USB-Stick ohne Administratorrechte verschlüsseln
Viele von euch nutzen zum Verschlüsseln von Festplatten, Daten oder USB-Sticks sicherlich das von mir oft angepriesene TrueCrypt. TrueCrypt hat nur einen Nachteil: man kann es nicht ohne weiteres ohne Admin-Rechte auf Computern ausführen. Heißt: an einem Rechner, an dem du nicht Admin bist (oder die nötigen Rechte hast) kannst du mit TrueCrypt-verschlüsselten Daten nicht wirklich etwas anfangen. Schön wäre es doch, Daten auf USB-Sticks auch ohne Admin-Rechte zu ver- und entschlüsseln, oder?
Die Lösung heißt SecurStick. Ein kleines kostenloses Programm (Quellcode für das Verschlüsselungsprogramm liegt offen), welches ich gestern im EFB fand. SecurStick ist im Rahmen eines c’t-Artikels (Verschlüsselungsdienst 06/2010, Seite 170) entstanden und ist für Windows, Mac OS X und Linux erhältlich.
Wie funktioniert SecurStick bzw. das Verschlüsseln von Daten ohne Admin-Rechte? Ganz einfach, ladet euch auf der Homepage SecurStick für euer Betriebssystem herunter und entpackt es auf einen USB-Stick.
Führt die SecurStick.exe aus. Danach wird sich euer Browser öffnen und die Ersteinrichtung vornehmen wollen. SecurStick arbeitet als WebDAV-Server in eurem System, während der Laufzeit wird ein Netzlaufwerk zur Verfügung gestellt, welches euren Container darstellt. Alle Daten, die ihr auf dieses Netzlaufwerk schiebt, werden verschlüsselt (AES-Verschlüsselung, 256Bit im XTS-Modus).
Nach der Ersteingabe eures sicheren Passworts bekommt ihr folgendes zu sehen:
Sollte euer Betriebssystem die Freigabe nicht selber erstellen, so könnt ihr per Eingabe von 127.0.0.1/X im Explorer auf das Laufwerk zugreifen. Solltet ihr X: bereits belegt haben, so wird automatisch ein anderes Laufwerk geöffnet. In meinem Test unter Windows 7 öffnete sich aber alles direkt automatisch:
Der Autor, Matthias Withopf, hat auf der Homepage von SecurStick eine FAQ aufgebaut, um euch auch bei Problemen mit dem SecurStick zu helfen. Ihr solltet unbedingt mal reinschauen, so wird unter anderem auch erklärt, wie ihr mit SecurStick verschlüsselte Dateien mittels CryptUtil ganz einfach entschlüsseln könnt.
Mein Kurzfazit: ziemlich geniale Lösung. Ich kann meine Daten verschlüsseln und auch an Computern entschlüsseln, an denen ich keine Admin-Rechte habe. Des Weiteren ist die Benutzung fast einfacher, als die Standard-Nutzung von TrueCrypt (hier noch einmal die Auflistung meiner Artikel dazu).
Warum es an fremden Rechnern wichtig ist, verschlüsselte USB-Sticks einzusetzen, sollte auch dieser Beitrag offen legen: USB-Sticks ohne Abfrage dumpen.
Endlich!
Moin Moin
Wieder ein sehr guter Hinweis, der anderen viel (Such-)Zeit erspart. DANKE
Bisher hatte hatte ich immer RunAaSpc genutzt, um mit TrueCrypt an Rechnern zu arbeiten, wo ich keine lokalen Adminrechte habe. Nachteil, der Admin muss die Admindaten in eine verschlüsselte RunAsSpc-Datei eintragen. Umständlich.
Mit SecurStick ist das jetzt viel einfacher!!
Den Artikel hatte ich gestern in der c’t gelesen und dachte mir, dass das evtl was für dich wäre. Nun kamst du aber selber schon dazu was drüber zu schreiben. Das find ich eben so gut an dir, kaum hat man etwas gelesen und für gut befunden, hats der Caschy bereits im Netz 😉 *Caschylob*
Danke und nen schönen Tag wünscht
WIMRE ist in der aktuellen ct vorne in den Leserzuschriften zu dem genannten Artikel der Hinweis auf ein ziemliches Sicherheitsrisiko versteckt. Wenn ich das noch richtig zusammenbekomme, hängt das irgendwie mit IE und WebDAV zusammen. Der IE speichert dann die Dateien in einem Verzeichnis unverschlüsselt ab. Leider kann man diesen Cache ohne Adminrechte auch nicht löschen.
Ich kann heute mittag nochmal nachsehen und schreibe dann nochmal was dazu.
@Christian: du kannst den WebDav-Speicher in der neuen Version löschen, steht auch auf der Seite.
Tja, ich hab da mal eine Frage. Welche Daten man/ich verschlüsseln sollte. „Geheime“ Sachen hab ich nicht auf dem Comp, Online-Banking mach ich nicht. Passwörter? Und verschlüsseln gegen wen?
Mir ist durchaus klar, das nicht jeder alles wissen soll/darf. Mich würden aber mal Beispiele interessieren, was ihr so verschlüsselt.
Danke Dir, danach hab ich schon lange gesucht!
Was ich alles verschlüssele? Emails, soweit wie möglich (mittels PGP und S/MIME), und alle Chatkonversationen (Jabber). Man wäre ja blöd, wenn man freiwillig auf eine Sicherheitsstufe verzichtet, grad weil es alles kostenlos gibt und recht einfach ist!
Da ich öfter mal meinen USB Stick beim Kunden vergesse, wäre es nicht verkehrt darauf vorhandene Daten zu verschlüsseln. Auf dem Stick sind zum Teil Tools die dem Kunden nicht zugänglich sein sollten zum anderen auch Daten von anderen Kunden ihn erst recht nicht zu interessieren haben. Aber auch meine Serviceberichte dich ich zu 95% am Kunden PC ausdrucke (ist einfach bequemer als meinen ‚Mobilen‘ Drucker aus dem Auto zu holen, aufzubauen, und zu hoffen das der Akku voll ist …. 😉 ) – ausserdem habe ich dann gleich noch den Drucker getestet … 😉
Oder man hat zum beispiel Keepass – ok, doofes beispiel, da dieses ja an sich schon verschlüsselt ist – oder andere Daten, seien es z.B. Daten finanzieller oder persönlicher Natur, die man zum zwecke des datentransfers oder nur um sie mal eben woanders ausdrucken zu können auf den Stick gepackt hat.
Es kommt natürlich immer drauf an was man macht, wenn man etwa Bäcker ist und seinen PC nur zuhause benutzt, ist sowas wahrscheinlich nicht wirklich notwendig, aber wenn man z.B. Servicetechniker ist und der verschleiß an USB STicks höher ist als an Socken, ist das sicherlich ein mögliches und sinnvolles Einsatzgebiet.
Ich werd mir das Teil mal anschauen, aber ich glaub die Anwendung ist für mich persönlich schon wieder zu aufwendig, wenn ich das so richtig gelesen habe…
Danke Cashy für den Tipp
klasse, werde ich gleich mal ausprobieren, danke.
Ich verschlüssel nur zwei Dateien: haufenweise Bankdaten und haufenweise Zugangsnamen und Passwörter.
Aus den FAQ der Hersteller-Seite:
„Q: Wie lässt sich unter Windows die Größenbeschränkung von ca. 47 MB beim Öffnen von Dateien auf WebDAV-Freigaben ändern?
A: Microsoft betrachtet das Öffnen von Dateien größer als ca. 47 MB (50.000.000 Bytes) als „Denial of Service“-Angriff. Weitere Infos gibt’s in diesem Eintrag der Microsoft Knowledge Base.
Zum Ändern der Maximalgröße müssen Sie mit Administratorrechten einen Registry-Eintrag ändern. Ändern Sie im Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters den DWORD-Wert FileSizeLimitInBytes auf die gewünschte Maximalgröße (in Bytes). Der Standardwert beträgt 50000000. Nach der Registry-Änderung ist ein Windows-Neustart erforderlich.
Beim Speichern von Dateien gibt es keine Größenbeschränkung.“
Beim öffnen nur 46 MB Große Darteien???
Bischen doof, oder??
Ja, ja – hoffentlich lesen auch alle die Leserbriefe im c’t: ohne Adminrechte landen die Daten in einem Temp-Verzeichnis, nicht ganz so hübsch…
Michael
Dank dir für den Tip, hätte ich während meiner Schulzeit gut gebrauchen können.
Aber wird sich sicherlich auch so noch ein Einsatz finden lassen 😉
Danke für den Tipp!
Hat jemand eine Idee für eine einfache Sicherung einer externen USB Festplatte?
Hintergrund: 2,5″ Festplatte habe ich mal im Büro, mal zu Hause. Wenn ich diese nun einmal verlieren sollte oder sie wird geklaut, kann man alle Daten einsehen. Dachte an eine Sicherung à la ‚Festplatte anschliessen, einmalig wird ein Zugangspasswort verlangt und dann kann daran arbeiten‘ gibt es sowas?
@Marcus: Festplatte verschlüsseln mit TrueCrypt:
http://stadt-bremerhaven.de/externe-festplatte-mit-truecrypt-verschlsseln/
Werde es mir auch mal ansehen. Momentan habe ich nen TrueCrypt-Container auf dem Stick, in den Thunderbird, Filezilla und solche Sachen liegen. Und dank SuRun startet TrueCrypt auch direkt mit den notwendigen Rechten.
A: Bei der Benutzung von SecurStick kann es je nach Betriebssystem vorkommen, dass vom USB-Stick gelesene und entschlüsselte Dateien lokal auf der Festplatte des Systems in einem Zwischenspeicher (WebDAV-Cache) abgelegt werden. Das ist eine Optimierung der Systeme, um schneller auf die Dateien zugreifen zu können und ist grundsätzlich keine Eigenschaft von SecurStick.
Dadurch kann es allerdings passieren, dass selbst nach dem Abmelden des gesicherten Bereichs noch Dateien in unverschlüsselter Form in diesem Cache auf dem Rechner zurückbleiben.
Um das zu vermeiden, gibt es ab Version 1.0.11 die Möglichkeit, den WebDAV-Cache zu löschen. Das funktioniert über die Oberfläche von SecurStick durch Klicken des Links „WebDAV-Cache löschen“. Führen Sie diese Funktion aus, bevor Sie den gesicherten Bereich abmelden (und auch nur dann). SecurStick überträgt dabei eine Skriptdatei („$lock.bat“), die Sie ausführen müssen. Sie fordert alle Dateien an, die Sie seit dem letzten Anmelden des gesicherten Bereichs angesprochen haben, zusätzlich werden mit dem Ausführen dieser Funktion alle Dateien nur noch mit einem leeren Inhalt zurückgegeben. Dadurch ersetzt die Skriptdatei alle noch im Cache befindlichen Dateien durch aktuell angeforderte 0-Byte-Dateien.
Je nach System kann es auftreten, dass Sie die Aktion „WebDAV-Cache löschen“ mehrfach ausführen müssen, da es nicht nur auf der Festplatte einen Zwischenspeicher (Cache) geben kann, sondern auch im Hauptspeicher (RAM). Das bedeutet, dass es passieren kann, dass eine Datei beim WebDAV-Zugriff nicht vom Server angefordert wird, sondern die Kopie aus dem RAM verwendet wird. Diese RAM-Kopie verliert allerdings nach einiger Zeit (typischerweise 10-30 Sekunden) ihre Gültigkeit und erst dann wird der WebDAV-Server wieder angefragt.
Um das besser prüfen und sicherstellen zu können, dass eine Datei im Cache tatsächlich überschrieben wurde, erscheint im SecurStick-Programmfenster die Ausgaben „PURGE /Dateiname“, wenn eine Datei im Lock-Modus vom Server angefordert wurde und die Cache-Kopie ersetzt hat. Ausserdem ertönt bei der ersten im Lock-Modus angeforderten Datei ein Signalton.
Auch beim HTTP-Zugriff auf die verschlüsselten Dateien per Web-Browser kann es vorkommen, dass die Dateien im Browser-Cache abgelegt werden. Nutzen Sie daher die Möglichkeiten des Browsers, diesen Cache nach dem Abmelden des gesicherten Bereichs zu löschen
Auch aus der FAQ. Das Problem ist also gelöst 🙂 !!!
Das werde ich dann wohl mit dem gewonnenen Caschy Stick mir mal reinziehen. Meine Frau hat gerade angerufen das ein Caschy-Stick im Briefkasten lag…Danke Caschy!!! 😉