TrueCrypt und Dropbox

Der ein oder andere ist sich vielleicht unsicher, ob seine Dateien nicht doch vom Mitarbeiter XY gelesen werden können, wenn er diese in die Obhut des Synchronisations-Anbieters Dropbox gibt. Man kann da aber ein wenig Sicherheit gewinnen. Einfach ein TrueCrypt-Volume in die Dropbox und fertig. TrueCrypt sollte dann halt auf jedem "Zugriffsrechner" installiert sein, die Portable-Version benötigt Administratorrechte unter Windows. Mit Web-Zugriff ist dann selbstverständlich aber nichts mehr. Kann mir auch nicht vorstellen, dass jemand hochsensible Daten per Webinterface abrufen will.

Truecrypt Hauptfenster

Jedenfalls genug geredet, kommen wir nun zur Einrichtung.

~

Eigentlich ist alles recht einfach: TrueCrypt-Volume mit Speicherort in der Dropbox erstellen.

Verschlüsseltes Volume erstellen

  1. TrueCrypt herunterladen und installieren (Portable-Version hier herunterladen; Lokalisationen gibts hier) und starten
  2. Auf "Create Volume" klicken, das startet den "Truecrypt Volume Creation Wizard", dann zweimal "Next" anklicken (die Standardeinstellungen lassen wir so). Danach auf "Select File" klicken und den Speicherort der Container-Datei auswählen. Diesen legt man nun natürlich in seine Dropbox rein. Man kann dem Container jegliche Dateiendung geben, die man will, oder auch garkeine. "Next" anklicken.Truecrypt Volume Creation Wizard - Volume Location
  3. Nun muss man noch den Encryption-Algorithmus auswählen. AES wird für die meisten wohl ausreichen (reicht für das U.S. Government auch aus, so wie es da steht). Bei CB gibts eine Benchmarkliste. "Next" anklicken.Truecrypt Volume Creation Wizard - Encryption Option
  4. Jetzt muss man leider schon die maximale Dateigröße des Containers auswählen. Auf der anderen Seite hat man dann aber immer ein File das, egal was sich darin befindet, immer die gleiche Größe hat. Wieder "Next" anklicken.
  5. Das Passwort für die Verschlüsselung muss nun gewählt werden. Truecrypt schlägt ein Passwort von mindestens 20 Zeichen, darunter alles mögliche, was das Tastaturlayout hergibt, vor, möglichst schwer zu cracken oder zu raten. Wenn das Passwort zu einfach ist, hat das ganze nur begrenzt Sinn.
  6. Zu guter Letzt muss der Container noch formatiert werden. Keine Angst, nicht die Festplatte, sondern nur das File, in die nachher die zu verschlüsselnden Dateien reinkommen. Für die Formatierung nimmt Truecrypt unter anderem auch den Aufenthaltsort des Mauszeiger auf, damit es möglichst zufällig wird. Auf "Format" klicken. Truecrypt Volume Creation Wizard - Volume Format

Das war's.

Dateien in die verschlüsselte Datei schreiben und lesen

Nun befindet sich die Container-Datei schon im Dropbox-Verzeichnis und wird bei Änderung synchronisiert. So kann man die Datei beschreiben respektive auslesen:

  1. Truecrypt starten und auf "Select File" klicken. Hier dann die Container-Datei im Dropbox-Verzeichnis öffnen.Volume mounten
  2. Nun muss man einen freien Laufwerksbuchstaben auswählen, ein Klick auf "Mount" lädt die Datei, unter "Mount Options" verstecken sich zusätzliche Einstellungsmöglichkeiten. Das Passwort muss nun eingegeben werden.
  3. Im Windows-Explorer meldet sich die Container-Datei dann (mit Standardeinstellungen) als eigene Partition. So kann man wie mit einer normalen Partition weiterarbeiten.Im Windows Explorer
  4. Wenn alles in der Container-Datei gelandet ist, muss man nun noch selbiges über Truecrypt "dismounten". Geladenes Laufwerk in Truecrypt markieren und "Dismount" anklicken. Nun erst kann Dropbox das File synchronisieren, vorher meldet Dropbox "File in Use".

Die Synchronisation:

Wie man in der Dropbox-Hilfe nachlesen kann geschieht die Datei-Synchronisation folgendermaßen:

Before transferring a file, we compare the new file to the previous version and only send the piece of the file that changed. This is called a "binary diff" and works on any file type. Dropbox compresses files before transferring them as well. This way, you also never have to worry about Dropbox re-uploading a file or wasting bandwidth.

Ähnliche Verschlüsselungen kann man auch mit OpenSSL erreichen. Das geht aber über die Command Line und finde ich nicht so einsteigerfreundlich respektive intuitiv.