Besten wählst du den Advanced Encryption Standard (AES) oder Twofish. Diese bieten eine sichere Verschlüsselung bei wenig Systembelastung. Als Hash-Algorithmus kannst du RIPEMD-160 lassen.
Weiter!

Nun musst du wieder ein Passwort wählen. Das Passwort für dieses versteckte Betriebssystem muss sich erheblich von den anderen beiden Passwörtern unterscheiden (d.h. von dem Passwort für das äußere Volumen und von dem Passwort für das Köder-Betriebssystem).

Als Passwort gibst du nun das wichtigste in diesem Leitfaden ein, denn dieses verschafft dir den Zugriff auf den sensiblen Bereich. Von daher sollte es stärker bzw. länger sein als die beiden anderen Passwörter. Weiter mit einem Klick auf OK.

Bitte Abschnitt Das Passwort beachten!

Hast du das sichere Passwort eingegeben, bestätigst du wieder mit Weiter.

Nun musst du etwas mit der Maus im Fenster hin und her fahren (um Zufallsdaten zu sammeln).

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen.
Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser.
Dies trägt zu einer verbesserten Verschlüsselung bei.

Danach drückst du auf Formatieren.

Sobald die Aktion abgeschlossen ist erhälst du die Bestätigung dass das versteckte Betriebssystem erfolgreich erstellt wurde. Klicke auf Weiter um fortzufahren.

Im nächsten Fenster wirst du darüber informiert, dass nun das Windows von Partition 1 in den versteckten Bereich von Partition 2 kopiert (Geklont) wird.

Drücke bei der Meldung, dass die Passwortabfrage nach dem Start des Computers nur in Englisch verfügbar ist, auf Ja. Nun noch zweimal auf Ja und der Computer startet neu.

Der Computer startet nun neu und du siehst zum ersten Mal den installierten Boot-Loader. Sieht ganz unspektakulär aus und fordert dich lediglich auf, dein Passwort für das versteckte Windows einzugeben. Hast du das getan beginnt auch schon der Kopiervorgang.

Ist der Kopiervorgang abgeschlossen, musst du nun nocheinmal das Passwort für das versteckte Betriebssystem eingeben und schon landest du zurück im Windows. Es erscheint ein Fenster, welches dich informiert das dieses Betriebssystem schreibgeschützt eingebunden wurde und ein weiteres Fenster welches dich auffordert, nun das öffentliche Windows zu löschen.

Du drückst jetzt zwei mal auf Weiter und landest beim Fenster: Sicher Löschen. In diesem Fenster werden dir nun verschiedene Sicherheitsstufen von Lösch-Methoden angeboten, durch welche die Daten auf der Festplatte sicher gelöscht werden können. Am besten wählst du 7-pass (US DoD 5220.22-M), um einen Kompromiss aus Sicherheit und Schnelligkeit zu erhalten. Weiter!

Es erscheint nun eine Meldung, die dich davor warnt, dass der gesamte Inhalt der Partition, auf der sich das Original Betriebssystem befindet, gelöscht wird. Bestätige dies mit JA. Im darauf folgenden Fenster fährst du etwas mit der Maus im Fenster hin und her (um Zufallsdaten zu sammeln) und drückst anschließend auf Fortsetzen.

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen.
Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser.
Dies trägt zu einer verbesserten Verschlüsselung bei.

Nachdem TrueCrypt das Original Windows gelöscht hat folgt ein Hinweisfenster welches du mit OK wegklicken kannst. Um eine glaubhafte Leugnung (plausible deniability) zu erreichen, musst du jetzt ein Köder-System erstellen.

Dazu musst du aus Sicherheitsgründen erstmal deinen Computer ausschalten und ihn mehrere Minuten ausgeschaltet lassen (je länger, um so besser). Dies ist notwendig um den Speicher zu leeren der sensible Daten enthalten kann. Schalte dann den Computer wieder an, aber starte nicht vom versteckten System aus, sondern Boote von einer Original Windows Betriebssystem CD/DVD und installiere Windows auf der Partition dessen Inhalt gerade gelöscht wurde (das heißt auf der Partition (C://!) auf der das Originalsystem installiert war, dessen Klon das versteckte System ist).

Wenn du das Köder-System installierst wird es nicht möglich sein das versteckte System zu starten weil der TrueCrypt Bootloader vom Windows Systeminstallationsprogramm gelöscht wird.
Das ist normal und zu erwarten. Du kannst das versteckte System wieder starten sobald du das Köder-System verschlüsselt hast weil TrueCrypt dann automatisch den Bootloader wieder installiert hat.

Ist Windows neu Installiert startest du dieses ganz normal und Installierst TrueCrypt.

Denke daran, dass das Köder-System niemals sensible Daten enthalten darf

Starte TrueCrypt und drücke im Hauptfenster auf Volumen erstellen.

Hier wählst du "System-Partition bzw. System-Laufwerk verschlüsseln" und drückst auf Weiter.

Im folgenden Fenster wählst du Normal und bestätigst mit Weiter.

Da die zweite Partition schon verschlüsselt ist wählst du hier: Die Windows System-Partition verschlüsseln.

Falls nur das versteckte Betriebssystem und das Köder-System auf dem Computer installiert sind, wählst du nun "Ein Betriebssystem" (wenn mehr als diese beiden Systeme au dem Computer installiert sind wählst du "Mehrere Betriebssysteme"). Klicke dann auf Weiter.

In diesem Schritt musst du den selben Verschlüsselungsalgorithmus und den selben Hash-Algorithmus auswählen, den du auch für die versteckte Partition verwendet hast. Andernfalls wirst du auf das versteckte System nicht mehr zugreifen können.

Das Köder-System und das versteckte System müssen gleich verschlüsselt sein. Der Grund dafür ist, dass das Köder-System und das versteckte System sich einen Bootloader teilen werden, was nur einen einzigen, vom Nutzer gewählten, Algorithmus unterstützt (für jeden Algorithmus gibt es eine Extraversion des TrueCrypt Bootloaders).

In diesem Schritt wählst du ein Passwort für das Köder-Betriebssystem. Dieses Passwort kannst du einem Gegner/Angreifer verraten wenn du dazu gezwungen wirst dein Pre-Boot Authentifikations-Passwort zu verraten (das andere Passwort, dass du verraten kannst ist das für das äußere Volumen). Die Existenz des dritten Passworts (das Pre-Boot Authentifikations-Passwort für das versteckte Betriebssystem) bleibt geheim.

Bitte Abschnitt Das Passwort beachten!

Das Passwort, dass du für das Köder-System wählst muss sich erheblich von dem für das versteckte Volumen (das versteckte Betriebssystem) gewählten Passwort unterscheiden.

Weiter!

Im folgenden Fenster fährst du etwas mit der Maus im Fenster hin und her (um Zufallsdaten zu sammeln) und drückst anschließend auf Weiter.

Den Mauszeiger in diesem Fenster zufällig hin und her bewegen.
Je länger (min. 30 Sekunden) du die Maus bewegst, desto besser.
Dies trägt zu einer verbesserten Verschlüsselung bei.

Die Schlüssel wurden erfolgreich erstellt. Hier klickst du wieder auf Weiter.

Im folgenden Punkt musst du eine sogenannte Rettungs-CD (Rescue Disk) erstellen. Diese wird benötigt, falls der Boot-Loader (Programm welches direkt nach dem Hochfahren startet und das Passwort verlangt) oder das Betriebssystem defekt ist, oder von einem Virus befallen wurde.

Diese CD ersetzt natürlich NICHT das sichere Passwort.

Du wählst einen Ort an dem das Abbild der CD gespeichert werden soll und bestätigst mit Weiter.

Dieses Abbild muss nun mit einem Brennprogramm, beispielsweise Nero (kommerziell) oder ImgBurn (kostenlos) gebrannt werden, um mit der TrueCrypt Verschlüsselung fortfahren zu können.

Du kannst solange nicht mit Weiter bestätigen, bis TrueCrypt die gebrannte Rettungs-CD im CD-Laufwerk erkennt. Nachdem du die CD gebrannt hast erhälst du die Meldung, dass die Rettungs-CD erfolgreich erkannt wurde. Jetzt kannst du mit Weiter fortfahren.

Bewahre die Rettungs-CD an einem Ort auf, wo diese vor Beschädigungen geschützt ist und Du sie im Notfall auch wieder findest!

Im folgenden Fenster werden dir nun verschiedene Sicherheitsstufen von Lösch-Methoden angeboten, durch welche die Daten auf der Festplatte sicher gelöscht werden können. Am besten wählst du 7-pass (US DoD 5220.22-M), um einen Kompromiss aus Sicherheit und Schnelligkeit zu erhalten. Weiter! Es erscheint nun eine Meldung, die dich davor warnt, dass diese Lösch-Methoden einige Zeit in Anspruch nehmen können, bestätige mit Ja.

Es werden keine Daten auf der Festplatte gelöscht. Diese Löschung gilt nur dem Freien Speicherplatz!

Im nächsten Fenster teilt dir das Programm mit, dass es nun deinen Computer auf Kompatibilität testet und einige notwendige Veränderungen vornimmt. Drücke auf Test.

Drücke bei der Meldung, dass die Passwortabfrage nach dem Start des Computers nur in Englisch verfügbar ist, auf Ja. Nun noch zweimal auf Ja und der Computer startet neu. Du musst nun auch das erste Mal dein gewähltes Passwort eingeben, um das Betriebssystem starten zu können.

Hast du dein Passwort richtig eingegeben und dein Computer ist wieder hochgefahren, erhälst du die Meldung, dass der Test erfolgreich durchgeführt wurde. Du drückst nun auf Verschlüsseln.

Nach Bestätigen des aufgehenden Fensters mit OK beginnt TrueCrypt den Computer zu verschlüsseln. Je nach Rechenleistung und Festplattengröße kann dieser Prozess etwas länger dauern, in der Regel jedoch mehrere Stunden.

Für diese Anleitung haben wir die Festplatte nicht extra sicher Gelöscht. Du solltest auf jedenfall die Festplatte wie oben beschrieben mit 7-pass (US DoD 5220.22-M) löschen lassen

Hat TrueCrypt das Verschlüsseln deiner Festplatte beendet kannst du mit OK Bestätigen und auf Fertig stellen klicken.

Nachdem du das Köder-System verschlüsselt hast ist der gesamte Prozess ein verstecktes Betriebssystem zu erstellen abgeschlossen. Du kannst nun drei Passwörter nutzen:

  1. Das Passwort für das äußere Volumen
  2. Das Pre-Boot Authentifikations-Passwort für das versteckte Betriebssystem
  3. Das Pre-Boot Authentifikations-Passwort für das Köder-System

Wenn du das versteckte Betriebssystem starten möchtest, musst du nur das Passwort für das versteckte Betriebssystem im TrueCrypt Bootloader-Bildschirm eingeben (dieser erscheint nachdem du deinen Computer einschaltest).

Wenn du das Köder-Betriebssystem starten möchtest, musst du nur das Passwort für das Köder-System im TrueCrypt Bootloader-Bildschirm eingeben. Das Passwort für das Köder-System kann an jede Person ausgegeben werden, die dich zwingt dein Pre-Boot Authentifikations-Passwort zu verraten. Die Existenz des versteckten Volumen (und des versteckten Betriebssystems) bleibt geheim.

Das dritte Passwort (für das äußere Volumen) kann ebenfalls an jede Person ausgegeben werden, die dich zwingt dein Passwort für die erste Partition hinter der Systempartition zu verraten, in dem sich sowohl das äußere Volumen als auch das versteckte Volumen (mit dem versteckten Betriebssystem) befinden. Die Existenz des versteckten Volumen (und des versteckten Betriebssystems) bleibt auch hier geheim.

Wenn du das Passwort für das Köder-System einer Person verraten musst und du gefragt wirst warum der ungenutzte Speicherplatz der (Köder-)Systempartition zufällige Daten enthält kannst du zum Beispiel folgendes Antworten:

Die Partition enthielt zuvor ein mit TrueCrypt verschlüsseltes System aber ich habe das Passwort vergessen (oder das System wurde beschädigt) und musste Windows neu installieren und wieder verschlüsseln.

Wenn alle Anweisungen befolgt werden und alle Vorkehrungen und Voraussetzungen im Abschnitt "Security Requirements and Precautions Pertaining to Hidden Volumen" in der TrueCrypt Bedienungsanleitung erfüllt sind, wird es unmöglich sein zu beweisen, dass das versteckte Volumen und das versteckte Betriebssystem existieren. Dies trifft auch zu wenn das äußere Volumen eingebunden ist oder wenn das Köder-Betriebssystem entschlüsselt oder gestartet ist.

Auch durch einen Ausbau der Festplatte und Zugriff von Linux auf das Dateisystem kommt man nicht an die Daten heran

Optional: Das Boot-Menü anpassen

Wenn du nicht willst, dass jeder beim Hochfahren des Rechners sofort sehen kann, dass dieser mit TrueCrypt verschlüsselt ist, so lässt sich über Einstellungen -> Systemverschlüsselung die Passworteingabe beim Systemstart beeinflussen. Ein Haken bei Keine Texte im Pre-Boot ... sorgt dafür, dass beim nächsten Start lediglich ein schwarzer Bildschirm mit blinkendem Cursor erscheint.
Weder im Verlauf der Passworteingabe, noch bei fehlerhaften Passwörtern erscheint irgendetwas auf dem Bildschirm. Erst beim richtigen Passwort und drücken der Eingabe-Taste fährt der Recher wie gewohnt hoch.
Zudem kannst du im Feld darunter mit bis zu 24 Zeichen eine eigene Meldung festlegen, die bei der Passworteingabe erscheinen soll. Z.B. die von Truecrypt vorgeschlagene gefälschte Fehlermeldung "Missing Operating System". Ansonsten verhält sich die Passworteingabe auch hier wie oben beschrieben.