Truecrypt – Daten sicher auf dem USB-Stick transportieren

Truecrypt – Daten sicher auf dem USB-Stick transportieren

Um Daten sicher auf einem USB-Stick zu transportieren, sollte man diese verschlüsseln.
So kann niemand ohne Weiteres – falls der Stick mal verloren gehen sollte oder in die falschen Hände gerät – die Daten lesen und missbrauchen.

Damit die Daten verschlüsselt werden können, ist i.d.R. ein zusätzliches Tool nötig. Eines dieser Tools ist Truecrypt.

Ziel/Problemstellung

Ich möchte an dieser Stelle kein Tutorial für Truecrypt schreiben.
Es geht lediglich darum, wie man mit Truecrypt verschlüsselte Daten auf dem USB-Stick möglichst komfortabel unter Windows einbinden kann – ohne sich jedesmal durch die GUI von Truecrypt oder die Kommandozeilen-Parameter zu kämpfen.

Ziel soll sein, dass

  • die verschlüsselten Daten automatisch oder über einen Klick eingebunden werden,
  • das Verschlüsselungstool (in diesem Fall Truecrypt) nicht zwangsweise auf dem Rechner, an dem der USB-Stick angeschlossen wird, installiert sein muss,
  • das Verschlüsselungs-Tool auf dem Stick mittransportiert werden kann,
  • nicht der komplette USB-Stick verschlüsselt ist,
  • der Laufwerks-Buchstabe, unter dem der Stick eingebunden wird, nicht relevant ist
  • und auf dem USB-Stick noch Platz ist, um unverschlüsselte Daten zu speichern/transportieren, falls es dann mal doch nicht mit Truecrypt klappt.
Was ist Truecrypt?

Mit diesem Tool (hier kostenlos erhältlich) lassen sich komplette Festplatten-Partitionen verschlüsseln und mit einem Passwort sichern, aber auch einfach nur eine einzelne Truecrypt-Container-Datei erstellen.

Eine Truecrypt-Container-Datei

  • läßt sich als ganz normales Laufwerk in Windows einbinden,
  • die darin enthaltenen Daten sind verschlüsselt und mit Passwort gesichert,
  • läßt sich auf einem USB-Stick leicht von PC zu PC transportieren
  • und ist auf verschiedensten Systemen (Windows, Linux, Mac OS) verwendbar.
Installation von Truecrypt

Truecrypt muss nicht auf jedem Rechner installiert sein, an dem die verschlüsselten Daten verwendet werden sollen. Da wir jedoch Truecrypt auf dem USB-Stick mitnehmen wollen, muss es zumindest auf einem Rechner installiert sein, um an die ausführbaren Dateien zu kommen.

Erstellen der Truecrypt-Container-Datei

Als nächstes muß eine Truecrypt-Container-Datei erzeugt werden.
Dazu gibt es in Truecrypt einen Wizard, der die Erstellung von verschlüsselten Datenträger erleichtert.
An dieser Stelle wird nicht der komplette Wizard beschrieben, sondern lediglich die relevanten Einstellungen.

Der Wizard kann in Truecrypt über den Button Create Volume gestartet werden:

  • Volume Type: “Standard Truecrypt Volume”
  • Volume Location:
    • wo der Container erstellt wird ist egal, da die Datei anschließend auf dem USB-Stick kopiert wird
    • der Dateiname sollte DataSafe.tc sein, damit die verwendeten Scripte einfach übernommen werden können
  • Volume Size:
    • Abhängig von der Größe des USB-Sticks und wieviel unverschlüsselter Speicherplatz noch frei sein soll
    • da Truecrypt auch auf dem Stick transportiert werden muss, ca. 4 MB freien Speicher dafür berücksichtigen
    • Beispiel: 4GB USB-Stick
      – 3GB für Truecrypt-Container (einzutragende Volume Size)
      – 1GB freier, unverschlüsselter Speicher auf dem USB-Stick (abzüglich ca. 4MB für Truecrypt)
Erstellen der Verzeichnis/Datei-Struktur auf dem USB-Stick

Damit das Einbinden der verschlüsselten Daten möglichst komfortabel ist, müssen eine paar Scripte erstellt werden.
Keine Angst, in dieser Anleitung vorhanden und Anpassungen sind i.d.R. nicht nötig!
Damit die Script ohne Anpassung funktionieren, ist es jedoch wichtig, dass die Verzeichnis-Struktur auf dem
USB-Stick entsprechend dieser Anleitung erstellt wird und die Container-Datei “DataSafe.tc” genannt wurde.

Zu erstellende Verzeichnis-Struktur auf dem USB-Stick:

  • [USB-Stick-Laufwerk]
    • DataSafe
    • Truecrypt
      • Executable

Die Struktur sollte dann wie auf diesem Screenshot aussehen (USB-Stick ist im Bild das Laufwerk H:):

Dateistruktur eines für Truecrypt konfigurierten USB-Sticks

In das Verzeichnis DataSafe muss der erstellte Truecrypt-Container (DataSafe.tc) kopiert werden.

In das Verzeichnis Truecrypt\Executeable müssen die ausführbaren Dateien von Truecrypt kopiert werden. Dazu alle Dateien aus dem Verzeichnis, das bei der Installation von Truecrypt ausgewählt wurde, kopieren.

Erstellen der Scripte

Die folgenden Scripte/Dateien müssen alle auf dem USB-Stick abgelegt werden.

Dateiname: AUTORUN.INF
Speicherort: direkt auf dem USB-Stick im obersten Verzeichnis (nicht in einem Unterverzeichnis des Sticks)

Inhalt der Datei:

[AutoRun]
action=Mount DataSafe
OPEN=DataSafe\mount_safe.cmd
ICON=Truecrypt\Executable\TrueCrypt.exe

Shell=0
Shell\0=Unmount DataSafe
Shell\0\command=DataSafe\unmount_safe.cmd

Shell=1
Shell\1=Mount DataSafe
Shell\1\command=DataSafe\mount_safe.cmd

Dateiname: mount_safe.cmd
Speicherort: im Unterverzeichnis DataSafe des USB-Sticks

Inhalt der Datei:

@ECHO OFF

REM %~d0 stellt das aktuelle Laufwerk (auf dem sich die Batch-Datei befindet) dar

start %~d0\truecrypt\executable\truecrypt.exe /history n /quit background /explore /volume %~d0\DataSafe\DataSafe.tc

Dateiname: unmount_safe.cmd
Speicherort: im Unterverzeichnis DataSafe des USB-Sticks

Inhalt der Datei:

@ECHO OFF

start %~d0\truecrypt\executable\truecrypt.exe /dismount /quit /history n
Und wie kann man das ganze jetzt verwenden?

Unterstützt das System (Windows Vista, Windows XP ServicePack 2) die Autostart-Funktion von USB-Geräten und ist die Autostart-Funktion des Systems aktiviert, sollte die bekannte Box

Autostart-Dialog von Windows Vista

beim Einstecken des USB-Sticks aufgehen und einen Punkt Mount DataSafe enthalten. Diesen Punkt anklicken und die Passwort-Eingabe von Truecrypt für die Container-Datei sollte erscheinen.

Anschließend wird automatisch ein neues Laufwerk verbunden und der Explorer öffnet sich – angezeigt wird der Inhalt der verschlüsselten Container-Datei.

Sollte die Autostart-Funktion von Windows nicht angezeigt werden, dann im Kontext-Menü – Rechtsklick auf den Laufwerks-Buchstaben des USB-Sticks – Mount DataSafe auswählen.

Kontextmenü eines für Truecrypt konfigurierten USB-Sticks

Um das verschlüsselte Laufwerk wieder zu deaktivieren, einfach im Kontext-Menü des USB-Sticks (Nicht des verschlüsselten Laufwerks!!!) den Punkt Unmount DataSafe auswählen.

Anschließend kann der USB-Stick wieder vom Rechner entfernt werden.

Und das soll funktionieren?

Getestet wurde diese Konfiguration des USB-Sticks bisher auf:

  • Windows XP SP 2
  • Windows Vista Ultimate 64bit
FAQ
  • Truecrypt startet auf bestimmten Rechnern nicht!
    Um Truecrypt verwenden zu können, muss man Administrator-Rechte haben. Sollte das nicht der Fall sein, dann muss Truecrypt durch einen Administrator installiert werden – anschließend können auch “Nicht-Administratoren” die Funktionalität nutzen.

Hoffe das hilft ein bisschen, die (Daten)Welt sicherer zu machen! 😉

Sollte ich etwas vergessen haben oder unklar sein, einfach melden.

8 thoughts on “Truecrypt – Daten sicher auf dem USB-Stick transportieren

  1. Ralph

    Hi Marcel,
    sehr sinnvoll und äußerst praktisch!
    Hatte allerdings anfangs ein paar Probleme mit der Autorun.inf (Zugriff verweigert). Mit dieser Änderung ging’s dann aber doch:

    Shell=0
    Shell=Unmount DataSafe
    Shell\command=DataSafe\unmount_safe.cmd

    Ralph

  2. Sven

    Hallo!

    Nur eine kleine Frage: Wo in Vista kann den Autostart für Wechseldatenträger aktivieren? Ist bei mir nämlich standartmässig deaktiviert.

    Konnte es jetzt zwar über einen Umweg (mit dem Tool “TweakVi”) selbst bewerkstelligen, aber irgendwo in Vista muss man das ja auch direkt einstellen können.

    Selber habe ich da leider nichts gefunden.

    Danke, Sven!

  3. McFly

    Zufällig bin ich auf der Suche nach einer USB-Stick-Verschlüsselung ohne Adminrechte auf diesen schon etwas älteren Blogeintrag gestoßen und möchte meinen Senf ebenfalls abgeben: Da ich lediglich Anwender und kein Bastler bin, der stundenlang nach irgendwelchen Forenbeiträgen etwas hinzubasteln versucht, was dann anschließend sowieso nicht funktioniert, habe ich etwas Geld in die Hand genommen und mir dieses Teil hier gegönnt: http://www.ms-it-consulting.biz/blog/2009/08/k-tor-privacy-anywhere-4-gb-mobile-verschlusselung-fur-alle-und-uberall-ohne-adminrechte/

    Da ich regelmäßig an Computern ohne Adminrechte arbeite, bin ich mit diesem Stick sehr zufrieden, zumal eine leicht bedienbare Oberfläche die Handhabung auch für Laien sehr erleichtert. :)

  4. Sakamura

    Hallo
    ich habe TrueCrypt benutzt, das Programm finde ich wirklich gut. Der Nachteil ist aber, dass fast ganze Information auf Englisch ist und nur wenig auf Deutsch, was ich nicht so bequem finde. Laut der letzten Nachrichten, Disks,die TrueCrypt schafft, können mit einem extra Programm TCexplorer geöffnet werden. TCExplorer – http://www.codeproject.com/useritems/TCExplorer.asp ( auf Englisch )
    oder liest – http://www.essential-freebies.de/board/viewtopic.php?p=85124

    Man kann TC Partition öffnen wenn man keine Adminrechte hat ( z.B. im Internet Cafe). So weit ich weiss, ist möglich nur für FAT32 Disks.
    Ein ähnliches Programm, das seine verschlüsselte Disks ohne Adminrechte öffnen kann, ist Rohos Mini.
    http://hannes-schurig.de/20/11/2009/usb-stick-ohne-admin-rechte-verschlusseln/ Was ich in diesem Programm toll finde, ist, dass man die Grösse der verschlüsselten Disk erweitern kann.

Leave a Reply

Your email address will not be published. Required fields are marked *