TrueCrypt 5.0 - "How to" und Performance

Hochwertige Verschlüsselung wurde dank des kinderleicht bedienbaren TrueCrypt sehr beliebt. Mit der erst kürzlich erschienen Version 5.0 kam sogar ein Feature hinzu, welches sehnlichst erwartet wurde: Die Möglichkeit endlich auch die Systempartition verschlüsseln zu können. Doch damit nicht genug - auch die Performance wurde im Vergleich zur Vorversion verbessert. Zwei Gründe also, um die aktuelle Version zu testen und euch dabei das Programm TrueCrypt ein wenig näher zu bringen.


www.truecrypt.org

How to - Standardvolumen erstellen

Erstellen eines verschlüsselten Volumens

Nachdem ihr TrueCrypt installiert und gestartet habt, erscheint das nebenstehend gezeigte Menü.
Da wir ein Volumen erstellen wollen, klicken wir gleich einmal auf Create Volume. Beim darauf folgenden Fenster können wir zwischen drei verschiedenen Möglichkeiten wählen:

• Create a File Container - womit wir eine einzelne Datei auf einer Festplatte erstellen, welche die verschlüsselten Dateien enthält.
• Create a volume within a non-system partition/device: mit der wir eine komplette Festplatte/Partition verschlüsseln können.
• Encrypt the system partition or entire system drive: oder man verschlüsselt gleich die gesamte Systempartition (dazu später mehr!).

Beim nächsten Fenster haben wir die Möglichkeit entweder ein Standard TrueCrypt Volume oder ein Hidden TrueCrypt Volume zu erzeugen. Bei letzterem ist dann auch die Datei, die die verschlüsselten Inhalte enthält nicht auffindbar, womit kein Hinweis auf einen verschlüsselten Bereich mehr vorliegt. Unter MacOS X kann man nur Standard- und keine Hidden Volumes erzeugen. Außerdem ist man auf das Dateisystem FAT beschränkt. Wir entscheiden uns hier für das Standard TrueCrypt Volume.
Nun geben wir den Pfad an, wo das TrueCrypt Volumen gespeichert werden soll (in unserem Fall auf einer per USB angeschlossen externen Festplatte) und geben ihm einen Namen.
Nun kann man aus zig Verschlüsselungs- und Hash-Algorithmen wählen. Mit einem Klick auf Benchmark kann man sich anzeigen lassen, welcher Algorithmus wie gut auf dem System läuft. Wir entscheiden uns hier für die AES-Kodierung mit dem Whirlpool Hash Algorithmus.
Beim folgenden Fenster wählen wir die Größe des Volumens.
Dann folgt die Passworteingabe. Bedenkt dass eine Verschlüsselung nur so gut ist wie das vergebene Passwort! Wir wählen ein 16-stelliges, bestehend aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Eine ausgezeichnete Quelle um sich solche Passwörter generieren zu lassen, ist zum Beispiel GRC's Ultra High Security Password Generator.
Nun errechnet TrueCrypt den Header- und Master-Key. Diese Schlüssel werden perRandom Pool durch Mausbewegungen zufallsgeneriert. Je länger man also die Maus bewegt, desto sicherer wird der Key. Mit einem Klick auf Format wird der Bereich formatiert. Der Vorgang dauert bei 10GB ca. fünf Minuten.
Damit habt ihr euer erstes TrueCrypt-Volumen erstellt.

How to - Standardvolumen mounten

Mounten eines verschlüsselten Volumens
Das Mounten des eben erstellen Volumens ist genauso kinderleicht wie das erstellen. Hier erläutern wir kurz wie man dabei vorgeht:

Da wir ein Standardvolumen als Datei erstellt haben, muss man im Hauptmenu auf Select File klicken und diese auswählen. Zusätzlich muss noch ein Laufwerksbuchstabe aus der obigen Liste vergeben werden.
Mit einem Klick auf Mount kommt auch schon die Passwortabfrage.
Fertig! Das verschlüsselte Volumen ist gemountet und erscheint sofort im Explorer. Nun könnt ihr Dateien auf dieses Volumen ziehen. Das Ganze verläuft genau wie bei einer normalen Partition.

How to - Systempartition verschlüsseln

Die neue Möglichkeit zur Systempartitions-Verschlüsselung ist das wahrscheinlich meisterwartete Feature von TrueCrypt 5.0. Mit ihr ist es möglich, das komplette System vor fremdem Zugriff zu schützen und zwar in gewohnt sicherer und einfacher TrueCrypt-Weise.

Befindet man sich im Menü, wählt man Create Volume.
Beim nächsten Fenster wählt man Encrypt the system partition or entire system drive, da wir ja die Systempartition verschlüsseln wollen.
Darauf folgend kann man entscheiden, ob man nur die Partition verschlüsseln will, auf der sich das Betriebssystem befindet (Encrypt the Windows system partition), oder die komplette Festplatte (Encrypt the whole drive) mit allen zusätzlichen Partitionen. Da unser Testsystem sowieso nur eine Windows-Partition hat, ist die Auswahl gleichgültig. Hat man aber mehrere Partitionen sollte diese Auswahl wohl überlegt sein!
Da die Passwortabfrage für den Zugang zum System bereits beim Booten erfolgt, kann man hier auswählen ob der Bootloader auch andere Betriebssystem miteinbinden soll. Wir haben aber nur Windows installiert und wählen daher Single-boot.
Auch hier entscheiden wir uns für AES als Verschlüsselungs-Algorithmus. Whirlpool ist als HASH-Algorithmus bei der Verschlüsselung einer Systempartition (noch) nicht möglich.
In den nächsten drei Schritten berechnet TrueCrypt wie bereits zuvor gezeigt die Keys.

Nach diesem Schritt muss man eine sogenannte Rescue Disk erstellen. Das dabei entstehende Rescue-ISO muss dann noch gebrannt werden (bevorzugt auf eine CD, da nur wenige MB groß). Klickt man nun auf Next wird geprüft, ob die Datei erfolgreich gebrannt wurde und erst dann kommt man weiter.
Beim nächsten Fenster kann man bestimmen, ob die Festplatte mit dem Wipe Mode-Algorithmus gesäubert werden soll. Dies stellt sicher, dass Daten die vor der Verschlüsselung gespeichert waren nicht einmal mit Labormethoden wiederhergestellt werden können.
Die folgenden drei Fenster dienen der Überprüfung, ob das System überhaupt korrekt arbeitet und damit eine Verschlüsselung möglich ist.
Mit einem Klick auf Encrypt beim letzten Fenster fängt die Verschlüsselung auch schon an. Dauer: Gute drei bis vier Stunden bei einer 80GB HDD - unabhängig davon wieviel Speicherplatz tatsächlich belegt ist. Das Verschlüsseln kann übrigens jederzeit pausiert und wieder fortgesetzt werden.


Die Systempartition wurde damit erfolgreich verschlüsselt. Startet man den Rechner nun neu, wird der TrueTrypt-Bootloader gestartet. Hier erfolgt die Passwortabfrage um das System freizugeben.
Probehalber haben wir die Festplatte des Testsystems (Notebook) ausgebaut und in ein 2,5"-Gehäuse installiert um zu sehen, wie andere Systeme auf die verschlüsselte Festplatte reagieren.

Performance - Systempartition

Wer ein bisschen googlet, findet im Nu viele Seiten die sich mit der Geschwindigkeit der einzelnen Algorithmen beschäftigen. Deshalb gehen wir hier nur sehr grob auf die Geschwindigkeitseinbußen ein - der primäre Zweck sollte ja ein absolut "undurchsichtiges" System sein.


Systempartition

Wir sind genau wie im "How to" vorgegangen und haben die Systempartition eines Notebooks mit TrueCrypt verschlüsselt. Doch bevor wir das gemacht haben, haben wir ein paar Zeiten gemessen um einen Vorher/Nachher-Vergleich durchführen zu können.

Testaufbau:

• Samsung X20 II 1600 (512MB RAM)
• verbaute Festplatte: Samsung 80GB 4200rpm
• TrueCrypt Volumen: Systempartition (eine)
• Bootzeit/Shutdown-Zeit
• Installationszeit und Startzeit UT3 (DVD)
• Startzeit Photoshop CS2 (Trial)
• Ordner: 6,31GB / 6 Dateien
• Ordner: 2,9GB / 514 Dateien

HDTach:

Links: Ohne Verschlüsselung
Rechts: Mit Verschlüsselung

Bootzeit:

• Ohne Verschlüsselung: 43,1s
• Mit Verschlüsselung: 53,7s

Shutdown-Zeit:

• Ohne Verschlüsselung: 13,0s
• Mit Verschlüsselung: 13,3s

Installationszeit / Startzeit UT3 (DVD):

• Ohne Verschlüsselung: 9:59min / 1:08min
• Mit Verschlüsselung: 12:21min / startet nicht

Startzeit Photoshop CS2 (Trial):

• Ohne Verschlüsselung: 26,0s
• Mit Verschlüsselung: 26,0s

Ordner: 6.31GB / 6 Dateien:

• Ohne Verschlüsselung: 4:10min
• Mit Verschlüsselung: 6:50min

Ordner: 2.9GB / 514 Dateien:

• Ohne Verschlüsselung: 2:53min
• Mit Verschlüsselung: 3:16min

Wie man sieht, muss man teilweise mit hohen Geschwindigkeitseinbußen rechnen. Warum UT3 sogar komplett den Dienst verweigert und sich selbst nach 30 Minuten Wartezeit nicht starten lässt, können wir nur mutmaßen: Es könnte an der etwas schwachbrüstigen CPU liegen.

Die HDTach-Werte sprechen eine sehr eindeutige Sprache. Man beachte die hohe CPU-Auslastung, den stark geschrumpften Burst-Wert und den schwachen Lesedurchsatz. Hier muss ich nochmals darauf hinweisen, dass die CPU ziemlich alt ist und es sich bei der Festplatte um eine mit 4200 Umdrehungen handelt. Modernere CPUs und schnellere Festplatte vorausgesetzt, würde die Grafik nicht ganz so negativ aussehen.

So "schockierend" die HDTach-Grafik aber auch aussehen mag, beim reinen Arbeiten mit dem System merkt man quasi keinen Unterschied zu einem unverschlüsselten System - selbst bei unserem betagten Notebook mit nicht ganz taufrischer Hardware. Die Unterschiede bei den Startzeiten liegen nur im Sekundenbereich. Seinen "Arbeitsrechner" kann man also ohne Bedenken "truecrypten". Unser Testnotebook jedoch kam schon nach wenigen Minuten Kopierens stark ins Schwitzen; die CPU-Auslastung schwankte ständig zwischen 70 und 100% und der Lüfter lief permanent. Darunter leidet natürlich auch die Akkulaufzeit, weshalb der mobile Einsatz von TrueCrypt zweimal überlegt sein sollte.

Performance - Container auf externen HDDs und Fazit

Externe HDD - Standard TrueCrypt Volume

Hier haben wir auf einer externen Festplatte (per USB 2.0 angeschlossen) ein Standard TrueCrypt-Volumen erstellt. Danach haben wir einen Ordner einmal mit und einmal ohne Verschlüsselung kopiert und die dafür benötigte Zeit und CPU-Auslastung aufgezeichnet.

Testaufbau 1:

• AMD Athlon 64 3700+
• MSI K8N Neo4-F
• 2 GB RAM
• Western Digital Caviar SE 320GB im Western Digital Gehäuse (USB 2.0)
• TrueCrypt Volumen: 10.000MB
• Ordner: 3,78GB / 596 Dateien

Zeit:

• Ohne Verschlüsselung: 3:06min
• Mit Verschlüsselung: 5:16min

CPU-Auslastung:


Testaufbau 2:

• Intel Core 2 Due E6750
• Gigabyte P35 DS4
• 2 GB RAM
• Western Digital Caviar 160GB in chiliGREEN-Gehäuse (USB 2.0)
• TrueCrypt Volumen: 10.000MB
• Ordner: 3,07GB / 655 Dateien

Zeit:

• Ohne Verschlüsselung: 2:32min
• Mit Verschlüsselung: 3:05min

CPU-Auslastung:


Beim Kopieren kann man deutliche Unterschiede messen. Hier muss jeder selbst entscheiden, inwieweit einem das ins Gewicht fällt und stört.

Hier sieht man auch sehr deutlich, dass ein Core 2 Duo deutlich leichteres Spiel mit der Verschlüsselung hat. Die CPU-Auslastung steigt nur minimal; ebenso verlängert sich das Kopieren nicht ganz so drastisch wie mit einem "altersschwachen" Athlon 64. Eine aktuelle CPU vorausgesetzt würden die Unterschiede nicht ganz so drastisch ausfallen.


Fazit
On-the-fly-Verschlüsselung wurde mit TrueCrypt sicherlich revolutioniert. Kinderleichte Bedienung und gute Performance ermöglichen es jedem Anwender seine sensiblen Daten professionell zu schützen. Mit der Version 5.0 wurde nicht nur die Performance spürbar verbessert, sondern auch die Möglichkeit die Systempartition verschlüsseln zu können eingeführt. Will man also sein System komplett abschotten und nimmt die Geschwindigkeitseinbußen, die es verglichen mit einem nicht verschlüsselten System nun einmal gibt in Kauf, bekommt man mit TrueCrypt das Nonplusultra geboten und das auch noch GRATIS.

» Beitrag diskutieren (31 Kommentare)