Verschlüsseln und verstecken - Teil 1
Der unsichtbare Zaubertresor
Verschlüsselung schützt Daten - aber nicht deren Eigentümer, wenn diese sich in einem Umfeld bewegen, in dem Privatsphäre keine Achtung genießt oder der Wunsch danach sogar Misstrauen weckt. Securstar liefert eine Partitions- und Containerverschlüsselung, die virtuelle Laufwerke auch versteckt.
Securstar produziert Verschlüsselungslösungen mit Stealth-Funktionen. Das Unternehmen hat dabei
unter anderem Außendienstler im Blick, die in Gebiete reisen, in denen weder der Schutz
persönlicher Daten noch der von Firmengeheimnissen Wertschätzung genießen. Wer auf Reisen in Länder
mit instabilen oder menschenrechtsfeindlichen Regierungen mitunter an mehr oder weniger offiziellen
Kontrollstellen die Inhalte seines PCs offen zu legen hat, muss im schlimmsten Fall mit Beugehaft
oder Erpressung rechnen, wenn er den Zugang zu seinen Daten nicht freiwillig preisgibt. Hinzu
kommt, dass es Länder gibt, deren Geheimdienst- und Polizeikräfte Industriespionage für die
heimische Wirtschaft betreiben.
Abwehr fragwürdiger Kontrollen
Daten nicht nur zu sichern, sondern auch zu verbergen, hilft aber auch bei Angriffen über das
Netz, wo eben nicht nur mit dem fragwürdigen "Bundestrojaner" zu rechnen ist, sondern auch mit
Big-Brother-Tools im Dienste weit unangenehmerer Organisationen als der Bundesrepublik Deutschland.
Also gilt: Wo man erst gar kein Geheimfach findet, wird sich auch niemand neugierig daran zu
schaffen machen.
Unser erster Test gilt der Container- und Partitionsverschlüsselung Drivecrypt 4.6 von
Securstar. Wir wollen wissen, ob ein Anwender ohne besondere technische Kenntnisse damit leicht
Daten sichern und verstecken kann. In einer der folgenden Ausgaben verschlüsseln wir einen
Stealth-PC mit dem Produkt Drivecrypt Plus Pack komplett.
Drivecrypt läuft auf PCs unter Windows 98, Me, NT 2000, XP und Vista. 2 MByte
Festplattenspeicher müssen frei sein. Verschlüsselte Laufwerke lassen sich in Form ganzer
Partitionen oder in Containern ab 250 KByte Größe auf Harddisks oder Wechselmedien anlegen. Bei der
Installation wählt der Anwender aus, ob Drivecrypt dauerhaft normal laufen soll oder im "
Traveller-Modus" (Reisemodus), der ohne feste Installation auskommt und das Lesen und Schreiben
verschlüsselter Container auf Wechselmedien erlaubt. Container auf fest eingebauten Laufwerken
lassen sich im Taveller-Modus nur lesen. Drivecrypt kann außerdem komplett unter der Regie des
Endanwenders arbeiten oder so eingestellt werden, dass nur ein Administrator damit verschlüsselte
Laufwerke zu erstellen vermag. In diesem Fall hat immer auch der Systemverwalter Zugriff auf die
Container, was in Unternehmensumgebungen wichtig sein kann. Im Übrigen lassen sich aber auch
Zweitschlüssel für Container gezielt vergeben.
Im Zuge der Installation ist eine Registrierung fällig – entweder direkt online oder mit einem
heruntergeladenen Code. Lobenswert ist, dass sich bei einer eventuellen Deinstallation der Key
recht einfach auf einen anderen Rechner übertragen lässt.
Im ersten Testdurchgang geht es darum, einen Verschlüsselungscontainer anzulegen und als
Pseudolaufwerk in Windows anzumelden. Zuerst sollte dazu das Laufwerk auf dem PC mit
Windows-Bordmitteln defragmentiert werden, um Platz für zusammenhängende Dateicontainer zu
schaffen.
Nach einem Klick auf "Laufwerk erstellen" bietet Drivecrypt "normale" Container an und solche in
16-Bit-Stereo-Sound-Dateien. Wir wählen "normal" und im nächsten Schritt Größe, Name der Container
sowie das Filesystem, das wir dem Container geben wollen: FAT 16, FAT 32 oder NTFS. Bei der
Kennworteingabe stellt Drivecrypt gleich vier Eingabezeilen zur Verfügung, um den Anwender dazu zu
verleiten, eine sichere Kennwortkombination oder einen kurzen Satz zu wählen. Ein lobenswerter
psychologischer Trick!
Danach wird mit Mausbewegungen und einem Tool, das mehrere Zufallszahlen erzeugt, welche die
Basis für die Schlüssel bilden. Dieser Prozess kann durchaus ein bis zwei Minuten dauern. Als
Algorithmen stehen unter anderem Blowfish und AES in verschiedenen Tiefen und noch einige andere
Formeln zur Verfügung. Als Passwort-Hash dient SHA 256 oder 160. Unser 600-MByte-Container ist auf
unserem 1,6-GHz-Rechner schließlich nach einer knappen weiteren Minute einsatzbereit und sofort als
neues Laufwerk angemeldet, das sich unter Windows problemlos nutzen lässt. Was immer man hinein
schiebt, kopiert oder mit beliebigen Anwendungen direkt dort anlegt, ist verschlüsselt. Meldet man
das Laufwerk aber ab, bleibt auf dem Rechner nur eine unscheinbare, allerdings gegen Löschen
geschützte "DCV"-Datei übrig, der Container. Benennt man die Dateiendungen um, kann man kleinere
Container überdies leicht wie Systemdateien aussehen lassen, die dann allerdings auch aus Versehen
gelöscht werden können. Ob man das Laufwerk, solange der PC läuft, auch ohne neue Eingabe der
Kennwörter neu anmelden und damit öffnen kann, entscheidet man selbst: Die Kennwörter im
Zwischenspeicher von Drivecrypt lassen sich jederzeit gezielt löschen. Auf Wunsch meldet Drivecrypt
nach einer individuell vorgegebenen Zeit verschlüsselte Laufwerke automatisch ab, wenn am PC nichts
geschieht.
Günther Beckstein als Stealth-Container
Als nächstes ließen wir Drivecrypt einen Steganographie-Container in einer WAV-Sounddatei
anlegen. Als Ausgangsdatei bot sich der knapp 20 MByte große Mitschnitt eines Radio-Interviews mit
dem bayerischen Innenminister Günther Beckstein an, das 2006 im Deutschlandfunk lief und in dem der
Politiker Datenschutz-Bedenken gegenüber neuen technischen Fahndungsmethoden zu zerstreuen
versucht. Das auf dem Umweg über analoge Medien auf den Computer gelangte Soundfile hat mindere
Qualität, sodass Änderungen durch die untergeschobenen Daten bei Abhören wenig auffallen dürften,
und es gibt der individuellen Aufnahme wegen kein öffentlich abrufbares Vergleichs-File dazu.
Man kann vier oder acht Soundfile-Bits in Klangdateien für versteckte Daten reservieren, bei der
4-Bit-Version stehen dann ohne Größenänderung des Ausgangs-Files etwa 5 MByte freier Platz in der
20-MByte-WAV-Datei zur Verfügung, wobei die Abspielqualität weniger stark leiden soll als bei der
8-Bit-Option.
Das Ergebnis: Erstellung und Anmelden des Laufwerks verliefen bis auf die Auswahl der Basisdatei
wie beim normalen Container. Sobald das Laufwerk in Drivecrypt abgemeldet war, lag wieder ein
scheinbar normales WAV-File vor und Innenminister wie Deutschlandfunk-Moderatorin klangen beim
Abspielen auf dem PC wie zuvor, obwohl wir zuvor eine knapp 3,5 MByte große ZIP-Datei hineinkopiert
hatten.
Eine zweite Stealth-Variante ist das Anlegen eines versteckten Containers in einem bestehenden,
der vorher defragmentiert werden sollte. Der versteckte Container bekommt dann andere Kennwörter
als der Träger-Container – und je nachdem, welche Kennwörter man bei direkt der Anmeldung eingibt,
erhält man Zugriff auf das Träger-Laufwerk, das Pseudo-Daten enthalten kann, oder das versteckte.
Wer also einmal gezwungen werden sollte, einen Drivecrypt-Container zu öffnen, hat immer noch die
Chance, gezielt die Inhalte des Träger-Containers zu präsentieren. Auch diese Methode funktionierte
im Test einwandfrei. Das Träger-Laufwerk sollte allerdings vorsichtshalber schreibgeschützt sein,
damit versteckte Daten nicht überschrieben werden.
Fazit
Das Fazit fällt kurz aus: Wer eine gute und leicht zu bedienende Container-Verschlüsselung für
seinen PC braucht, dem ist Drivecrypt durchaus zu empfehlen. Auch Belange des Unternehmenseinsatzes
hat der Hersteller so weit berücksichtigt, dass das Produkt für den Informationsschutz auf mobilen
PCs von Außendienstmitarbeitern in Frage kommt. Hier gibt es mit der Partitionsverschlüsselung und
dem Einsatz von Smartcards und Tokens statt Kennwörtern als Credentials noch weitere Möglichkeiten
des professionellen Einsatzes, die im Test gar nicht berücksichtigt werden konnten. Die
Versteckfunktionen machen das Produkt besonders für Reisende mit extrem heiklen Daten
interessant.
Lesen Sie mehr zum Thema
