Aus Linux-Magazin 09/2025

Datenbestände auf dem Desktop verschlüsseln

© norebbo / 123RF.com

Nur chiffriert lassen sich persönliche Daten wirklich optimal abgesichert in der Cloud, auf Wechseldatenträgern und Massenspeichern ablegen. Handliche Werkzeuge erleichtern das Ver- und Entschlüsseln.

Der Datenschutz nimmt im Büroalltag einen immer höheren Stellenwert ein. Egal, ob Sie Daten in der Cloud ablegen möchten oder auf Wechseldatenträgern wie USB-Sticks – nur eine wirksame Verschlüsselung bietet sicheren Schutz vor neugierigen Blicken Unbefugter. Auch die Verschlüsselung persönlicher Datenbestände auf lokalen Massenspeichern kann sinnvoll sein, wenn mehrere Anwender den betreffenden Computer nutzen oder Dritte Zugriff darauf haben.

Beim Sichern von Daten in der Cloud kommt hinzu, dass viele US-Anbieter unverschlüsselte Daten ihrer Kunden ohne deren explizite Einwilligung nutzen, analysieren und sie an Werbenetzwerke verkaufen. Darüber hinaus gab es Fälle, in denen unverschlüsselte Daten in der Cloud zum Training von KI-Sprachmodellen verwendet wurden, und zwar ebenfalls ohne Einwilligung der Anwender.

Aber nicht nur global agierende US-Konzerne interessieren sich für die Daten in der Cloud und versuchen, daraus Kapital zu schlagen. Auch staatliche Institutionen zeigen ein reges Interesse an solchen Informationen. Vor allem in den USA mit den dortigen extrem löchrigen Datenschutzregularien ist es Behörden problemlos möglich, Datenbestände von europäischen Unternehmen oder Privatpersonen bei Cloudanbietern einzusehen. Häufig benötigen sie dazu noch nicht einmal einen Gerichtsbeschluss, sondern können solche Abfragen im Rahmen eines einfachen Verwaltungsakts vornehmen.

Um solchen Auswüchsen entgegenzutreten, hilft nur die Verschlüsselung aller Daten, die den heimischen Computer oder den Arbeitsplatzrechner verlassen und in die Cloud wandern. Dann sehen die US-Dienste oder Behörden nur noch für sie nutzlosen Datensalat, sofern die Verschlüsselung auf offenen Standards beruht und daher sicher ist.

Hartnäckig hält sich das schon lange widerlegte Gerücht, das Verschlüsseln von Daten sei kompliziert und somit nur für Geeks und Nerds zu handhaben. Längst haben findige Entwickler erkannt, dass sich Verschlüsselungsmechanismen jedweder Natur nur dann auf dem Computer durchsetzen können, wenn Otto Normalverbraucher sie bedienen kann. Wir sehen uns deshalb einige CLI- und GUI-Werkzeuge zur Verschlüsselung unter Linux näher an.

Verschiedene Ansätze

Für das freie Betriebssystem gibt es eine enorme Zahl von Applikationen zur Datenverschlüsselung. Dabei zielen Anwendungen wie LUKS primär darauf ab, ganze Partitionen oder Laufwerke auf Massenspeichern zu verschlüsseln. Für die kryptografische Modifikation persönlicher Datenbestände eignen sich Programme besser, die einzelne Dateien oder Verzeichnisse verschlüsseln können. Viele davon verpacken das Chiffrat bei Bedarf in Container, die sich im System verstecken lassen. Solche Containerdateien können Sie in verschlüsselter Form in der Cloud sichern, ohne dass Dritte Zugriff haben.

Einer der Wegbereiter dieser Containertechnologie war Truecrypt, dessen Weiterentwicklung jedoch 2014 unter dubiosen Umständen eingestellt wurde. Auf der im Internet aktuell noch verfügbaren Webseite des Projekts bei Sourceforge wird die Migration von Systempartitionen ausgerechnet zu Bitlocker beschrieben, einem von Microsoft entwickelten und in mehreren Anwendungsszenarien als unsicher identifizierten Werkzeug zur Systemverschlüsselung [1].

Da proprietäre Anwendungen generell die Möglichkeit von heimlich implementierten Hintertüren aufweisen und man ihren Quellcode nicht einsehen kann, besprechen wir in diesem Beitrag ausschließlich Produkte, die unter einer freien Lizenz stehen. Sie bieten dank besserer Revisionsmöglichkeiten des Quellcodes durch unabhängige Entwickler eine weitaus größere Chance, dass Sicherheitslücken gefunden und behoben werden, bevor Angreifer sie ausnutzen.

Nicht berücksichtigt

Kryptografie gehört zu den Anwendungsgebieten, in denen unter Linux besonders viele Programme verwaist sind. Wie Truecrypt wurde auch das Ncurses-basierte Luksus 2014 eingestellt. Die unterschiedlichen Versionen finden sich noch auf der Github-Seite des Projekts [8]. Ähnliches gilt für GostCrypt, einen Fork von Truecrypt. Nach der Entdeckung mehrerer Sicherheitslücken im Krypto-Dateisystem EncFS [9] wird das Projekt seit vielen Jahren nicht mehr gepflegt, 2024 erklärte der Entwickler es offiziell für “ruhend”. Das grafische Programm TruPax [10] steht in der veralteten und verwaisten Version 7A noch auf der Github-Seite zum Download. Eine neuere Version 10 vom Oktober 2024 findet sich auf einer weiteren Github-Seite [11]. Sie lässt sich jedoch unter Linux anhand der vorhandenen Anleitung nicht installieren, sodass sie hier außen vor bleibt.

Age

Age ist ein Kommandozeilenwerkzeug zur Verschlüsselung von persönlichen Datenbeständen [2]. Neben dem in der Programmiersprache Go geschriebenen Tool gibt es mit Rage auch eine überwiegend in Rust entwickelte Variante mit identischem Funktionsumfang [3]. Die modular aufgebaute Software lässt sich über Plugins erweitern. Age findet sich in den Repositories der meisten gängigen Linux-Distributionen. Sie können das Programm auch unter anderen Betriebssystemen eingesetzt, etwa auf verschiedenen BSD-Derivaten.

Um das eigentliche Verschlüsselungswerkzeug herum hat sich ein Ökosystem von Zusatzprogrammen entwickelt: Neben diversen Plugins gibt es unter anderem Werkzeuge zur Integration in verschiedene Betriebssysteme sowie verschiedene grafische Frontends.

Verschlüsselungsmechanismus

Age nutzt selbst generierte, symmetrische Paare aus jeweils 128 Bit langen Schlüsseln, um Daten kryptografisch zu behandeln. Dabei kommen unterschiedliche Algorithmen zum Einsatz, die die Entwickler ausführlich dokumentiert haben. Das Werkzeug kann außerdem die Schlüssel und Dateien mit zusätzlichen Passphrases sichern. Geben Sie keine Passphrase an, chiffriert Age die Daten nur gegen die öffentlichen Schlüssel. Für die Entschlüsselung benötigt man dann dementsprechend den privaten Schlüssel. Die öffentlichen Schlüssel definieren Sie dazu entweder mithilfe eines Parameters bei der Verschlüsselung oder über eine dazugehörige Datei. Mithilfe des Befehls »age-keygen« legen Sie die korrelierenden Schlüssel an. Allerdings bietet die Software hier keinerlei Konfigurationsmöglichkeiten. Sie haben also keinen Einfluss auf die verwendeten Algorithmen oder Schlüssellängen.

Verwendung

Nach der Installation des Werkzeugs müssen Sie im Terminal ein Schlüsselpaar generieren und in einer Datei hinterlegen. Dazu geben Sie den Befehl aus der zweiten Zeile von Listing 1 ein. Er legt die Schlüssel ohne eine zusätzliche Absicherung durch ein Passwort an. Möchten Sie die Schlüssel mit einem Passwort versehen, verwenden Sie stattdessen den Befehl aus der dritten Zeile des Listings. Die Routine legt die Schlüssel an und fragt nach der Passphrase, die Sie eingeben und anschließend bestätigen. Liefern Sie keine Passphrase, generiert das Programm ein Zufallspasswort. Nach dem erfolgreichen Anlegen der Schlüsseldatei zeigt das Tool den öffentlichen Schlüssel am Prompt an. Über den Befehl »cat Schlüsseldatei« können Sie den öffentlichen Schlüssel jederzeit einsehen, sofern Sie die Datei nicht passwortgeschützt angelegt haben.

Listing 1

Mit Age arbeiten

### Schlüssel generieren --------
$ age-keygen -o Schlüsseldatei
$ age-keygen | age -p > Schlüsseldatei
### Dateien verschlüsseln -------
$ age -r PublicKey -o Ausgabedatei Quelldatei<C>
$ age -r PublicKey -a -o Ausgabedatei Quelldatei
### Dateien entschlüsseln -------
$ age -d -i PublicKey -o Ausgabedatei VerschlüsselteDatei

Um eine Datei zu verschlüsseln, nutzen Sie den Befehl »age« mit Parametern. Das setzt die Kenntnis des öffentlichen Schlüssels voraus. Haben Sie mehrere Schlüsseldateien generiert, müssen Sie den jeweils passenden öffentlichen Schlüssel ermitteln, den Sie dann mit der Option »-r« oder »–recipient« verwenden. Anschließend geben Sie am Prompt den Befehl aus der fünften Zeile von Listing 1 ein. Age verschlüsselt daraufhin die Quelldatei und speichert das Chiffrat in der Ausgabedatei im selben Verzeichnis. Ein »cat Ausgabedatei« zeigt nur unlesbaren Datensalat (Abbildung 1). Die Quelldatei müssen Sie nach der Verschlüsselung selbst löschen, das Programm entfernt sie nicht automatisch.

Abbildung 1: Die mit Age verschl&uuml;sselte Datei enth&auml;lt scheinbar nur Datensalat.

Abbildung 1: Die mit Age verschlüsselte Datei enthält scheinbar nur Datensalat.

Alternativ lässt sich mit Age jede Datei im PEM-Format verschlüsseln (Listing 1, Zeile 6), wobei eine reine Textdatei entsteht. Die entsprechende Ausgabedatei wirkt optisch aufgeräumter als eine Binärdatei (Abbildung 2).

Abbildung 2: Im PEM-Format wirkt die verschl&uuml;sselte Datei aufger&auml;umter, ist jedoch genauso wenig lesbar.

Abbildung 2: Im PEM-Format wirkt die verschlüsselte Datei aufgeräumter, ist jedoch genauso wenig lesbar.

Zum Entschlüsseln einer chiffrierten Datei benötigen Sie den privaten Schlüssel, den Sie über die Option »-i« (»–identity«) angeben. Zusätzlich teilen Sie dem Programm mit dem Schalter »-d« (»–decrypt«) mit, dass die Entschlüsselung einer vorhandenen Datei ansteht (Listing 1, Zeile 8). Haben Sie nur eine einzige Schlüsseldatei generiert, kann deren Angabe beim Entschlüsseln entfallen.

Nutzen Sie eine per Passphrase gesicherte Schlüsseldatei, geben Sie die Passphrase nach dem Aufruf des Entschlüsselungsbefehls für die Datei an. Bei Dateien mit mehreren Identities müssen Sie zwingend die Option »-i« mit dem Namen Identities-Datei als Parameter verwenden. Für im PEM-Format verschlüsselte Dateien brauchen Sie beim Entschlüsseln keine besonderen Parameter anzugeben.

Statt mit der direkten Eingaben von Dateinamen können Sie in Age auch mit Variablen arbeiten. Dadurch lässt sich die Software leichter in Skripte einbinden, beispielsweise zum automatisierten (De-)Chiffrieren größerer Datenbestände.

GTKCrypto

GTKCrypto ist ein sehr einfaches Werkzeug zum Arbeiten mit verschlüsselten Inhalten [4]. Das kleine Programm findet sich in den Repositories von Debian und Ubuntu. Im Quellcode beziehen Sie es von der Github-Seite des Projekts.

Bei der Installation aus den Repositories entsteht automatisch ein Starter in der Menühierarchie der jeweiligen Arbeitsumgebung. Ein Klick darauf öffnet ein kleines Fenster, das lediglich sechs Schaltflächen enthält (Abbildung 3). Darüber können Sie nicht nur Dateien jeden Formats ver- oder entschlüsseln, sondern auch direkt eingegebene Texte.

Abbildung 3: Das Programmfenster von GTKCrypto k&ouml;nnte nicht einfacher ausfallen.

Abbildung 3: Das Programmfenster von GTKCrypto könnte nicht einfacher ausfallen.

GTKCrypto nutzt zum Verschlüsseln der Daten unterschiedliche Algorithmen in verschiedenen Modi. Die Schlüssellänge beträgt dabei durchgängig 256 Bit. Nähere Informationen zu den einzelnen kryptografischen Methoden stellt das Projekt auf seiner Github-Seite bereit.

Einfachste Bedienung

Durch einen Klick auf die Schaltfläche Encrypt File öffnen Sie einen Dateimanager, in dem Sie die zu verschlüsselnde Datei auswählen. Da GTKCrypto alle Chiffrate per Passwort schützt, geben Sie nach Auswahl der Datei im folgenden Dialog ein Passwort ein und bestätigen es durch eine zweite Eingabe. Dabei akzeptiert GTKCrypto nur Passwörter mit acht oder mehr Zeichen Länge. Ein kürzeres Passwort quittiert die Anwendung mit einer entsprechenden Fehlermeldung, und Sie gelangen zurück in den Ausgangsdialog zur Eingabe einer längeren Passphrase. Nach Eingabe eines akzeptablen Passworts verschlüsselt GTKCrypto die betreffende Datei sofort und blendet nach erfolgreichem Abschluss der Aktion eine entsprechende Meldung ein. Nach dem Schließen des Meldungsfensters gelangen Sie wieder zurück in das primäre Fenster des Programms.

Für eine einfache Textverschlüsselung klicken Sie auf Encrypt Text. Sie gelangen daraufhin in ein Eingabefenster, in das Sie beliebigen Fließtext eingeben. Unterhalb des Textfensters tippen Sie in zwei weiteren Feldern Ihre Passphrase ein, wobei das zweite Feld zur Bestätigung dient. Auch in diesem Fall muss das Passwort eine Länge von mindestens acht Zeichen aufweisen. Nach einem Klick auf OK zeigt GTKCrypto den verschlüsselten Text in einem neu geöffneten kleinen Fenster an, aus dem heraus sie ihn weiterverarbeiten können.

Speichern Sie beispielsweise die Ausgabe als unformatierte Textdatei und versenden sie, kann ein Empfänger, der ebenfalls GTKCrypto verwendet, sie entschlüsseln. Dazu kopiert er den Inhalt der empfangenen Textdatei in die Zwischenablage, öffnet GTKCrypto und wählt die Option Decrypt Text aus. In das daraufhin erscheinende Eingabefenster kopiert er nun den verschlüsselten Text aus der Zwischenablage und gibt in der unteren Eingabezeile das benötigte Passwort an. Nach einem Klick auf OK blendet das Tool den entschlüsselten Text in einem neuen Fenster ein (Abbildung 4).

Abbildung 4: Flie&szlig;text k&ouml;nnen Sie in GTKCrypto direkt bei der Eingabe verschl&uuml;sseln und aus der Zwischenablage kopiert wieder entschl&uuml;sseln.

Abbildung 4: Fließtext können Sie in GTKCrypto direkt bei der Eingabe verschlüsseln und aus der Zwischenablage kopiert wieder entschlüsseln.

LuckyLUKS

Das freie Programm LuckyLUKS dient zum Ver- und Entschlüsseln von Containerdateien [5]. Im Fokus stehen dabei Laufwerke, die verschlüsselt und in Containern abgelegt werden sollen. Die Software eignet sich darüber hinaus zum Entschlüsseln vorhandener Container. Bei der Entwicklung der Applikation haben sich die Entwickler an Truecrypt orientiert.

Zwar bieten unter Linux zahlreiche Installationsroutinen das Verschlüsseln der Systempartitionen an, sodass sie dafür keine gesonderte Software mehr benötigen, doch die Verschlüsselung kompletter Wechseldatenträger wird eher stiefmütterlich behandelt. LuckyLUKS fokussiert daher auf solche externen Speichermedien wie USB-Flash-Sticks und Speicherkarten.

Die Software zählt bereits zum Paketfundus von Debian und Ubuntu, sodass Sie sie bequem über die jeweilige Paketverwaltung oder den App-Store installieren. Den Quellcode finden Sie bei Bedarf auf der Github-Seite des Projekts.

Einfachste Verwendung

Bei der Installation über die Paketverwaltung legt die Routine einen Starter in der Menühierarchie der jeweiligen Arbeitsumgebung an, sodass Sie die Anwendung per Mausklick starten. Anstelle eines Programmfensters öffnet sich zunächst ein Dialog zur Eingabe des Administratorpassworts. In diesem Dialog können Sie durch Setzen eines Häkchens veranlassen, dass das System die Anwendung künftig stets mit Administratorrechten öffnet. Danach gelangen Sie in das weitgehend selbsterklärende Programmfenster. Es enthält lediglich zwei Reiter: Der erste dient dem Öffnen eines verschlüsselten Containers, der zweite dem Anlegen eines neuen Containers.

Da zunächst noch kein Container vorhanden ist, aktivieren Sie den Reiter Create New Container (Abbildung 5). Darin tragen Sie in die entsprechenden Eingabefelder den Namen der anzulegenden Containerdatei, deren Größe und die Gerätebezeichnung ein. Durch einen Klick auf Advanced öffnen Sie einen kleinen Dialog für Zusatzfunktionen. Durch Auswahl der Option Create key file legen Sie eine Schlüsseldatei an. LuckyLUKS übernimmt sie inklusive des Pfads in das Feld key file.

Abbildung 5: Im Programmfenster von LuckyLUKS legen Sie durch wenige Eingaben eine Containerdatei an.

Abbildung 5: Im Programmfenster von LuckyLUKS legen Sie durch wenige Eingaben eine Containerdatei an.

In den Feldern format und filesystem geben Sie das Verschlüsselungsformat sowie das Dateisystem an. Dazu stehen mehrere Optionen in einem Auswahlfeld bereit. Haben Sie alle Angaben vervollständigt, erzeugen Sie den neuen Container mit einem Klick auf den Create-Button unten rechts im Fenster. Die Anwendung legt den Container daraufhin mit den angegebenen Parametern an und blendet währenddessen einen Fortschrittsbalken ein. Dabei zeigt LuckyLUKS die jeweiligen Schritte gesondert an, wobei mit wachsender Größe der Containerdatei der Vorgang zunehmend mehr Zeit in Anspruch nimmt. Nach Abschluss der Aktion zeigt die Anwendung eine Erfolgsmeldung an.

Nach deren Schließen springt die Software automatisch in den Reiter Unlock Container, wobei die Felder container file und device name bereits die entsprechenden Bezeichnungen des frisch erzeugten Containers enthalten. Mit einem Klick auf Unlock öffnen Sie den Container. Danach fragt die Applikation in einem gesonderten Dialog, ob sie für den Container einen Eintrag im Startmenü generieren soll. Aktivieren Sie diese Option, wird der neue Container so ins System eingebunden, dass Sie direkt aus dem Startmenü und im Dateimanager darauf Zugriff haben. Um den Container zu schließen, klicken Sie auf die entsprechende Option.

Nach dem Öffnen eines Dateimanagers finden Sie die Containerdatei darin wie ein herkömmliches Laufwerk in das Dateisystem integriert vor. Sie öffnen es durch einen Klick auf die jeweilige Laufwerks- oder Gerätebezeichnung. Anschließend können Sie Daten in den Container laden oder daraus entfernen wie bei einem konventionellen Laufwerk. Um die Daten zu verschlüsseln und den Container zu schließen, müssen Sie ihn manuell deaktivieren. Dazu verwenden Sie das in den Systembereich der Arbeitsoberfläche integrierte LuckyLUKS-Icon. Ein Klick darauf öffnet erneut den Dialog zum Schließen des Containers. Ein weiterer Klick auf Close Container schließt die Containerdatei (Abbildung 6).

Abbildung 6: In LuckyLUKS &ouml;ffnen und schlie&szlig;en Sie Container &uuml;ber einen gesonderten Dialog (links).

Abbildung 6: In LuckyLUKS öffnen und schließen Sie Container über einen gesonderten Dialog (links).

Der Dialog bleibt nach dem Schließen der Containerdatei geöffnet, während das Laufwerk oder Gerät aus dem Dateimanager der Arbeitsoberfläche verschwindet und eine entsprechende Meldung bezüglich des nun fehlenden Zugriffs erscheint. Nach einem erneuten Öffnen taucht das Laufwerk wieder auf, und Sie können es öffnen.

Mit Passwort

Anstelle einer Schlüsseldatei kann LuckyLUKS ein Passwort zum Ver- und Entschlüsseln eines Containers verwenden. Dazu müssen Sie die jeweilige Containerdatei jedoch beim Anlegen ohne eine Schlüsseldatei erzeugen. Die Anwendung fragt dann beim Erstellen der Containerdatei nach einer Passphrase. Nach dem Erzeugen des Containers öffnen Sie ihn mit genauso wie bei Verwendung einer Schlüsseldatei, müssen dann jedoch in einem gesonderten Dialog das Passwort angeben.

Veracrypt

Veracrypt gilt als Platzhirsch unter den grafischen Verschlüsselungsprogrammen für Linux [6]. Die Anwendung blickt auf rund zwölf Jahre kontinuierliche Entwicklung und Pflege zurück. Sie beziehen Sie in paketierter Form für Debian, Ubuntu, OpenSuse, Fedora und CentOS direkt von der Website [7]. Dabei stehen jeweils zwei Packages zur Wahl: Das eine enthält ausschließlich die CLI-Version, das zweite zusätzlich ein grafisches Interface.

Für ältere Systeme ohne SSE2-Support gibt es zudem einen Tarball mit einem 32-Bit-Binary. Überdies stehen Packages für ARM-basierte Hardware wie den Raspberry Pi zum Download bereit. Wer mit alldem nichts anfangen kann, findet darüber hinaus ein generisches Paket sowie Appimages für 64-Bit-PCs und ARM64-Systeme.

Einsatzmöglichkeiten

Veracrypt verpackt verschlüsselte Daten in Containern, wobei es verschiedene Algorithmen beherrscht. Das Programm lässt sich sehr vielseitig einsetzen: Es vermag nicht nur, einzelne Verzeichnisse in einen Container zu packen, sondern auch ganze Laufwerke wie USB-Wechseldatenträger. Mit versteckten Containern bietet die Anwendung außerdem eine wirksame Option, Daten durch ein dem Anschein nach unverschlüsseltes System vor neugierigen Blicken zu schützen. Es gilt jedoch zu beachten, dass Veracrypt nach Version 1.26.9 nicht mehr zum Containerformat von Truecrypt kompatibel ist. Ältere Truecrypt-Container lassen sich also mit neueren Veracrypt-Versionen nicht mehr öffnen.

Haben Sie die Software aus einem der Pakete installiert, lässt sie sich direkt aus der Menüstruktur der Arbeitsoberfläche aufrufen und öffnet ein zunächst wenig intuitiv wirkendes Fenster. Darin stellt Veracrypt in Tabellenform die einzelnen Container samt Einhängepunkten dar. Zudem erscheinen in einem gesonderten Bereich Informationen zum jeweils markierten Volume. Mithilfe weniger Buttons können Sie Datenträger ein- oder aushängen. Eine kleine Menüleiste bietet überdies Zugriff auf weniger häufig benötigte Funktionen.

Konfigurationsassistent

Um Daten zu verschlüsseln, klicken Sie im Hauptfenster auf die Schaltfläche Volume erstellen, woraufhin Veracrypt einen Assistenten öffnet. Darin geben Sie im ersten Schritt an, welchen Modus Sie nutzen möchten. Unter Linux bietet die Software zwei Alternativen an: Sie können eine verschlüsselte Containerdatei anlegen oder ein komplettes Laufwerk beziehungsweise eine Partition verschlüsseln. Nach Setzen des entsprechenden Optionsfelds klicken Sie auf weiter. Unabhängig von der hier getroffenen Auswahl legen Sie im folgenden Schritt fest, ob Veracrypt den Container als herkömmliche Datei erzeugen soll oder als verstecktes Volume.

Im nächsten Dialog geben Sie den Speicherort für das Volume an. Dabei legen Sie mithilfe eines kleinen Dateimanagers eine neue Datei an. Mit den im nächsten Schritt folgenden Verschlüsselungseinstellungen legen Sie fest, welcher Algorithmus für die Verschlüsselung zum Einsatz kommt. Außerdem geben Sie den gewünschten Hash-Algorithmus an. Beide Einstellungen treffen Sie über Auswahlfelder, wobei Veracrypt für den Verschlüsselungsalgorithmus bei der Auswahl kontextabhängig einige Informationen anzeigt.

In den beiden folgenden Einstellungsdialogen geben Sie zunächst die gewünschte Größe des Volumes an und definieren anschließend ein Passwort für den Zugriff auf den Container. Alternativ binden Sie hier durch Setzen eines Häkchens vor der Option Schlüsseldatei verwenden einen kryptografischen Schlüssel ein. Aktivieren Sie diese Option, fügen Sie entweder in einem weiteren Fenster eine vorhandene Schlüsseldatei in die Konfiguration ein oder legen eine neue Schlüsseldatei an. Eine Kombination aus Passwort und zusätzlicher Schlüsseldatei akzeptiert Veracrypt ebenfalls. Haben Sie ein zu kurzes oder unsicheres Passwort gewählt, blendet die Routine vor dem Öffnen des nächsten Einrichtungsschritts eine Warnung ein. Die ignorieren Sie entweder oder kehren zum Einstellungsdialog zurück, um ein längeres Passwort festzulegen.

Im nächsten Schritt geben Sie an, welches Dateisystem Veracrypt für das neu anzulegende Volume verwenden soll; voreingestellt ist FAT. Im entsprechenden Auswahlfeld können Sie aber auch gegen Beschädigungen unempfindlichere Dateisysteme wie Ext2/3/4 oder Btrfs auswählen. Im anschließenden Dialog fragt die Routine nach, ob Sie das neue Volume nur unter Linux oder plattformunabhängig einsetzen möchten. Haben Sie im vorhergehenden Schritt eines der Linux-Dateisysteme angegeben, möchten das Volume jedoch plattformübergreifend verwenden, blendet der Assistent eine Warnmeldung ein, die auf die fehlende Unterstützung dieser Dateisysteme auf anderen Plattformen hinweist. Es kann dann nötig werden, einen zusätzlichen Dateisystemtreiber auf diesen Betriebssystemen zu installieren, um nicht das veraltete FAT verwenden zu müssen.

Um anschließend einen möglichst zufälligen Schlüssel zu erhalten, müssen Sie im Fenster Volume-Format den Mauszeiger mindestens 30 Sekunden frei bewegen. Die Applikation zeigt dabei mit einem Fortschrittsbalken an, welche Schlüsselstärke sie anhand der Mausbewegungen generieren kann. Haben Sie mit den Mausbewegungen eine möglichst hohe Entropie erzeugt, klicken Sie rechts unten im Fenster auf Formatieren. Nach Abschluss des Vorgangs geben Sie in einem gesonderten Dialog das Benutzer- oder Administratorpasswort ein. Danach legt Veracrypt das Volume an, das nun zum Einsatz bereitsteht. Falls Sie keine weiteren Volumes mehr einrichten möchten (Weiter), können Sie den Assistenten jetzt beenden.

Datenverschlüsselung

Um auf den neu angelegten Container Zugriff zu erhalten, müssen Sie ihn zunächst in das System einhängen. Dazu markieren Sie zunächst in der Tabelle im Programmfenster (Abbildung 7) einen der Steckplätze und wählen anschließend unten im Bereich Volume nach einem Klick auf Datei im Dateimanager die frisch erzeugte Volume-Datei aus. Sie erscheint mit voller Pfadangabe im Volume-Feld und lässt sich durch einen Klick auf Einhängen unten links im Programmfenster ins System integrieren.

Abbildung 7: In Veracrypt ordnen Sie verschl&uuml;sselte Container einzelnen Volumes zu.

Abbildung 7: In Veracrypt ordnen Sie verschlüsselte Container einzelnen Volumes zu.

Nach einer entsprechenden Passwortabfrage bindet Veracrypt das Laufwerk ein. Die entsprechend markierte Zeile in der Volume-Tabelle listet nun die Volume-spezifischen Daten auf. Bei Verwendung einer Schlüsseldatei gilt es, im Passwortdialog ein Häkchen vor der entsprechenden Option zu setzen und die korrekte Schlüsseldatei auszuwählen. Anschließend öffnen Sie einen Dateimanager und wählen das Volume in der Geräte- respektive Laufwerksanzeige aus. Nach dem Einbinden können Sie den Container wie ein herkömmliches Laufwerk verwenden.

Haben Sie alle gewünschten Dateioperationen erledigt, schließen Sie das Volume wieder. Dazu öffnen Sie erneut das Programmfenster und klicken unten links auf Trennen. Sind mehrere Volumes eingehängt, können Sie sie auch ohne Markierung in der Tabellenansicht durch einen Klick auf Alle Datenträger trennen in einem Rutsch aushängen. Nach dem Aushängen ist im Dateimanager das entsprechende Laufwerk nicht mehr sichtbar. Erst nach einem erneuten Einhängen erhalten Sie wieder Zugriff auf die verschlüsselten Daten (Abbildung 8).

Abbildung 8: Im Dateimanager erscheint das verschl&uuml;sselte Volume nach dem Entschl&uuml;sseln wie ein konventionelles Laufwerk.

Abbildung 8: Im Dateimanager erscheint das verschlüsselte Volume nach dem Entschlüsseln wie ein konventionelles Laufwerk.

Age

GTKCrypto

LuckyLUKS

Veracrypt

Lizenz

BSD-3-Clause

GPLv3

GPLv3

AGPLv2

Allgemeines

plattformübergreifend

ja

nein

nein

ja

Sicherheits-Audits

nein

nein

nein

ja

GUI

nein

ja

ja

ja

Funktionen

verschiedene Algorithmen

ja

ja

ja

ja

Algorithmen konfigurierbar

nein

nein

nein

ja

Schlüssellänge

unterschiedlich

256 Bit

unterschiedlich

konfigurierbar

Texte gesondert verschlüsseln

nein

ja

nein

nein

Container

Speichern in Containern

nein

nein

ja

ja

kompatibel zu Truecrypt-Containern

nein

nein

ja

nein

kompatibel zu LUKS-Containern

nein

nein

ja

nein

Fazit

Das Verschlüsseln persönlicher Datenbestände ist unter Linux längst kein Buch mit sieben Siegeln mehr. Dank grafischer Frontends gibt es für jeden Zweck das passende Verschlüsselungswerkzeug.

Das CLI-Tool Age macht hier eine Ausnahme, da es als einziges Werkzeug ausschließlich am Prompt zu bedienen ist. Daher muss der Anwender zunächst einige Parameter erlernen, um mit dem Programm sicher umzugehen. GTKCrypto und LuckyLUKS eignen sich eher für kleinere und mittlere Datenbestände. Dagegen adressiert Veracrypt mit seinen zahlreichen Konfigurationsmöglichkeiten eher professionelle Anwender.

Unabhängig von ihrem Interface bieten jedoch alle hier vorgestellten Werkzeuge die Gewähr, dass sie frei von Hintertüren sind und entdeckte Sicherheitslücken zügig behoben werden. Somit eignen sie sich selbst für besonders vulnerable Berufsgruppen wie Journalisten, Juristen oder Whistleblower, die Dokumente sicher aufbewahren und teilen müssen. (jlu)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 7 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben