TrueCrypt Container unter Mac OS X automatisch mounten

Viele wissen vielleicht dass ich gerne vertrauliche Daten verschlüssle. Klar, mit TrueCrypt. Womit auch sonst? TrueCrypt gibt es für Windows, Linux und Mac OS X. Für Windows biete ich ja immer das aktuelle Paket portabel an und habe auch schon einige Anleitungen geschrieben wie man verschlüsselte Container ohne 1000 Klicks und Eingaben automatisch in das Betriebssystem einhängt und wieder entfernt. Zur Erinnerung noch einmal die relevanten Beiträge: Portable TrueCrypt 6.1a, Verschlüsselung mit TrueCrypt Part I und II. Oder einfach die Blogsuche anwerfen – dort findet man eine Menge über TrueCrypt. So, soviel zur Einleitung. Nun benutze ich ja nebenher auch noch nen Mac und da wäre es doch auch klasse, wenn ich meine TrueCrypt-Container (die ich zwischen Windows und Mac via Dropbox synchronisiere) auch automatisch ohne Heck-Meck öffnen könnte, oder? Hier zwei Möglichkeiten.

TrueCrypt.jpg

Der Mac-User weiss: es gibt kein Batchgedöns. Es gibt Scripte. Aha. Für einen Linuxer sicher nichts ungewöhnliches – der würde sich im Terminal von Mac OS sicherlich heimisch fühlen (basiert ja auf BSD). Für mich ist der ganze Krempel ein Buch mit (naja nicht ganz) sieben Siegeln. Gott sei Dank unterstützt TrueCrypt auch unter Mac OS X die Kommandozeilenbefehle. Ist aber auch alles nicht so einfach, da die Programme im Programmordner eigentlich auch Ordner sind. Aber mal alles in Kurzform – sofern ihr auch eure Container automatisch via Script mounten wollt.

test.command - _Users_caschy_Desktop.jpg

Öffnet euren Texteditor und gebt den Pfad zu TrueCrypt an. Standardmäßig sollte das dieser sein:

/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt

An diesen Pfad hängt ihr nun noch ein –mount (Minus Minus) an – gefolgt vom Pfad, in dem sich euer Container befindet. Sieht bei mir so aus:

/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt –mount /Users/caschy/Dropbox/geheim

Diese Datei speichert ihr zum Beispiel als mount.command ab. Diese Datei müsst ihr nun auch ausführbar machen. Dazu müsst ihr wieder ins Terminal. Zieht die Datei ins Terminal und setzt einfach ein chmod +x davor.

Terminal — bash — 80×24.jpg

Wenn ihr in Zukunft einen Doppelklick auf diese Datei macht, dann erscheint direkt die Eingabeaufforderung um euer TrueCrypt-Passwort entgegenzunehmen. Kein mühseliges von Hand Einhängen der Container mehr.

Enter password for __Users_caschy_Dropbox_geheim_.jpg

Für das Aushängen des gemounteten Containers geht ihr identisch vor. Allerdings hat das Script zum Aushängen logischerweise einen anderen Befehl:

/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt -d

Dieser Befehl hängt alle gemounteten Container aus.

So, nun zur Möglichkeit 2, die vielleicht einfacher für die meisten ist – ausserdem bleiben dabei die Terminalfenster geschlossen 😉 Dazu ruft ihr einfach den Apple Skripteditor auf und gebt folgendes ein (ähnlich Möglichkeit 1):

tell application „Terminal“
run
do shell script „/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt –mount /Users/caschy/Dropbox/geheim“
quit
end tell

Mount.jpg

Nun speichert ihr den Kram unter „Ablage – Sichern unter…“ als Programm:

Skripteditor.jpg

Und – richtig geraten: das Programm zum Aushängen der Container wird ebenfalls so erstellt. Nur der in Anführungszeichen stehende Befehl muss ersetzt werden – wie in Punkt 1.

Fazit: bequem einen TrueCrypt-Container einhängen – ohne viel Klicki-Klicki =)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

43 Kommentare

  1. Hi Carsten,
    kann man unter Windows USB-Laufwerken feste Laufwerksbuchstaben zuweisen, sodass man die USB-Laufwerke immer unter der Stammlaufwerksbuchstabe findet? Danke im Voraus.

  2. Hi Carsten,
    ich meine es jetzt nicht auf TrueCrypt bezogen, sondern allgemein. Also nicht die Container.

  3. Hi Carsten,
    danke für den Tipp. Was den Hirnschmalz bzw. die Suche in deinem Blog angeht. Ich nutze die Suche hier nicht so gerne, da öfter die Suche Beiträge unterschlägt. Keine Ahnung wieso.

  4. @A.J.:

    Vielleicht zensiert die Nordcom/EWEtel bei dir ja auch schon die Suche 😉

  5. haha

  6. @Alle Paranoide 😀

    1.) Du kannst die gesamte Festplatte verschlüsseln mit Pre-Boot Authentifizierungsvorgang. Soll heissen bevor Windows oder Mac bootet findet eine Passwortabfrage statt.

    2.) Bestimmen solltest Du eventuell wie die Passwortabfrage bei Pre-Boot aussieht. Lass es wie eine übliche Bootfehlermeldung uassehen. Für XP wäre es: DISK BOOT FAILURE

    3.) TC Container müssen von Dir geöffnet werden um die Dateien darin sehen, verarbeiten zu können. Je nach OS und Anwendung können Kopien, Temp Files uvm. angelegt werden. In SWAP Partitionen liegt desöfteren eine vollständige Kopie usw. Mach lieber eine Festplattenvollverschlüsselung.

    4.) Passwortlänge besser über 21 Zeichen.

    5.) Du kannt die HDD mit TC vollverschlüsseln und mit 7-Zip verschlüsselte Archive zusätzlich anlegen. Ist TC gebrochen müssen sie nochmal aufwenidg Deine verschlüsselten .7z Archive angehen.

    Im Übrigen – Igor Pavlov hat in 7-Zip die Winzip Verschlüsselung für ZIP wieder verworfen. Damit sind Brute Force Attacken und vermutete Backdoors wieder Vergangenheit.

    6.) Vertrauliche, private Daten weg von deiner HDD. Nicht nur wegen der Legalisierung von Onlinedurchsuchng durch Polizei. Hier Ideen wohin damit.:

    USB Stick, CD-R, CD-RW, DVD-RAM, DVD-R, DVD-RW, externe Festplatte (eSATA), Memory Stick, XD Card, anderer Rechner (nicht online), Diskette, Blu-ray Disc, MiniDisk, SD Card, Magnetband.

  7. Wieso Paranoid ich finde sicherheit im Netz ist sehr wichtig und das hat nichts mit Paranoid zu tun, allerdings, wenn jemand Ahnung hat dann kommt man immer an die Daten ran, aber man sollte es potenziellen Hackern nicht so einfach machen.

    p.s Zensierte Suche, ist doch überall nichtmal die Standart (größten) Suchmaschienen, zeigen alles an was es so im Netzt zu finden giebt aber mit ein bisschen IT Kenntniss, findet man fast alles im Netz. Aber auch die Provider, Länder und andere Institutionen, mischen kräftig mit bei der Zensur, die in einigen Ländern auch als Propaganda Mittel genutz wird. Man merkt es zum Beispiel, wenn man auf Hulu.com sich eine Englische Serie ansehen will aber nur weil man nicht aus amiland kommt (IP) „sorry Sie können den service nicht nutzen“ toll aber naja VPN an und ab gehts 🙂

  8. Bin unzufrieden mit meinem Text – ich setze zuviel voraus. Verbesserungen.:

    TC = TrueCrypt

    2a) TC überlässt es Dir wie die Passwortabfrage beim Pre-Boot Vorgang aussieht.

    Bild 1

    3a) Ich will damit verdeutlichen, dass Dein TC Container sinnlos ist wenn in alle Richtungen Dein OS und Anwendungen Spuren hinterlässt. Nehmen wir als Beispiel XnView – per Default legt dieses Programm einen Zwischenspeicher an damit Dateien blitzartig wiederholt aufgerufen werden können. Oder Windows (thumbs.db) und XnView legen Miniaturansichten an.

    Oder Firefox speichert sämtliche URL’s in ihrer Datenbank places.sqlite. Hinzu kommen noch Registrierungseinträge und wie gesagt temporäre Dateien, Kopien, Auslagerungsdateien uvm.

    Deshalb empfehle ich euch lieber eine Festplattenvollverschlüsselung mit Pre-Boot.

    2b) Du bist kreativ. Denk nach. Kombiniere Strategien. Vernachlässige auch das Thema „verstecken“ nicht. Schreib Dein eigenes Dateiformat ohne jemals Spezifikationen offen zu legen.

    Verschlüsseln + verstecken + verwirren (Security through obscurity.). Schreib ne eigene kleine Anwendung.

    Psychologie – nutze Verhaltensregeln. Niemand wird Deine Vorhaut nach einer XD-Picture Card durchsuchen.

    Oder die Hausdurchsuchung – 99 % aller Polizeibeamte vergessen den Briefkasten.

  9. Ich finde die Festplattenvollverschlüsselung ist im Prinzip eine gute Idee, jedoch drängen sich mir 2 Fragen auf:

    Wird das System dadurch langsamer (in Meinem Fall MacOS X & XP)?
    Wie groß ist das Risiko das die Komplette Platte durch einen Fehler in TC unbrauchbar wird?

    Ich lese immer wieder von TC Containern, die auf USB Sticks zu Datengräbern werden – und nicht etwa weil das Passwort vergessen wurde…

  10. @ Cashy: Dein WMD WordPress Plugin funktioniert ja nur zur Hälfte 🙁

  11. Wieso, was soll denn da noch ins WMD?

  12. @InXone = „Wird das System dadurch langsamer (in Meinem Fall MacOS X & XP)? Wie groß ist das Risiko das die Komplette Platte durch einen Fehler in TC unbrauchbar wird?“

    Hier meine Antwort (Erfahrung).:

    1.) Seit Version 6.0 ist TC proportional mehrkernprozessorfähig. 2 Kerne (CPU) verdoppelt die Geschwindigkeit – 4 Kerne vervierfachen Lese- und Schreibrate. TC bietet Dir einen Benchmarktest an.

    Bild 1 – Benchmark meiner HDD

    Du musst die Lese- und Schreibrate Deiner Festplatte kennen und die Werte mit dem Benchmark vergleichen. Auf dem Bild siehst Du bei mir unter der Verschlüsselungsmethode AES 150 MB /s – meine Samsung Festplatte kann nur knapp 94 MB /s, theoretisch also kein Verlust.

    In der Praxis sieht (wie immer) alles etwas anders aus. Es gibt ne sehr geringe aber spürbare Verlangsamung – bei Spielen ab und an einen kleinen Ruckler zwischendurch, beim achtfachem Überschreiben von Dateien dauert es ein bisschen länger. Alle anderen Vorgänge (Kopieren, Anwendungsstart usw.) sind bei mir normal.

    Bei einem Festplattenverbund (RAID) wird TC bei nur 2 Kerne das System abbremsen.

    2.) TC verändert keine Festplattenparameter. Sollte durch irgendeinen Defekt das OS nicht mehr booten einfach das OS neu installieren oder mit Partitionierungs-Tools (GParted) auf LiveCD’s die HDD neu einteilen / formatieren. Die Festplatte selbst kann durch TC nicht zerstört werden.

    3.) Ist mir auch schon mehrfach passiert, dass ich TC Container nicht mehr öffnen konnte. Liegt aber schon Jahre zurück. Ich lege Dateien in verschlüsselte Archive (7z, ZIP), die mittlerweile viele moderne Techniken (Salted Hash, Stromverschlüsselung mit Einwegfunktionen, Keyfiles, multiple Verschlüsselung uvm.) übernommen haben. TC macht bei mir nur die Absicherung der HDD.

    Meine Festplatte, die letzte Hardware die ich wirklich kontrolliere und damit besitze. Der Rest ist in der Hand von Behörden, Unternehmen und Banken.

    http://www.youtube.com/watch?v=q3YqaIxDp_0

  13. Verbesserung:

    1b) … also kein Verlust vorausgesetzt ich verwende AES. Twofish ist mit 125 MB/s für mich noch unkritisch. Wie Du an dem Benchmark siehst sind alle anderen Werte weit unter dem was meine Festplatte (94 MB /s) kann und ne sehr grosse Bremse.

    Die Lese- und Schreibgeschwindigkeit Deiner HDD ermittelst Du über Benchmark-Tools wie HDD-Tach oder durch Angaben vom Hersteller oder Tests im Netz.

  14. Wie macht ihr das mit den Truecrypt Containern. Bzw. wie teilt ihr eure Daten da sinnvoll auf ?

  15. Ganz normale Ordnerstruktur.

  16. lange gefummelt jetzt:

    fehlt ein – vor mount, richtig muss heißen: –mount

    wobei, er findet meine Datei, die er mounten soll immer noch nicht, sorry etwas verwirrt jetzt…

    Gruß, Udo

  17. Siehste: zwei Mal Minus frisst das Blog-Layout 😉

  18. Erstmal danke für deine Mühen.

    Hab mir endlich mal einen Mac geleistet und stell mir nun auch die Frage der Verschlüsselung. Unter Windows hab ich einfach meine Datenpartiton verschlüsselt und gut ist.

    Unter MacOs ist eine Partitionierung laut inet eher ungewöhnlich.

    Wie kann ich mein Benutzerverzeichnis verschlüsseln?
    Mein „Plan“ ist, dass sich durch die Eingabe des richtigen Benutzerpassworts automatisch der Truecryptcontainer in dem die Benutzerdaten gespeichert sind mountet.

    Ist dies irgendwie möglich oder wird das Benutzerpasswort ebenfalls im Benutzerverzeichnis gespeichert?

    MFG
    DonDom

  19. Vielen Dank für die feine Anleitung zum Verschlüsseln!

    @DonDom
    Verschlüsselung für das gesamte Homeverzeichnis: mit Filevault.
    In der Systemsteuerung unter Sicherheit…

    bis dann, marco.

  20. Hey,
    hab mir nun mal 2 scripts geschrieben die mir die cryptet Partition nach PW-Eingabe mountet bzw. unmountet…
    funktioniert auch alles optimal. danke hierfür.

    allerdings will mein Mac diese 2 Scripts beim auf bzw. zuklappen ausführt. Dies soll Sleepwatcher übernehmen. Funktioniert auch soweit die scripts werden gestartet allerdings will Truecrypt immer mein Admin-Pw wissen. Habe im i-net gelesen das man diese Eingabe mit einem Eintrag in /etc/sudoers deaktivieren kann.

    Dies funktioniert leider nicht. Kann mir vielleicht wer weiterhelfen?

    MFG
    DonDom

  21. habe unter OsX 10.6. mit TrueCrypt 7.1 eine ganze Partition verschlüsselt. Nun fragt das Programm mit Versuch die Partition (Device) zu mounten nach dem Admin-PW. Ich bin aber mit einem Standard Account angemeldet und habe auch nicht vor das zu ändern. Wenn ich mein PW eintippe wird es abgelehnt ebenso wenn ich das PW von einem Administrator Account eingebe (vermutlich weil er hierbei nicht den Bezug des PW zum Namen des Administratorkontos (-namens) hat. Wie kann ich das (ev. durch ein Script) umgehen? Sonst muss ich wieder (ungern) über Containter gehen, da er hier kein Admin-PW abfragt.

  22. Guten Tag!
    Gibt es eine Möglichkeit unter Mac OS für einen TrueCrypt – Container das Passwort zu ändern?

    Ich habe es so versucht:
    /Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt –t -C –p test –new-password=TEST /Users/username/Documents/TCCont.ctn

    Statt dass nun das Passwort geändert wird, werde ich nach einem Keyfile gefragt.
    Gruß
    Hendrik

  23. Hallo,
    ich hoffe ihr könnt mir mal helfen:
    ich bekomm es nicht hin eine Partition mounten zu lassen. Ich hab es mit folgender Adresse der Partition probiert:

    „–-mount /dev/rdisk0s2“

    Das Ergebnis ist: No such File direcory!

    Wäre echt super wenn mir schnell jemand antworten könnte, danke!

  24. Pauschal würde ich mal sagen, dass es die Partition nicht gibt.

    Folgender Befehl sollte weiter helfen

    „diskutil list“

    greez

  25. /dev/disk0
    #: TYPE NAME SIZE IDENTIFIER
    0: FDisk_partition_scheme *500.1 GB disk0
    1: Apple_HFS os 250.2 GB disk0s1
    2: Apple_HFS 249.9 GB disk0s2

    My path is right: “–-mount /dev/rdisk0s2″

    Any ideas? 🙁 It tells me: „No such file or direcotry: /Users/…../–mount“

  26. Jetz hab ich ausversehen in englisch geschrieben und mich mit den Foren vertan 😀 Hoffe ihr könnt trotzdem antworten 🙂

  27. verwende mal das mount von truecrypt….

    /Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt –mount /dev/rdisk0s2

  28. Hallo DonDom,
    verstehe den unterschied zwischen den befehlen nicht. Meinst du das „mount“ nur mit einem bindelstrich statt zwei? Das funktioniert leider auch nicht, selber fehler … Noch ne Idee?

    Danke nochmal 🙂

  29. das eine ist die systemfunktion „mount“ das andere ist der parameter von trucrypt…

    „man mount“

    The mount command calls the mount(2) system call to prepare and graft a
    special device or the remote node (rhost:path) on to the file system tree
    at the point node. If either special or node are not provided, the
    appropriate information is obtained via the getfsent(3) library routines.

    The system maintains a list of currently mounted file systems. If no
    arguments are given to mount, this list is printed.

    The options are as follows:

  30. Ich weiß nicht warum aber aus irgendeinem Grund funktioniert es jetzt. Danke!
    Vielleicht noch ne kleinigkeit: gibts ne möglichkeit das Terminal-Fenster automatisch zu schließen oder zumindest im Hintergrund zu starten?

  31. tell application „Finder“
    try
    if not (exists (disk „Daten“)) then
    delay (2)
    do shell script „/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt /dev/rdisk1s2“
    end if
    end try
    end tell

    das hier als applescript…
    musst eben noch auf deine Konfig anpassen.

    also /dev/rdisk1s2 und Daten

    am besten verbindest das mit sleepwatcher…

    damit kannst einstellen dass er beim „wakeup“ bzw. „sleep“ ein script ausführt…

    greez

  32. Sorry aber könntest du mir das vielleicht als Version ohne Apple-Script geben? Der Applescript Editor funzt nich so richtig bei mir, würd mich über sowas als befehl für ne command-Datei freuen! Beste Grüße P

  33. Könnte man bestimmt irgendwie….
    Aber ich denke mit ein wenig Hirnschmalz bekommst das auch selbst hin 🙂

  34. Jetz wo dus sagst hab ich mal die ganze Zeit rumprobiert mit Befehlen wie „killall terminal“ oder „exit“ … jedoch funktioniert es nicht weil ja die Befehle nur an die Truecrypt App geschickt werden! Am Ende kommt also immer ein „Prozess beendet“ .. genauso wie vorher.

    Ich versteh es ziemlich gut wenn du nicht jeden kleinkram hier erledigen kannst, ich kenns selber wenn Leute deswegen nerven, aber ich bin ein totaler Newbie in Sachen Mac Os X Terminal weil ich erst vor einigen Tagen darauf umgestiegen bin. Vorher war ich Ubuntu-User und da ist die Terminal-Syntax einfach anders 😉

    Wäre also wirklich ziemlich cool wenn du mir helfen könntest …

  35. Gut,
    dann benütz die Befehele die ich dir vorhin gesagt habe…
    Solche Dinge erledigt man per Apple-Script….
    Ist der einfachste Weg 🙂

  36. … und wer (wie ich) das selbe mit ganzen Volumes versucht, der braucht als Pfad nur „–mount /dev/rdisk1s2“ angeben. Die Korrekte Bezeichnung findet man in TrueCrypt unter „select device“.

    Thomas

  37. VforVendetta says:

    Wie würde man vorgehen wenn man OSX mit FileVault2 verschlüsselt und nach dem Login unter seinem Account die TrueCrypt Volumes automatisch mit Passoword oder Keyfile gemounted haben will ohne Dialog Fenster oder eingeben von Volume Passwörter?