Open Source im professionellen Einsatz
Linux-Magazin 06/2011
© Maxim Kazmin, 123RF.com

© Maxim Kazmin, 123RF.com

Vier freie Verschlüsselungstools für Linux und Windows im Vergleich

Sicher weggeschlossen

,

Wer die eigenen Datenbestände vor unbefugtem Zugriff schützen will, verschlüsselt seine Festplatten oder einzelne Partitionen. Außer dem plattformübergreifenden Truecrypt empfiehlt sich DM-Crypt, aber auch Ecryptfs oder das Windows-Tool Disk Cryptor haben einiges zu bieten.

1114

Das Verschlüsseln von Dateien, Verzeichnissen und ganzen Partitionen ist ein probates Mittel, um Unbefugten den Zugriff auf die eigenen Daten zu verwehren. Mit DM-Crypt, Truecrypt und Ecryptfs haben die Anwender mächtige Werkzeuge an der Hand, die nicht nur unter Linux, sondern auch unter Windows und Mac OS X sensible Daten wegsperren. Darüber hinaus integrieren fast alle Distributoren diverse Verschlüsselungsoptionen bereits in die Installationsroutinen (Debian, Ubuntu, Centos, Open Suse) beziehungsweise in die Partitionierungstools (Abbildung 1).

Abbildung 1: Schon lange bietet Yast an, während der Installation oder danach Partitionen zu verschlüsseln, hier unter Gnome 3 auf Open Suse 11.4.

Dieser Artikel vergleicht drei Verschlüsselungstools miteinander, die recht unterschiedliche Ansätze verfolgen. Tabelle 1 zeigt die wichtigsten Features von Truecrypt, DM-Crypt und Ecryptfs. Außer Konkurrenz treten zwei Windows-Tools im Test an: das zu DM-Crypt kompatible Free OTFE und Disk Cryptor. Im Test durfte sich die Software auf einem Rechner mit AMD Phenom II X4 sowie 8 GByte RAM und einer 80-GByte-Intel-SSD (SSDSA2M080G2GC) unter Open Suse 11.4, Ubuntu 10.10 und Windows XP beweisen.

Verschlüsselungstools für Linux im Vergleich

Truecrypt

Truecrypt [1] ist der wohl bekannteste Vertreter der Festplattenverschlüsseler. Die Software läuft auf neueren Windows-Systemen (2000, 7, Vista, XP, Server 2003 und 2008), unter Mac OS X ab Version 10.4 und auch auf Linux-Rechnern mittels Fuse. Der Quellcode des Programms ist zwar erhältlich, dennoch unterliegen einzelne Komponenten nach wie vor Lizenzen, die nicht GPL-kompatibel sind: Das Tool steht unter der Truecrypt-License-Version 3.0, ist kostenlos erhältlich, aber keine freie Software.

Als einziger Testkandidat bietet Truecrypt ein GUI und einen grafischen Einrichtungsassistenten – beide sehen auf allen Betriebssystemen ähnlich aus und haben einen vergleichbaren Funktionsumfang. Truecrypt verschlüsselt per Mausklick entweder ein ganzes Gerät oder eine bestehende Partition. Außerdem kennt es so genannte Container, innerhalb derer es ein Dateisystem verwaltet.

Container eignen sich vor allem dazu, auf einer nicht verschlüsselten Partition einen sicheren Bereich anzulegen. Zum Lesen und Schreiben mountet Truecrypt diese Containerdatei. Unter Windows erstellt es für die sichere Aufbewahrung ein neues virtuelles Laufwerk, unter Mac OS X und Linux hängt es den Container in einen beliebigen Ordner ein.

Die Ver- und Entschlüsselung übernimmt der Truecyrypt-Treiber im Hintergrund on the Fly. Als Algorithmen unterstützt die Software AES, Twofish und Serpent. Es ist möglich, mehrere Algorithmen zu kaskadieren. Die Windows-Variante hat gegenüber den Linux- und Mac-OS-X-Versionen die Nase vorn, da sie auch die Systempartition verschlüsselt (siehe Abbildung 2).

Abbildung 2: Truecrypt unter Windows erlaubt es dem Admin sogar, die Systempartition selbst zu verschlüsseln.

Außer Konkurrenz: Disk Cryptor

Zwar unter der GPL, aber dennoch ganz auf Windows beschränkt, präsentiert sich Disk Cryptor [4]. Das Tool wartet mit einer ähnlich intuitiven Oberfläche wie Truecrypt auf (siehe Abbildung 3) und erschließt sich dem Anwender durch einfaches Ausprobieren. Die umfangreiche Dokumentation auf der Webseite erklärt zudem die Integration mit Linux-Bootloadern für Dual-Boot-Systeme oder auch für Windows-Live-CDs mit Bart PE.

Abbildung 3: Das GPL-Tool Disk Cryptor punktet ebenfalls mit einer übersichtlichen Oberfläche.

Bis einschließlich Version 0.4 war Disk Cryptor sogar kompatibel zu Truecrypt, doch dann schlugen die Entwickler einen anderen Weg ein – laut eigener Aussagen wegen einiger "Unzulänglichkeiten des Truecrypt-Formats". Damit verabschiedeten sie sich leider aber auch von der Plattformunabhängigkeit. Heute hängt Disk Cryptor der Konkurrenz, vor allem dem Rivalen Truecrypt, im Funktionsumfang deutlich hinterher. Das Tool beherrscht keine Containerverschlüsselung und liest verschlüsselte Partitionen nur, wenn diese mit FAT oder NTFS formatiert sind. Überraschenderweise bietet Disk Cryptor jedoch eine Konsolenversion (»dccon.exe« ) für den ambitionierten Windows-User.

Insgesamt punktet Truecrypt mit seiner intuitiven Oberfläche, und der Umgang ist auch für sicherheitsbewusste Nutzer, die sich nicht mit Kryptographie auskennen, leicht zu erlernen (siehe Abbildung 4). Die Defaultwerte im GUI sind in der Regel sinnvoll gewählt. Wer unsicher ist, findet in der vorbildlichen Onlinehilfe umfangreiche und sinvoll gegliederte Informationen.

Abbildung 4: Truecrypt gilt für viele Anwender als das Desktop-Verschlüsselungstool schlechthin. Die Oberfläche ist selbsterklärend; detaillierte Informationen verrät das Terminal im Hintergrund.

Besonderes Lob verdient die Automount-Funktion: Mit einem Klick erkennt das Programm alle mit Truecrypt verschlüsselten Volumes und bindet sie – das richtige Keyfile oder Passwort vorausgesetzt – automatisch ein.

DM-Crypt

Einen anderen Ansatz verfolgt DM-Crypt ([2], [3]). Das "DM" im Namen steht für Device Mapper – die Software greift auf das Crypto-API des Kernels (siehe Seite 86) zu und arbeitet damit auf einer ganz anderen Ebene als Truecrypt.

Das Kryptographiemodul verschlüsselt beliebige Gerätedateien mit den Algorithmen AES und Twofish und fungiert als zusätzliche Schicht zwischen den Rohdaten und dem Dateisystem. Diverse Installationsroutinen und Management-Tools der Distributoren nutzen DM-Crypt, um schon bei der Installation etwa das Homeverzeichnis eines Nutzers oder eine andere Partition zu verschlüsseln.

Das Kommandozeilentool »cryptsetup« (aus dem gleichnamigen Paket) dient dazu, nachträglich eine Partition zu verschlüsseln. Abbildung 5 zeigt die Syntax und einen typischen Ablauf – vom Erstellen über das Mounten bis zum Aushängen und Entschlüsseln. Als ersten Parameter erwartet »cryptsetup« eine Anweisung wie »create« oder »luksOpen« , als zweite Option das Blockdevice (im Beispiel »/dev/sdb7« ) und als dritte den Namen, unter dem der Mapper das verschlüsselte Gerät zur Verfügung stellen soll. Anschließend hängt der Nutzer die verschlüsselte Partitionen wie gewohnt mit »mount« ein und mit »umount« wieder aus. Wer lieber mit einem GUI arbeitet, verwendet die Partitionierungstools der Distributoren.

Abbildung 5: Wer braucht schon ein GUI, wenn er eine Kommandozeile hat? So sieht eine typische DM-Crypt-Sitzung aus.

LUKS (Linux Unified Key Setup) erweitert die verschlüsselten Daten um einen identifizierbaren, standardisierten Header und speichert in diesem Metadaten sowie bis zu acht Schlüssel. Auf diese Weise macht LUKS DM-Crypt skript- und automatisierbar. Das gestaltet es einerseits recht einfach, auch die System- und Swap-Partitionen zu verschlüsseln, wenn der Benutzer dafür sorgt, dass die benötigten Module wie »dm-crypt« in der Initial Ramdisk vorhanden sind. Anders als Truecrypt, das seinen eigenen Bootloader mitbringt, braucht DM-Crypt andererseits ein unverschlüsseltes »/boot« -Verzeichnis in einer eigenen Partition oder auf einem USB-Stick.

Im Gegensatz zu reinem DM-Crypt sind LUKS-DM-Crypt-Partitionen beispielsweise durch den Header als solche erkennbar. Bei Truecrypt findet die Software verschlüsselte Partitionen zwar auch automatisch, ermöglicht aber trotzdem Hidden Volumes.

Auch für Wanderer zwischen den Betriebssystemwelten hat DM-Crypt etwas zu bieten. Das GPL-Projekt Free OTFE [5] stellt ein Windows-Programm bereit, das unter Linux verschlüsselte Volumes auch auf dem Redmonder Betriebssystem liest und schreibt (siehe Abbildung 6).

Abbildung 6: Die GPL-Software Free OTFE erlaubt es, mit DM-Crypt verschlüsselte Datenträger unter Windows einzubinden.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Geheime Geschäfte

    Der Zoo an Crypto-Dateisystemen unter Linux hat Nachwuchs bekommen: E-Crypt-FS will in den Enterprise-Bereich vordringen. Ob der Sprössling schon reif ist fürs große Geschäft, zeigt dieser Kurztest.

  • Löchriger Käse

    Ob die aktuellen Crypto-Dateisysteme unter Linux wirksam schützen, hängt von den kryptographischen Qualitäten ab und davon, ob ihre Bedienung den Admins und Anwendern schmeckt. Oftmals sorgen Programmierfehler sogar für zusätzliche Sicherheitslöcher. Dieser Test deckt Schwächen auf.

  • Leserbriefe

     

  • Truecrypt 7.0: Hardware-Beschleunigung und mehr

    Die Verschlüsselungslösung Truecrypt bringt in der neuen Version 7.0 Hardware-beschleunigte AES-Verschlüsselung mit.

  • Zeitverschiebungen
comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.