TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)

TrueCryptWir haben bereits kennengelernt, wie wir mit TrueCrypt eine Festplatte / Partition verschlüsseln und einbinden, wie das ganze mit einem Container ausschaut und wie wir mit einem Hidden Volume arbeiten können. Als weitere Sicherungsmaßnahme wollen wir nun mal schauen, wie wir mit Keyfiles arbeiten können. Ein verschlüsselter Bereich, dem ein Keyfile zugefügt wurde kann nur mit dem Passwort nicht entschlüsselt und eingebunden werden. Zum Entschlüsseln benötigt der User Passwort und Schlüsseldatei. Ihr könnt also z. B. Euer Keyfile auf dem USB-Stick kopieren und könnt somit um fast sicher sein, dass das Knacken Eurer Verschlüsselung fast unmöglich wird.

Wir erstellen, wie bereits gesehen, einen 50 MB-Container. Normales TrueCrypt-Volume erstellenC:\TC-Test\tc-test.tcTwofish50 MB. Bei der Passworteingabe wird es nun spannend. Wir können dort die Option Schlüsseldateien verwenden ankreuzen und dann auf Schlüsseldateien… klicken. Als Schlüsseldateien können nun beliebig (viele) Dateien benutzt werden, auch die Extension ist egal. Auch kann ein Verzeichnis verwendet werden, es werden dann automatisch alle Dateien im Verzeichnis zu Keyfiles. Uns reicht hier eine Datei — die Bandinfo von A:M:F.

TrueCrypt Keyfile

Ein Klick auf OK, und bei nach der Passwortauswahl gehts auf Weiter. Nun geht es ans Formatieren und schon ist unser Volume erstellt — geschützt per Passwort und Schlüsseldatei.

Nun geht es ans Einbinden. Wir gehen normal über unser TrueCrypt-Hauptfenster, wählen unsere Datei aus und klicken auf Einbinden, geben das Passwort ein — und was passiert?

TrueCrypt - Keine Chance

Keine Chance, nur mit Passwort allein kommt man nicht mehr an die verschlüsselten Daten ran. Bei der Passworteingabe kann man aber unten jedoch Schlüsseldateien verwenden wählen und dann auf Schlüsseldateien… klicken.

TrueCrypt Schlüsseldatei Passworteingabe

Im nächsten Feld dann wählen wir unser zuvor ausgesuchtes Keyfile.

TrueCrypt Keyfiles

Was passiert nach 2-fachen OK nun? Unser Container ist normal eingebunden.

TrueCrypt w:\ eingebunden

TrueCrypt w:\

Und schon ist unsere Verschlüsselung wieder ein wenig sicherer geworden, erst Recht wenn man drüben bei Missi liest. Es ist auch möglich, unter dem Menüpunkt Schlüsseldateien im TrueCrypt-Hauptfenster verschlüsselten Bereiche neue, weitere Keyfiles hinzuzufügen oder auch zu löschen.

Doch auch hier gilt: Gehen die Keyfiles verloren, sind auch die verschlüsselten Daten verloren. Es ist zwar möglich, Keyfiles zu löschen, doch müssen die vorhanden sein, wenn sie nicht mehr einem Volume zugeordnet sein sollen.

TrueCrypt ist schon eine sehr feine Sache - von der einfachen Verschlüsselung ausgehend gibt es weitere Möglichkeiten, sensible Daten sicherer zu verwahren. Doch sollte man sich auch hier niemals auf ein Wird schon gehen verlassen - ein regelmässiges Ändern des Passwortes, der Keyfiles, damit bloß keine Routine einkehrt. Routine ist heutzutage eines der größten Sicherheitslecks. Ein Blick über Eure Schulter bei der Passworteingabe, Ihr vergesst den USB-Stick neben bem PC, etc... Wenn Ihr Fragen habt, fragt, wenn Ihr Anregungen habt, regt an. Kein Brief, keine Datei ist so unwichtig, als dass sie man sie nicht zu verschlüsseln braucht. Noch dürfen wir diese Freiheit geniessen, wer weiß wie lange noch. Haut rein.

---

TrueCrypt-Anleitung

TrueCrypt-Anleitung: Container und Hidden Volume

TrueCrypt-Anleitung: Verschlüsselung der Systempartition

TrueCrypt 5 auf dem Mac und wie man es benutzt

, , , ,

28 Antworten zu “TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)”

  1. […] TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien) […]

  2. […] Hier wird die Verwendung von Keyfiles (Schlüsseldateien) beschrieben. […]

  3. IRATA sagt:

    Feine Sache
    Eine Frage habe ich dazu noch. Wie verhält es sich in folgendem Fall.
    Ich habe einen LAN-Server (ext– Platte mit LAN). Diese habe ich nun verschlüsselt formatiert. Wenn ich nun wieder alle Daten zurückgespielt habe, wie verhält es sich mit Freigaben? Können die bisherigen Nutzer wieder darauf zugreifen — vorausgesetzt natürlich, das Laufwerk ist eingebunden? Da ich ja kein Passwort an andere Nutzer weitergeben möchte, würde es mich interessieren, ob und wie dies nun funktioniert bzw. funktionieren könnte.

    Danke für kommende Infos

    IRATA

  4. Lola sagt:

    Hallo,
    ich habe auch eine Frage zu keyfiles und deren Anwendung.
    Ich stelle mit folgendes vor:
    Ich generiere auf einem USB-Stick einen Container und schreibe dort ein oder mehrere Keyfiles rein. Nun starte ich über die Autorun-Funktion eine Batch-Datei, die true crypt startet und den Container auf dem USB-Stick über ein einzugebendes Passwort mountet. Nun werden meine verschlüsselten externen Festplatten und Partionen mit Hilfe der Keyfiles und der batch-Datei automatisch gemountet und anschliesend der USB-Container wieder abgehängt. USB-Stick abziehen, fertig.
    Ist das eine sichere Vorgehensweise oder habe ich mir da eine Falle gebaut?
    Für eine Antwort wäre ich sehr dankbar.
    Gruß Lola

  5. Galli33 sagt:

    Mein Freund hat mir seine festplatte geliehen die erst gemountet werden muss doch irgendwie geht nichts!!!!
    Er hat gesagt man benötigt kein passwort sondern nur die Schlüsseldatei!!!
    wenn ich die schlüsseldatei verwende kommt ne Meldung: Incorrect Keyfiles(s)/ passwort or no truecrypt volume found!!!!
    und wenn ich die HDD unter «select device» auswähle steht: HDD formatieren, dann schreibe ich einfach bei «Volume»: M hinein!!! Könnt ihr mir bitte helfen

  6. Callinator sagt:

    @lola
    unsicher, weil keine passworteingabe mehr nötig ist.
    JEDER der den stick hat kommt nun an die daten ran…

  7. Dark Worrior sagt:

    True Crypt ist eine feine Sache, nur ist mir gestern mein CMOS abgeschmiert und habe die Partition formatiert wo die Schlüsseldateien drauf sind und habe jetzt das Problem das ich da unbedingt ran muss egal wie!

    Ich brauch unbedingt Hilfe.

    MfG. Dark Warrior

  8. lola sagt:

    @Callinator
    ich habe doch ein Passwort für den Container auf dem Stick.

  9. lola sagt:

    @Dark Warrior
    ja das ist ja gerade das schöne an Verschlüssungsprogrammen, das sie nicht geknackt werden können. Du hast nur eine Chance, wenn du die Dateien wieder herstellen kannst. Schau mal mit Google nach Programmen die Formatierungen rückgängig machen können.
    PC-Inspector(http://www.pcinspector.de.…./) vielleicht hilft der. Viel Glück.

  10. Sukram sagt:

    Hallo, ich habe eine Frage zu KeyFiles:
    Kann ich Keyfiles selber reproduzieren? z.B ein Textdokument als Keyfile benutzen und es anschließend löschen. Und wenn ich es dann wieder brauche einfach ein Textdokument mit dem selben Namen und gleichem Inhalt erstellen. Wenn ja welche Daten dürfen nicht verändert werden (Erstellungsdatum z.B. wäre nicht sehr günstig)

    Vielen Dank für eure Hilfe

  11. Hubert sagt:

    truecrypt_5.0a-0_i386.deb auf Kubuntu feisty:
    Ein Hidden-Volume läßt sich nicht anlegen. Es erscheint die Meldung: «The selected feature is currently not supported on your platform.»

  12. warlordbush sagt:

    @hubert, das hidden volume wird im moment nur unter microsoft windows unterstützt (www.truecrypt.org)

  13. Gfinder sagt:

    Hallo Freunde,
    habe ein tolles Erlebnis mit TrueCrypt.
    Verschlüssele ordnungsgemäß einen USB-Stick (Laufwerksbuchst. ist E. Nach Verschlüsselung ist neuer L-Buchst.(nach dem Mounten) M. kopiere auf M einige Dateien. Jetzt dismounting und exit.
    Dann diesen Stick wieder einstecken: L-Buchst. E erscheint (M –ordnungsgem. nicht zu sehen-ich mounte auch nicht).
    Bei E wird hingewiesen, dass E noch nicht formatiert ist. Ich formatiere. Jetzt ist alles gelöscht: Dateien,Passw. Wozu dann Encryptierung?
    Weiß da jemand Rat?

  14. Tobi sagt:

    @gfinder: Das ist ja grad der sinn. Eu musst vorher mounten, wenn eu den usb stick formatierst, sind alle daten weg, ist ja logisch!

  15. Anonymous sagt:

    Hallo,

    ich weiß es ist hochgradig unsicher und ist auch nicht im Sinne des Erfinders, aber: Giebt es die Möglichkeit ein verschlüsseltes Laufwerk nur per Keyfile (ohne Passwortabfrage) zu mounten?

  16. Anonymous sagt:

    @Anonymous du könntest ein etrem simples passwort benutzen «passwort«
    oder sowas… aber ganz ohne weis ich leider nicht.

  17. Ralf Wegener sagt:

    Hallo
    Vielleicht können Sie mir ja helfen.
    Neulich habe ich mein System geputzt und alles neu aufgespielt.
    Vorher habe ich «alle« wichtigen Daten wie einschließlich meine 2GB
    True Crypt Container auf meine externe Platte kopiert.
    Als alles wieder frisch war, habe ich den True Crypt Container wieder auf d:/ zurück kopiert und kann Ihn jetzt nicht mehr mit meinem Passwort öffnen.
    Mittlerweile habe ich auch schon kapiert das ich den Keyfile hätte sicher müssen.
    Der ist nun aber unwiderruflich verloren.
    Was kann ich tun?
    Ich würde mich riesig über eine Lösung freuen.
    Da steckt sehr sehr viel Arbeit drin.
    Mit freundlichen Grüße
    R.Wegener

  18. Chris sagt:

    Ohne Keyfile keine Chance. Das ist der Sinn von TrueCrypt — ohne Schlüssel kommt man nicht rein…

  19. Ralf Wegener sagt:

    Danke Chris
    Hab ich mir schon fast gedacht.
    Nu muss ich alles noch mal schreiben. Tage lang.
    Das mit dem Lehrgeld zahlen hört wohl nie auf.
    Tschüß
    Ralf

  20. Jesse James Dean sagt:

    Ich frage mich ob es unsicher ist, das selbe Keyfile+Passwort für viele verschiedene Container zu verwenden!? Also ich möchte mehrere Container erstellen und einfachheitshalber nicht für jeden ein anderes Keyfile nutzen.
    Ist das dann aber nicht so angreifbar wie beispielsweise WEP? Nach dem Motto je mehr Daten man hat, desto näher kommen wir dem Passwort?

  21. Oliver sagt:

    Das ist nicht vergleichbar, für WEP existieren diverse Angriffsszenarien und «viele» Daten bedeutet dabei einfach nur, alles was so in ca. einer Minute zusammenkommt. Es ist einfach eine sehr simple und wenig durchdachte Verschlüsselung.

    >Ich frage mich ob es unsicher ist, das selbe Keyfile+Passwort für viele verschiedene Container zu verwenden!?

    Theoretisch ja. Fallen einem Angreifer Keyfile _und_ Passwort in die Hände sind alle Kontainer komprimittiert. Davor steht jedoch der physische Schutz, sprich wer hat Zugang zum Rechner, wo wird ein Keyfile aufbewahrt etc. Ich verwende in der Regel unterschiedliche Passwörter bei Online-Diensten, daheim weniger. Muß man erst einmal Paaswort-Manager einsetzen, ist es mit der konsequenten Sicherheit eh nicht mehr weit her.

  22. icognito01 sagt:

    Danke für die Ausführliche Anleitung zu den Keyfiles.
    Ich frage mich nur ab welcher größe erst ein Keyfile nützlich ist. Also ab wann kann man mit einer halbwegs guten Sicherheit rechnen? Bei einem 5mb großen Keyfile, oder erst bei einem Keyfile im Gigabytebereich?

  23. olhe sagt:

    @icognito01: Die Größe des Keyfiles ist unerheblich, wichtig ist der verwendete Algorithmus und natürlich der Aufbewahrungsort des Keyfiles per se. Zum anderen erhöht man die Sicherheit, falls möglich, mit der Kombination diverser Möglichkeiten: Passwort+Keyfile, Passwort+zwei Keyfiles usw.

  24. Tommi sagt:

    Hai,
    eine sinnvolle Vorgehensweise ist übrigens auch 2 Container z.B. auf einem USB-Stick zu benutzen, ein etwas weniger sicherer, nur mit PW, so für den alltäglichen Gebrauch — und mit wenig sensiblen Daten.
    Und so Sachen wie TAN-Listen, Zugangsdaten usw. was man eben nur selten braucht, die packt man in einen sehr stark gesicherten Container.
    Ich sichere den auch nur mit einem KeyFile ab, ohne Passwort. Und auch das (Rohfile) ist auf dem Stick — aber faktisch unknackbar.
    Der Hintergrund? — Ich nehme eine Bilddatei (also einfach ein beliebiges JPG-Bild) und das KeyFile ist diese Datei — und jetzt kommt es — NACH! dem verändern mit Irfanview — ich lese die Datei ein, und schreibe sie mit X-Prozent JPG-Kompression und Y% der Originalgröße wieder auf die Platte — was da entsteht ist das KeyFile und damit unknackbar. Die Parameter sind so vielfältig das niemals jemand das reproduzieren könnte, es sei denn er weiß, was ich an Änderungsparametern nutze.
    Kleiner Tip am Rande, SICHERT! ein gültiges Keyfile irgendwo zu Hause auf einen Stick/CD wo auch immer, ab in den Schrank oder wohin auch immer. Es kann ja durchaus sein, dass irgendwann mal die Programmroutine bei Irfanview (wenn man den nimmt) geändert wird und das wäre dann natürlich nicht so schön, wenn man an die Daten nicht mehr rankommt.
    Nach der Benutzung muss man natürlich das KeyFile wieder (sicher) löschen — am besten das Original-Jpg in das KeyFile kopieren.

    Das nur als kleiner Tip am Rande für Leute die sich keine dollen Passwörter merken wollen.

    LG,
    Tommi

  25. Stevie sagt:

    Im Prinzip läuft es immer auf folgende Möglichkeiten hinaus:

    Man nimmt ein «einfaches» Passwort, das man sich merken kann.

    Die andere Mölichkeit ist ein «komliziertes» Passwort, sprich 40 stelliger Zufallsgenerator. Das muss man sich dann aber entweder aufschreiben, ein token verwenden, was auch immer. Genauso ist es auch bei den keyfiles. Sobald man das Passwort/keyfile auf einem USB-Stick (oder wo auch immer hat) ist man wieder anfällig für Verlust usw.

    Ich habe da aber noch eine andere Idee. Man generiert sich eine große Zahl von keyfiles mittels Truecrypt z.B 1000 und nummeriert sie 1–1000. Da die sehr klein sind (64byte) ist das kein Problem. Und nun nimmt man z.B 10 keyfiles daraus. 10 Nummer kann man sich merken. Auch wenn jemand die keyfiles findet, weiß er nicht welche 10 das sind.
    Bei Lotto 6 aus 49 gibt es bekanntlich 49×48×47×46×45×44 Möglichkeiten. Dementsprechend gibt es in meinem Beispiel (sagen wir der Einfachheit halber mal 100010 Möglichkeiten = 1030 Möglichkeiten, also genug zu tun für eine bruteforce Attacke.

    Hat da irgendjemand techniches Hintergrundwissen, wie der Schlüssel aus mehreren keyfiles generiert wird? Erleichtert es das knacken, wenn man theoretische Kandidaten hat?
    Ansonsten ist das meiner Meinung nach die beste Lösung.

  26. Marcellus sagt:

    Hallo,
    ich habe ein riesen problem. Und zwar habe ich meine Diplomarbeit mit true crypt in einer Containerdatei verschlüsselt.
    Ich habe das Passwort noch im Kopf, aber die Reihenfolge scheint nicht zu stimmen. So ich muß jetzt aber unbedingt an meine Daten ran. Ich habe gehört, es gibt ein Programm in das man die Ziffern ohne Reihenfolge eingeben kann und das Programm checkt die verschiedenen Kombinationsmöglichkeiten.
    Noch was, ich habe die Datei mit einem PC verschlüsselt und will sie jetzt mit einem Mac entschlüssel. Kann es da ein Problem geben?

    Ich bin super froh, wenn mir hier noch jemend helfen kann.

  27. Marcellus sagt:

    Hallo Marcellus,

    benutze auch einen Container in der Dropbox und verwende ihn auf dem iPhone, mit Mac und in Windows.
    Solange es TrueCrypt gibt, wirst du die Container sogar auch im Linux öffnen können 😉

    Zum Passwort kann ich dir leider nichts sagen :(

  28. Anonymous sagt:

    kann ich auch meine systempartition verschlüsseln, so dass sie ohne usbstick nicht bootbar wird, bzw eben auch eine passworteingabe nicht viel erfolg zeigt? so zu sagen den usb stick als schlüssel zum computer?
    mfg

RSS-Feed abonnieren