TrueCrypt Container unter Mac OS X automatisch mounten
Viele wissen vielleicht dass ich gerne vertrauliche Daten verschlüssle. Klar, mit TrueCrypt. Womit auch sonst? TrueCrypt gibt es für Windows, Linux und Mac OS X. Für Windows biete ich ja immer das aktuelle Paket portabel an und habe auch schon einige Anleitungen geschrieben wie man verschlüsselte Container ohne 1000 Klicks und Eingaben automatisch in das Betriebssystem einhängt und wieder entfernt. Zur Erinnerung noch einmal die relevanten Beiträge: Portable TrueCrypt 6.1a, Verschlüsselung mit TrueCrypt Part I und II. Oder einfach die Blogsuche anwerfen – dort findet man eine Menge über TrueCrypt. So, soviel zur Einleitung. Nun benutze ich ja nebenher auch noch nen Mac und da wäre es doch auch klasse, wenn ich meine TrueCrypt-Container (die ich zwischen Windows und Mac via Dropbox synchronisiere) auch automatisch ohne Heck-Meck öffnen könnte, oder? Hier zwei Möglichkeiten.
Der Mac-User weiss: es gibt kein Batchgedöns. Es gibt Scripte. Aha. Für einen Linuxer sicher nichts ungewöhnliches – der würde sich im Terminal von Mac OS sicherlich heimisch fühlen (basiert ja auf BSD). Für mich ist der ganze Krempel ein Buch mit (naja nicht ganz) sieben Siegeln. Gott sei Dank unterstützt TrueCrypt auch unter Mac OS X die Kommandozeilenbefehle. Ist aber auch alles nicht so einfach, da die Programme im Programmordner eigentlich auch Ordner sind. Aber mal alles in Kurzform – sofern ihr auch eure Container automatisch via Script mounten wollt.
Öffnet euren Texteditor und gebt den Pfad zu TrueCrypt an. Standardmäßig sollte das dieser sein:
/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt
An diesen Pfad hängt ihr nun noch ein –mount (Minus Minus) an – gefolgt vom Pfad, in dem sich euer Container befindet. Sieht bei mir so aus:
/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt –mount /Users/caschy/Dropbox/geheim
Diese Datei speichert ihr zum Beispiel als mount.command ab. Diese Datei müsst ihr nun auch ausführbar machen. Dazu müsst ihr wieder ins Terminal. Zieht die Datei ins Terminal und setzt einfach ein chmod +x davor.
Wenn ihr in Zukunft einen Doppelklick auf diese Datei macht, dann erscheint direkt die Eingabeaufforderung um euer TrueCrypt-Passwort entgegenzunehmen. Kein mühseliges von Hand Einhängen der Container mehr.
Für das Aushängen des gemounteten Containers geht ihr identisch vor. Allerdings hat das Script zum Aushängen logischerweise einen anderen Befehl:
/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt -d
Dieser Befehl hängt alle gemounteten Container aus.
So, nun zur Möglichkeit 2, die vielleicht einfacher für die meisten ist – ausserdem bleiben dabei die Terminalfenster geschlossen 😉 Dazu ruft ihr einfach den Apple Skripteditor auf und gebt folgendes ein (ähnlich Möglichkeit 1):
tell application „Terminal“
run
do shell script „/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt –mount /Users/caschy/Dropbox/geheim“
quit
end tell
Nun speichert ihr den Kram unter „Ablage – Sichern unter…“ als Programm:
Und – richtig geraten: das Programm zum Aushängen der Container wird ebenfalls so erstellt. Nur der in Anführungszeichen stehende Befehl muss ersetzt werden – wie in Punkt 1.
Fazit: bequem einen TrueCrypt-Container einhängen – ohne viel Klicki-Klicki =)
Hi Carsten,
kann man unter Windows USB-Laufwerken feste Laufwerksbuchstaben zuweisen, sodass man die USB-Laufwerke immer unter der Stammlaufwerksbuchstabe findet? Danke im Voraus.
Hi Carsten,
ich meine es jetzt nicht auf TrueCrypt bezogen, sondern allgemein. Also nicht die Container.
@A.J.:
Jau, mit n bisschen Hirnschmalz und Lesefähigkeit:
http://stadt-bremerhaven.de/2009/01/12/usb-drive-letter-manager-unbelegte-laufwerke-ausblenden/
Sollte funzen
Hi Carsten,
danke für den Tipp. Was den Hirnschmalz bzw. die Suche in deinem Blog angeht. Ich nutze die Suche hier nicht so gerne, da öfter die Suche Beiträge unterschlägt. Keine Ahnung wieso.
@A.J.:
Vielleicht zensiert die Nordcom/EWEtel bei dir ja auch schon die Suche 😉
haha
@Alle Paranoide 😀
1.) Du kannst die gesamte Festplatte verschlüsseln mit Pre-Boot Authentifizierungsvorgang. Soll heissen bevor Windows oder Mac bootet findet eine Passwortabfrage statt.
2.) Bestimmen solltest Du eventuell wie die Passwortabfrage bei Pre-Boot aussieht. Lass es wie eine übliche Bootfehlermeldung uassehen. Für XP wäre es: DISK BOOT FAILURE
3.) TC Container müssen von Dir geöffnet werden um die Dateien darin sehen, verarbeiten zu können. Je nach OS und Anwendung können Kopien, Temp Files uvm. angelegt werden. In SWAP Partitionen liegt desöfteren eine vollständige Kopie usw. Mach lieber eine Festplattenvollverschlüsselung.
4.) Passwortlänge besser über 21 Zeichen.
5.) Du kannt die HDD mit TC vollverschlüsseln und mit 7-Zip verschlüsselte Archive zusätzlich anlegen. Ist TC gebrochen müssen sie nochmal aufwenidg Deine verschlüsselten .7z Archive angehen.
Im Übrigen – Igor Pavlov hat in 7-Zip die Winzip Verschlüsselung für ZIP wieder verworfen. Damit sind Brute Force Attacken und vermutete Backdoors wieder Vergangenheit.
6.) Vertrauliche, private Daten weg von deiner HDD. Nicht nur wegen der Legalisierung von Onlinedurchsuchng durch Polizei. Hier Ideen wohin damit.:
USB Stick, CD-R, CD-RW, DVD-RAM, DVD-R, DVD-RW, externe Festplatte (eSATA), Memory Stick, XD Card, anderer Rechner (nicht online), Diskette, Blu-ray Disc, MiniDisk, SD Card, Magnetband.
Wieso Paranoid ich finde sicherheit im Netz ist sehr wichtig und das hat nichts mit Paranoid zu tun, allerdings, wenn jemand Ahnung hat dann kommt man immer an die Daten ran, aber man sollte es potenziellen Hackern nicht so einfach machen.
p.s Zensierte Suche, ist doch überall nichtmal die Standart (größten) Suchmaschienen, zeigen alles an was es so im Netzt zu finden giebt aber mit ein bisschen IT Kenntniss, findet man fast alles im Netz. Aber auch die Provider, Länder und andere Institutionen, mischen kräftig mit bei der Zensur, die in einigen Ländern auch als Propaganda Mittel genutz wird. Man merkt es zum Beispiel, wenn man auf Hulu.com sich eine Englische Serie ansehen will aber nur weil man nicht aus amiland kommt (IP) „sorry Sie können den service nicht nutzen“ toll aber naja VPN an und ab gehts 🙂
Bin unzufrieden mit meinem Text – ich setze zuviel voraus. Verbesserungen.:
TC = TrueCrypt
2a) TC überlässt es Dir wie die Passwortabfrage beim Pre-Boot Vorgang aussieht.
Bild 1
3a) Ich will damit verdeutlichen, dass Dein TC Container sinnlos ist wenn in alle Richtungen Dein OS und Anwendungen Spuren hinterlässt. Nehmen wir als Beispiel XnView – per Default legt dieses Programm einen Zwischenspeicher an damit Dateien blitzartig wiederholt aufgerufen werden können. Oder Windows (thumbs.db) und XnView legen Miniaturansichten an.
Oder Firefox speichert sämtliche URL’s in ihrer Datenbank places.sqlite. Hinzu kommen noch Registrierungseinträge und wie gesagt temporäre Dateien, Kopien, Auslagerungsdateien uvm.
Deshalb empfehle ich euch lieber eine Festplattenvollverschlüsselung mit Pre-Boot.
2b) Du bist kreativ. Denk nach. Kombiniere Strategien. Vernachlässige auch das Thema „verstecken“ nicht. Schreib Dein eigenes Dateiformat ohne jemals Spezifikationen offen zu legen.
Verschlüsseln + verstecken + verwirren (Security through obscurity.). Schreib ne eigene kleine Anwendung.
Psychologie – nutze Verhaltensregeln. Niemand wird Deine Vorhaut nach einer XD-Picture Card durchsuchen.
Oder die Hausdurchsuchung – 99 % aller Polizeibeamte vergessen den Briefkasten.
Ich finde die Festplattenvollverschlüsselung ist im Prinzip eine gute Idee, jedoch drängen sich mir 2 Fragen auf:
Wird das System dadurch langsamer (in Meinem Fall MacOS X & XP)?
Wie groß ist das Risiko das die Komplette Platte durch einen Fehler in TC unbrauchbar wird?
Ich lese immer wieder von TC Containern, die auf USB Sticks zu Datengräbern werden – und nicht etwa weil das Passwort vergessen wurde…
@ Cashy: Dein WMD WordPress Plugin funktioniert ja nur zur Hälfte 🙁
Wieso, was soll denn da noch ins WMD?
@InXone = „Wird das System dadurch langsamer (in Meinem Fall MacOS X & XP)? Wie groß ist das Risiko das die Komplette Platte durch einen Fehler in TC unbrauchbar wird?“
Hier meine Antwort (Erfahrung).:
1.) Seit Version 6.0 ist TC proportional mehrkernprozessorfähig. 2 Kerne (CPU) verdoppelt die Geschwindigkeit – 4 Kerne vervierfachen Lese- und Schreibrate. TC bietet Dir einen Benchmarktest an.
Bild 1 – Benchmark meiner HDD
Du musst die Lese- und Schreibrate Deiner Festplatte kennen und die Werte mit dem Benchmark vergleichen. Auf dem Bild siehst Du bei mir unter der Verschlüsselungsmethode AES 150 MB /s – meine Samsung Festplatte kann nur knapp 94 MB /s, theoretisch also kein Verlust.
In der Praxis sieht (wie immer) alles etwas anders aus. Es gibt ne sehr geringe aber spürbare Verlangsamung – bei Spielen ab und an einen kleinen Ruckler zwischendurch, beim achtfachem Überschreiben von Dateien dauert es ein bisschen länger. Alle anderen Vorgänge (Kopieren, Anwendungsstart usw.) sind bei mir normal.
Bei einem Festplattenverbund (RAID) wird TC bei nur 2 Kerne das System abbremsen.
2.) TC verändert keine Festplattenparameter. Sollte durch irgendeinen Defekt das OS nicht mehr booten einfach das OS neu installieren oder mit Partitionierungs-Tools (GParted) auf LiveCD’s die HDD neu einteilen / formatieren. Die Festplatte selbst kann durch TC nicht zerstört werden.
3.) Ist mir auch schon mehrfach passiert, dass ich TC Container nicht mehr öffnen konnte. Liegt aber schon Jahre zurück. Ich lege Dateien in verschlüsselte Archive (7z, ZIP), die mittlerweile viele moderne Techniken (Salted Hash, Stromverschlüsselung mit Einwegfunktionen, Keyfiles, multiple Verschlüsselung uvm.) übernommen haben. TC macht bei mir nur die Absicherung der HDD.
Meine Festplatte, die letzte Hardware die ich wirklich kontrolliere und damit besitze. Der Rest ist in der Hand von Behörden, Unternehmen und Banken.
http://www.youtube.com/watch?v=q3YqaIxDp_0
Verbesserung:
1b) … also kein Verlust vorausgesetzt ich verwende AES. Twofish ist mit 125 MB/s für mich noch unkritisch. Wie Du an dem Benchmark siehst sind alle anderen Werte weit unter dem was meine Festplatte (94 MB /s) kann und ne sehr grosse Bremse.
Die Lese- und Schreibgeschwindigkeit Deiner HDD ermittelst Du über Benchmark-Tools wie HDD-Tach oder durch Angaben vom Hersteller oder Tests im Netz.
Wie macht ihr das mit den Truecrypt Containern. Bzw. wie teilt ihr eure Daten da sinnvoll auf ?
Ganz normale Ordnerstruktur.
lange gefummelt jetzt:
fehlt ein – vor mount, richtig muss heißen: –mount
wobei, er findet meine Datei, die er mounten soll immer noch nicht, sorry etwas verwirrt jetzt…
Gruß, Udo
Siehste: zwei Mal Minus frisst das Blog-Layout 😉
Erstmal danke für deine Mühen.
Hab mir endlich mal einen Mac geleistet und stell mir nun auch die Frage der Verschlüsselung. Unter Windows hab ich einfach meine Datenpartiton verschlüsselt und gut ist.
Unter MacOs ist eine Partitionierung laut inet eher ungewöhnlich.
Wie kann ich mein Benutzerverzeichnis verschlüsseln?
Mein „Plan“ ist, dass sich durch die Eingabe des richtigen Benutzerpassworts automatisch der Truecryptcontainer in dem die Benutzerdaten gespeichert sind mountet.
Ist dies irgendwie möglich oder wird das Benutzerpasswort ebenfalls im Benutzerverzeichnis gespeichert?
MFG
DonDom
Vielen Dank für die feine Anleitung zum Verschlüsseln!
@DonDom
Verschlüsselung für das gesamte Homeverzeichnis: mit Filevault.
In der Systemsteuerung unter Sicherheit…
bis dann, marco.