Verschlüsseln von Dateien mit Hilfe einer TCOS-Smartcard per Truecrypt T-Systems International GmbH Version 1.0 Stand 29.06.11
Impressum Herausgeber T-Systems International GmbH Untere Industriestraße 20 57250 Netphen Version Stand 1.0 29.06.11 Kurzinfo Verschlüsseln von Dateien mit Hilfe einer TCOS-Smartcard per TrueCrypt Copyright 2011 by T-Systems International GmbH Alle Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe (einschließlich Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche Einrichtungen, vorbehalten.
1.0 Vorwort T-Systems übernimmt keine Garantie dafür, dass die in der Anleitung bereitgestellten Informationen vollständig, richtig und in jedem Fall aktuell sind. T-Systems hat bei der Erstellung dieser Anleitung die aktuelle Architektur diverser Softwareanwendungen berücksichtigt. Diese kann sich ändern. Solche Änderungen liegen allein im Ermessen des Herstellers. Auf keinen Fall haftet T-Systems für Schäden, die im Zusammenhang mit der Nutzung der Anleitung stehen, die auf dieser Website zugänglich ist. Der Schutz von wichtigen Daten wird immer mehr zu einem heiß-diskutiertem Thema - vor allem in Unternehmen, wo Datenschutz eine sehr wichtige Rolle spielt und auch immer spielen wird. Dem Anwender die nötige Gewissheit zu geben, dass wirklich kein anderer Zugriff auf die gesicherten Daten bekommt, ist vor diesem Hintergrund unabdinglich. Die T-Systems hat sich der Aufgabe gestellt, in diesem Bereich sichere Lösungen und Services zu entwickeln. So entstand das als besonders sicher geltende Chipkarten-Betriebssystem TCOS. Der ein oder andere kennt das Open Source Verschlüsselungs-Tool TrueCrypt. Doch was macht dieses kleine Software-Werkzeug? Es bietet die Möglichkeit, Daten mit Hilfe von Containern (Volumes) zu verschlüsseln. Zur Verschlüsselung wird ein zufälliger Schlüssel verwendet, der anschließend irgendwo abgespeichert werden muss. Man stelle sich vor es wird in einem Haus ein Safe benutzt, den nur eine Person öffnen darf. Diese Person verschließt den Safe und versteckt den Schlüssel dort, wo ein Angreifer ihn zuerst suchen würde: im selben Zimmer. Für Datensicherheitslösungen können wir den verwendeten Schlüssel auf eine Smartcard laden, die den Schlüssel nur nach Eingabe einer Benutzer-PIN nutzbar macht - schon hat der Anwender die Gewissheit, dass nur er den Zugriff auf die Dateien besitzt. So können Dateien auf eingerichteten Rechnern mit TrueCrypt egal ob Zuhause oder im Büro für Dritte unbrauchbar gemacht werden. Klingt kompliziert Ist es aber nicht! Alles was Sie für das Verschlüsseln von Dateien mit TrueCrypt und Smartcard benötigen: - Eine Smartcard mit freien Schlüsselcontainern (z.b. eine TeleSec NetKey 3.0 Karte) - Ein Kartenleser mit dem jeweiligen Treiber (z.b. ein Kobil Kaan Advanced Kartenleser) - Die TrueCrypt Software Wenn Sie TrueCrypt bereits zum Beispiel mit Passwörtern nutzen, müssen Sie das Programm für das Zusammenspiel mit einer Krypto-Smartcard einrichten. Um Dateien mit TrueCrypt zu verschlüsseln, müssen Sie ein sogenanntes Volume erstellen. Ein Volume ist so etwas wie ein Ordner (Container), worin Dateien abgelegt werden können. Ein typisches Volumen ist z.b. der Lokale Datenträger (C:). Die Funktion von TrueCrypt basiert auf Dateien, die im Programm als Volumen eingebunden werden können. Dazu muss ein Container mittels TrueCrypt am System angemeldet werden. Danach können Sie ganz einfach Dateien in das Volumen verschieben oder auch wieder heraus nehmen. Mit dem Abmelden vom System wendet TrueCrypt den eingestellten Algorithmus an, um die Dateien komplett zu verschlüsseln. Auf die Daten in der großen Datei kann nur dann wieder zugegriffen werden, wenn die Datei mittels TrueCrypt als Volumen eingebunden ist. Zum Öffnen eines Containers erwartet TrueCrypt entweder das gültige Passwort oder in unserem Fall die Präsentation der richtigen Smartcard mit gültiger PIN. Die Vorteile liegen auf der Hand: Die Dateien werden verschlüsselt und man kann unkompliziert den Container per USB-Stick oder über das Internet transportieren. T-Systems International GmbH, Stand: 29.06.11 3
Für die Verschlüsselung von Containern benötigen Sie folgende Komponenten: -TrueCrypt- Software. Für die Erweiterung mit Smartcard benötigen Sie außerdem: - einen PC/SC-konformen Chipkartenleser - eine TCOS Smartcard - TCOS-Treiberbibliotheken passen zum Betriebssystem des Rechners im vorliegenden Tutorial wird erklärt: - wie man einen Schlüssel-Token erstellt und auf die Smartcard lädt, - wie man einen Container unter TrueCrypt erstellt und einbindet. Zur Verwendung der TCOS-Chipkarte muss zuerst einmal die Karten-PIN aktiviert werden, hierzu kann das Card Management-Tool von den TeleSec-Seiten verwendet werden. T-Systems International GmbH, Stand: 29.06.11 4
Inhaltsverzeichnis 1.0 Vorwort... 3 2.0 Tutorial: Schlüsseldatei erstellen und auf die Smartcard laden... 6 3.0 Tutorial: Volumen erstellen... 9 4.0 Tutorial: Volumen einbinden und Dateien verschlüsseln mit TrueCrypt... 13 T-Systems International GmbH, Stand: 29.06.11 5
2.0 Tutorial: Schlüsseldatei erstellen und auf die Smartcard laden 2.1 Starten Sie TrueCrypt. Auf dem ersten Blick erscheint alles ein wenig kompliziert aber keine Sorge, Sie werden sich schnell zu Recht finden: 2.2 Klicken Sie auf Extras und im geöffneten Menü anschließend auf Schlüsseldatei erstellen. T-Systems International GmbH, Stand: 29.06.11 6
2.3 Wählen Sie eine Verschlüsselungsmethode aus (im Beispiel wurde SHA-512 gewählt). Folgen Sie den Anweisungen und erstellen Sie den Schlüssel. 2.4 Sie haben nun einen Schlüssel erstellt und können diesen auf die Smartcard laden, indem Sie im Menüpunkt Extras auf Verwalte Security-Token Schlüsseldateien klicken. T-Systems International GmbH, Stand: 29.06.11 7
2.5 Klicken Sie auf Schlüsseldateien auf den Token importieren und wählen Sie Ihren neuerstellten Schlüssel aus. Wurde im Fenster ein neuer Eintrag erstellt, war dies erfolgreich, klicken Sie auf OK. T-Systems International GmbH, Stand: 29.06.11 8
3.0 Tutorial: Volumen erstellen 3.1 Klicken Sie auf Volumen erstellen. Wählen Sie Eine verschlüsselte Containerdatei erstellen aus und klicken Sie auf Weiter. 3.2 Nun werden Sie gefragt, ob Sie ein Standard- oder ein Verstecktes TrueCrypt Volumen erstellen möchten. Mehr Informationen finden Sie hierfür unter http://www.truecrypt.org/docs/?s=hidden-volume. Wählen Sie Standard aus, wenn Sie ein normales Volumen erstellen möchten und klicken Sie auf Weiter. T-Systems International GmbH, Stand: 29.06.11 9
3.3 Wählen Sie einen Speicherort für das Volumen aus. Bitte lesen Sie zum besseren Verständnis des Vorgangs die Beschreibung durch. Klicken Sie auf Weiter. 3.4 Sie werden aufgefordert, einen Verschlüsselungs- und einen Hash-Algorithmus auszuwählen. Wenn Sie nicht wissen, was Algorithmen sind oder was die Unterschiede bedeuten aber trotzdem Daten sicher verschlüsseln wollen, wählen Sie die gängigen Einträge Serpent-Twofish-AES und SHA-512. Klicken Sie anschließend auf Weiter. T-Systems International GmbH, Stand: 29.06.11 10
3.5 Nun werden Sie nach der gewünschten Größe des Volumens gefragt. Diese hängt ganz davon ab, was Sie an Inhalten und vor allem wo Sie die Dateien speichern möchten. Wenn sie sich z.b. auf einem USB-Stick befinden sollen, wäre es nicht sinnvoll eine größere Datei zu erstellen, als Ihr USB-Stick speichern kann. Im Beispiel erstellen wir eine 100 MB große Datei, klicken Sie auf Weiter. 3.6 Als Nächstes wird nach einem Kennwort verlangt. Geben Sie ein sicheres Kennwort ein und markieren Sie den Eintrag Schlüsseldat. Verwenden. Jetzt können Sie auf Schlüsseldateien klicken: T-Systems International GmbH, Stand: 29.06.11 11
3.7 Klicken Sie auf Token Dat. Hinzufügen. Hier können Sie nun Ihren auf der Smartcard abgespeicherten Schlüssel auswählen. Anschließend sehen sie das folgende Fenster: 3.8 Bestätigen Sie mit OK und klicken Sie auf Weiter. Es erscheint ein Warnhinweis mit Kennwortrichtlinien. Lesen Sie es sich dies durch und klicken Sie auf Ja. Im nächsten Fenster müssen Sie nichts ändern, klicken Sie auf Formatieren und bestätigen Sie nach dem Vorgang mit OK. Sie werden gefragt, ob Sie ein weiteres Volumen erstellen möchten. Ist dies nicht der Fall, klicken Sie auf Beenden. Glückwunsch! Sie haben nun ein Volumen erstellt und den vorher erstellten Schlüssel auf die Smartcard geladen. Wie Sie nun mit diesem Container arbeiten und Dateien verschlüsseln können, wird im nächsten Teil beschrieben. T-Systems International GmbH, Stand: 29.06.11 12
4.0 Tutorial: Volumen einbinden und Dateien verschlüsseln mit TrueCrypt 4.1 Klicken Sie im TrueCrypt-Hauptfenster auf Datei und wählen Sie ihr zuvor erstelltes Volumen aus. Dieses kann jetzt durch Klicken auf Einbinden angemeldet werden. 4.2 Sie werden nun nach dem Passwort gefragt. Geben Sie hier Ihren Chipkarten-PIN ein und wählen Sie Schlüsseldat. verwenden aus: Im neuen Fenster können Sie ihr Token auf der Smartcard auswählen. Nach Klicken auf OK wird das Volumen als Laufwerk im Betriebssystem eingebunden. T-Systems International GmbH, Stand: 29.06.11 13
4.3 Im Dateimanager wird nun ein neuer Lokaler Datenträger angezeigt. Alle Dateien darin werden im zuvor erstellten Volumen verschlüsselt abgespeichert. 4.4 Bitte beachten Sie, dass die Dateien im angemeldeten lokalen Datenträger unverschlüsselt gelesen werden können. Wenn Sie den Container nicht mehr benötigen, sollten Sie das Volumen vom System abmelden. Danach liegen alle Daten ausschließlich verschlüsselt auf dem zugeordneten Medium. Klicken Sie hierfür unter TrueCrypt auf Trennen. 4.5 Für erneute Zugriffe auf die verschlüsselten Daten muss der Container wieder wie unter 4.1 beschrieben, angemeldet werden. T-Systems International GmbH, Stand: 29.06.11 14