Sign up to save your podcasts
Or
Share Schülerdaten verschlüsseln Teil 2: VeraCrypt
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Schülerdaten verschlüsseln Teil 2: VeraCrypt
Willkommen zur Reihe "Schüler Daten verschlüsseln mit Open Source Werkzeugen". In dieser Reihe stelle ich vor, warum man Schüler-Daten verschlüsseln sollte und wie man das macht.
In diesem Teil werde ich demonstrieren, wie man mit dem Werkzeug VeraCrypt einen verschlüsselten Container erstellt und nutzt und ein Bash-Skript vorstellen, das automatisch einen gewünschten Container öffnet.
In einem nachfolgenden Video werde ich noch auf ZuluCrypt als Alternative eingehen.
Wer die Kurzform mit VeraCrypt ohne Erklärung will, der schaut einfach in das Zusatz-Video dazu. Link in der Beschreibung.
VeraCrypt ist ein quelloffenes Werkzeug zur Datenverschlüsselung und zur vollständigen oder teilweisen Verschlüsselung von Datenträgern. Bei der Datenverschlüsselung setzt es auf Container mit fester Größe, um darin Dateien verschlüsselt zu speichern.
VeraCrypt kann von der Webseite bezogen werden. Pakete in den Repositories der üblichen Distributionen habe ich nicht gefunden. Teilweise gibt es zusätzliche Repositories, in denen VeraCrypt zu finden ist.
Die Installation zeige ich nicht. Bei Bedarf schreibt ihr einfach in die Kommentare.
Nach Öffnen sehen wir dieses Fenster, in dem wir mehrere Möglichkeiten haben, die für uns relevant sind.
Wir fangen mit dem Erstellen eines Containers an und müssen ein paar Angaben machen.
Als erstes können wir auswählen, ob wir einen Container als Datei oder eine Partition bzw. Festplatte oder Wechselspeichermedium wie einen USB-Stick als verschlüsseltes Medium erstellen wollen.
Hier empfehle ich einen verschlüsselten Container. Damit ist es eine Datei, die wir wie jede andere Datei herumschieben, kopieren und synchronisieren sowie Backups von erstellen können.
Nun können wir ein "Standard" oder ein verstecktes Volume erstellen wollen. Ich würde hier ein Standard-Volumen nehmen.
Als nächstes muss man den Speicherort auswählen und dort einen Dateinamen. Hier kann man noch an- bzw. abwählen, ob VeraCrypt sich das merkt oder ob man jedes Mal die Datei neu auswählen will. Muss jeder für sich entscheiden, hat Vor- und Nachteile. Auf Geräten, die man mit anderen Personen teilt, würde ich die Historie in jedem Fall nicht speichern lassen.
Es gibt verschiedene Verschlüsselungsalgorithmen, die benutzt werden können. Das kann jede Person für sich mal anschauen. Ich nehme hier AES und SHA-512.
Die Größe sollte groß genug wählen in Abhängigkeit davon, was man speichern will. Ein paar hilfreiche Eckdaten:
Ich erstelle meist einen Container von 100 MB Größe und das reicht locker für Noten und Notizen. Auf einem Datenträger, den man komplett nutzen will, kann man hier wählen, dass aller Speicher verwendet wird. Aber Vorsicht damit!
Ich werde jetzt nicht die Regeln für sichere Passwörter auflisten, das Todesjahr von Robert III., Graf von Dreux und Braine in 1234 ist nicht sicher. Kurz gesagt: Je länger, umso besser.
Zur Demo benutze ich kein sicheres Passwort. Der Container wird hinterher gelöscht.
Das Dateisystem: unter 4 GB reicht FAT und ist von allen Systemen nutzbar. Darüber hinaus muss man exFAT einsetzen. Die Linux-Dateisysteme will Windows nicht lesen. Warum, weiß keiner.
Jetzt sammelt das Programm zur Erzeugung des Schlüssels "Zufall". Das passiert durch Bewegung des Mauszeigers INNERHALB des VeraCrypt-Fensters. Also am besten Das Fenster maximieren und viel die Maus bewegen. Das dauert etwas.
Ist der Balken voll, drückt man auf "Format". Dadurch wird der Container erstellt beziehungsweise im Fall von komplett verschlüsselten Datenträgern alles überschrieben. Also Vorsicht!
Der Container ist jetzt einsatzbereit. Man kann jetzt noch weitere Container erstellen oder beendet den Assistenten.
Nun wählen wir im Dateipfad den Container und drücken auf "Mount". Wichtig dabei ist, dass wir vorher einen freien Mount-Point aus der Liste auswählen. Das Programm nimmt aber beim Start üblicherweise einen freien Mount-Point.
Nun wird sowohl das Passwort für den Container als auch danach das Administrator-Passwort - je nach Einstellungen - abgefragt. Leider nimmt VeraCrypt zumindest bei mir nicht fuse, sondern mountet das wirklich. Das benötigt dann eben höhere Rechte.
Je nach Einstellung öffnet sich jetzt direkt der Dateimanager oder wir starten diesen über einen Doppelklick auf den gemounteten Container in VeraCrypt.
Nun können wir das nutzen wie einen USB-Stick. Daten hin- und herschieben, Dateien bearbeiten usw.
Sind wir fertig, wählen wir in VeraCrypt den jeweiligen Mount-Point und drücken auf "Dismount". Einfacher kann man auch über "Dismount All" alle Container schließen.
Jetzt ist der Container geschlossen und kann als Datei betrachtet werden.
Zum Synchronisieren möchte ich noch eine wichtige Einstellung zeigen:
Schauen wir in das Menü Settings -> Preferences -> Security, so findet sich dort die Option "Preserve modification timestamp of file containers". Aktiviert bewirkt diese Option, dass sich der Zeitstempel des Containers nicht ändert, wenn er geöffnet beziehungsweise geschlossen wird. Das führt dazu, dass von außen nicht ersichtlich ist, ob sich der Inhalt geändert hat, was Synchronisations- und Backupprogramme in die Irre führt. Wenn ihr also so etwas verwendet - was ich sehr empfehle -, dann deaktiviert diese Option. Sie ist als Standard gesetzt!
Zum Schluss zeige ich noch ein Skript, mit dem ich mir das auf meinem System einfacher mache. Ich habe KDE im Einsatz und dort gibt es die Passwort-Verwaltung kwallet. Diese wird entsperrt, wenn ich mich am System einlogge.
Das nutze ich aus, um dort das Passwort für den Container zu speichern, und dnan per Skript auszulesen. Wenn man sich jetzt noch eine Regel für PolicyKit baut, die ermöglicht, dass VeraCrypt ohne Passwort einen Container mounten kann, dann kann ich einen Container öffnen, ohne ein Passwort einzutippen. Dabei muss man dann natürlich beachten, dass man das Gerät immer sperrt, wenn man es verlässt.
View all episodes
Willkommen zur Reihe "Schüler Daten verschlüsseln mit Open Source Werkzeugen". In dieser Reihe stelle ich vor, warum man Schüler-Daten verschlüsseln sollte und wie man das macht.
In diesem Teil werde ich demonstrieren, wie man mit dem Werkzeug VeraCrypt einen verschlüsselten Container erstellt und nutzt und ein Bash-Skript vorstellen, das automatisch einen gewünschten Container öffnet.
In einem nachfolgenden Video werde ich noch auf ZuluCrypt als Alternative eingehen.
Wer die Kurzform mit VeraCrypt ohne Erklärung will, der schaut einfach in das Zusatz-Video dazu. Link in der Beschreibung.
VeraCrypt ist ein quelloffenes Werkzeug zur Datenverschlüsselung und zur vollständigen oder teilweisen Verschlüsselung von Datenträgern. Bei der Datenverschlüsselung setzt es auf Container mit fester Größe, um darin Dateien verschlüsselt zu speichern.
VeraCrypt kann von der Webseite bezogen werden. Pakete in den Repositories der üblichen Distributionen habe ich nicht gefunden. Teilweise gibt es zusätzliche Repositories, in denen VeraCrypt zu finden ist.
Die Installation zeige ich nicht. Bei Bedarf schreibt ihr einfach in die Kommentare.
Nach Öffnen sehen wir dieses Fenster, in dem wir mehrere Möglichkeiten haben, die für uns relevant sind.
Wir fangen mit dem Erstellen eines Containers an und müssen ein paar Angaben machen.
Als erstes können wir auswählen, ob wir einen Container als Datei oder eine Partition bzw. Festplatte oder Wechselspeichermedium wie einen USB-Stick als verschlüsseltes Medium erstellen wollen.
Hier empfehle ich einen verschlüsselten Container. Damit ist es eine Datei, die wir wie jede andere Datei herumschieben, kopieren und synchronisieren sowie Backups von erstellen können.
Nun können wir ein "Standard" oder ein verstecktes Volume erstellen wollen. Ich würde hier ein Standard-Volumen nehmen.
Als nächstes muss man den Speicherort auswählen und dort einen Dateinamen. Hier kann man noch an- bzw. abwählen, ob VeraCrypt sich das merkt oder ob man jedes Mal die Datei neu auswählen will. Muss jeder für sich entscheiden, hat Vor- und Nachteile. Auf Geräten, die man mit anderen Personen teilt, würde ich die Historie in jedem Fall nicht speichern lassen.
Es gibt verschiedene Verschlüsselungsalgorithmen, die benutzt werden können. Das kann jede Person für sich mal anschauen. Ich nehme hier AES und SHA-512.
Die Größe sollte groß genug wählen in Abhängigkeit davon, was man speichern will. Ein paar hilfreiche Eckdaten:
Ich erstelle meist einen Container von 100 MB Größe und das reicht locker für Noten und Notizen. Auf einem Datenträger, den man komplett nutzen will, kann man hier wählen, dass aller Speicher verwendet wird. Aber Vorsicht damit!
Ich werde jetzt nicht die Regeln für sichere Passwörter auflisten, das Todesjahr von Robert III., Graf von Dreux und Braine in 1234 ist nicht sicher. Kurz gesagt: Je länger, umso besser.
Zur Demo benutze ich kein sicheres Passwort. Der Container wird hinterher gelöscht.
Das Dateisystem: unter 4 GB reicht FAT und ist von allen Systemen nutzbar. Darüber hinaus muss man exFAT einsetzen. Die Linux-Dateisysteme will Windows nicht lesen. Warum, weiß keiner.
Jetzt sammelt das Programm zur Erzeugung des Schlüssels "Zufall". Das passiert durch Bewegung des Mauszeigers INNERHALB des VeraCrypt-Fensters. Also am besten Das Fenster maximieren und viel die Maus bewegen. Das dauert etwas.
Ist der Balken voll, drückt man auf "Format". Dadurch wird der Container erstellt beziehungsweise im Fall von komplett verschlüsselten Datenträgern alles überschrieben. Also Vorsicht!
Der Container ist jetzt einsatzbereit. Man kann jetzt noch weitere Container erstellen oder beendet den Assistenten.
Nun wählen wir im Dateipfad den Container und drücken auf "Mount". Wichtig dabei ist, dass wir vorher einen freien Mount-Point aus der Liste auswählen. Das Programm nimmt aber beim Start üblicherweise einen freien Mount-Point.
Nun wird sowohl das Passwort für den Container als auch danach das Administrator-Passwort - je nach Einstellungen - abgefragt. Leider nimmt VeraCrypt zumindest bei mir nicht fuse, sondern mountet das wirklich. Das benötigt dann eben höhere Rechte.
Je nach Einstellung öffnet sich jetzt direkt der Dateimanager oder wir starten diesen über einen Doppelklick auf den gemounteten Container in VeraCrypt.
Nun können wir das nutzen wie einen USB-Stick. Daten hin- und herschieben, Dateien bearbeiten usw.
Sind wir fertig, wählen wir in VeraCrypt den jeweiligen Mount-Point und drücken auf "Dismount". Einfacher kann man auch über "Dismount All" alle Container schließen.
Jetzt ist der Container geschlossen und kann als Datei betrachtet werden.
Zum Synchronisieren möchte ich noch eine wichtige Einstellung zeigen:
Schauen wir in das Menü Settings -> Preferences -> Security, so findet sich dort die Option "Preserve modification timestamp of file containers". Aktiviert bewirkt diese Option, dass sich der Zeitstempel des Containers nicht ändert, wenn er geöffnet beziehungsweise geschlossen wird. Das führt dazu, dass von außen nicht ersichtlich ist, ob sich der Inhalt geändert hat, was Synchronisations- und Backupprogramme in die Irre führt. Wenn ihr also so etwas verwendet - was ich sehr empfehle -, dann deaktiviert diese Option. Sie ist als Standard gesetzt!
Zum Schluss zeige ich noch ein Skript, mit dem ich mir das auf meinem System einfacher mache. Ich habe KDE im Einsatz und dort gibt es die Passwort-Verwaltung kwallet. Diese wird entsperrt, wenn ich mich am System einlogge.
Das nutze ich aus, um dort das Passwort für den Container zu speichern, und dnan per Skript auszulesen. Wenn man sich jetzt noch eine Regel für PolicyKit baut, die ermöglicht, dass VeraCrypt ohne Passwort einen Container mounten kann, dann kann ich einen Container öffnen, ohne ein Passwort einzutippen. Dabei muss man dann natürlich beachten, dass man das Gerät immer sperrt, wenn man es verlässt.