VeraCrypt

Logo für VeraCrypt von Idrix, Apache License 2.0

VeraCrypt ist eine Sicherheits-Software, mit der man sogenannte „Volumes“, also Laufwerke, Partitionen oder Container-Dateien, ver- und entschlüsseln kann. VeraCrypt eignet sich damit sehr gut für die sichere Speicherung sensibler Daten. Es implementiert sogar das Prinzip der sogenannten glaubhaften Abstreitbarkeit (plausible deniability), indem es die Möglichkeit vorsieht, innerhalb eines Volumes ein „verstecktes Volume“ anzulegen.

Ein genereller Vorteil von VeraCrypt (die GUI läuft unter Java) ist die Verfügbarkeit der Software für Windows, OS-X und Linux. Das Programm eignet sich also gut, um externe Festplatten oder USB-Sticks plattformübergreifend zu ver- und entschlüsseln.

TrueCrypt-Nachfolger

Nachdem die Verschlüsselungs-Software TrueCrypt 2014 eingestellt wurde, hat sich VeraCrypt als vertrauenswürdiger und verbesserter Nachfolger etabliert. Das Open-Source-Programm der französischen Firma Idrix, eines Anbieters von Sicherheits-Software, stopft nach eigenen Angaben Sicherheitslücken des Originals und verschärft die Verschlüsselung. Bei einem Sicherheits-Audit im Oktober 2016 monierte Sicherheitslücken wurden unverzüglich in Version 1.19 gefixt.

Zudem besteht eine Abwärts-Kompatibilität: VeraCrypt kann TrueCrypt-Laufwerke öffnen; zu diesem Zweck darf man allerdings nicht vergessen, ein Kreuzchen beim Mounten zu setzen – sonst wird VeraCrypt die Laufwerks-Datei nicht aufschließen können. Auch eine Konvertierung von mit TrueCrypt verschlüsselten Containern und Partitionen (aber nicht System-Partitionen) ist möglich.

Wer immer noch TrueCrypt benötigt, kann die letzte im ursprünglichen Funktionsumfang veröffentlichte Version 7.1a beispielsweise im Heise Software-Verzeichnis herunterladen.

Volumes erzeugen, ein- und aushängen

Ein neues VeraCrypt-Volume erzeugt man in der VeraCrypt-GUI über den Button „Volume erstellen“. Auf den folgenden Dialogseiten wählt man aus, ob eine Datei oder ein (System-) Laufwerk/eine Partition verschlüsselt werden soll, ob dieses Volume normal oder versteckt sein soll und welcher Verschlüsselungs-Type verwendet werden soll. Dann ist ein Passwort zu wählen, das man sich gut merken sollte, sonst kommt man nicht mehr an seine eigenen Daten heran. Schließlich wählt man, wie das Volume formatiert werden soll, und erzeugt zum Beispiel mit Maus-Bewegungen die für die Verschlüsselung benötigte Entropie.

Um ein existierendes VeraCrypt-Volume einzuhängen und entschlüsselt bereitzustellen, klickt man in der VeraCrypt-GUI auf den ersten freien „Steckplatz“ und wählt dann entweder über das Kontextmenü oder über die Buttons „Datei“ oder „Laufwerk“ das gewünschte Volume aus. Danach wird man um das Verschlüsselungs-Passwort gebeten.

Um ein Volume wieder auszuhängen, markiert man es und wählt „Trennen“. Sollte das Trennen nicht möglich sein, weil das Laufwerk noch „busy“ ist, kann man im Terminal herausfinden, welche Prozesse noch auf das Volume zugreifen und es damit blockieren:

sudo lsof | grep /media/veracrypt1/volumename

Der Pfad zum Volume muss natürlich angepasst werden. Als Resultat erhalten Sie eine Liste der Prozesse und können die beteiligten Programme dann schließen oder die Prozesse per kill „abschießen“.

Root-Passwort-Eingabe

Um zu verhindern, dass VeraCrypt jedes Mal beim Mounten nach dem Root/Admin-Passwort fragt, legt man mit Root-Rechten eine Datei unter dem Namen /etc/sudoers.d/veracrypt mit folgendem Inhalt an:

USERNAME ALL = (root) NOPASSWD:/usr/bin/veracrypt

Lizenz-Mix

VeraCrypt ist zwar freie Software, aber nicht quelloffen. Weil es auf einem Fork von TrueCrypt basiert, haben Teile von VeraCrypt die spezielle TrueCrypt-Lizenz übernommen, während neu programmierte Teile unter der bekannten Apache-Licenz 2.0 stehen.

Installation

VeraCrypt findet sich leider nicht in den offiziellen Paketquellen von Ubuntu. Der Hersteller empfiehlt für die Installation ein PPA:

sudo add-apt-repository ppa:unit193/encryption
sudo apt update && sudo apt install veracrypt

Alternativen

Linux-Distributionen bieten gewöhnlich Verschlüsselung mit Bordmitteln an, die schon im Installer angeboten wird. Um den eigenen Rechner zu verschlüsseln, sollte man besser dazu greifen. Erste Wahl ist Luks. Die Möglichkeit, das Home-Verzeichnis mit Ecryptfs zu verschlüsseln, hat Ubuntu aus dem Installer entfernt.