JohnStrong
Newbie
- Registriert
- Jan. 2011
- Beiträge
- 1
(würde eigentlich in FAQ bereich gehören, aber darf ich nicht posten)
Einleitung
Alle Systeme die ein Passwort für den Zugang erfordern, haben eine große Schwachstelle: wer das Passwort kennt, hat den vollen Zugriff.
Mehr Sicherheit erreicht man, wenn nicht nur ein Passwort sondern zusätzlich der Besitz einer Komponente erforderlich ist, z.B. ein Hardware USB Dongle (Token) wo die Sicherheitsinformationen verschlüsselt abgespeichert sind. Ohne den physischen Zugriff auf das Token ist kein Zugriff möglich.
Diese Anleitung beschreibt, wie man TrueCrypt mit einem solchen Token benutzt.
Aladdin eToken Pro - was ist das?
Ein Aladdin eToken Pro ist kein normaler USB Stick, sondern ein Hardware USB Dongle mit integriertem Verschlüsselungsprozessor. Ohne das Token-Master-Passwort können die verschlüsselten Informationen aus dem Stick nicht ausgelesen/benutzt/kopiert werden, weder mit Hacktools noch über technische Manipulationen. Solche Tokens eignen sich hervorragend, um darauf Authentifizierungs Daten abzulegen, da ohne den "Besitz" noch nicht einmal das FBI an die Daten gelangen würde.
Bezugsquelle
Die Tokens sind ausschliesslich für den Unternehmenseinsatz gedacht und sind nicht im normalen Handel erhältlich. Mit etwas Glück wird man im Aktionshaus mit den 4 Buchstaben (aka "Bucht") fündig. Wenn grade keiner angeboten wird, einfach ein paar Tage später mal reingucken.
Benötigt wird ein "Aladdin eToken Pro" in 16k, 32k, oder 64k, die größe ist Angesichts der kleinen Keyfiles egal. Wichtig ist, das ein "Aladdin eToken Pro" ist, andere Versionen (OTP, Java, eToken Pro R2) sind NICHT geeignet.
Download Treiber
Aladdin eToken Runtime Client 5.1 SP1 32-Bit (WinXP, Vista, Win7)
Aladdin eToken Runtime Client 5.1 SP1 64-Bit (WinXP, Vista, Win7)
Aladdin eToken Quickstart Guide
Aladdin eToken Handbuch 5.1 SP1
Installation Aladdin eToken Treiber und Konfigurations Tool
PC neu starten, Aladdin installer ausführen und den Token mit den gewünschten Einstellungen initialisieren
(z.B. Passwort, Anzahl der Fehlversuche, Token Name). Das Standard Passwort für den eToken ist: "1234567890",
nach erfolgter Konfiguration den Token wieder abziehen.
TrueCrypt Einstellungen
(Die Anleitung bezieht sich auf TC Version 7.0a)
>>> Settings -> Preferences -> [Button ganz unten] More Settings -> Security Tokens
den Pfad zur Token DLL eintragen: C:\WINDOWS\system32\eToken.dll (oder Autodetect)
Random Keyfile erstellen und speichern
>>> Tools -> Keyfile Generator -> Generate and Save Keyfile
Keyfile auf den Token laden
Token einstecken
>>> Tools -> Manage Security Tokens Keyfiles
[Jetzt wird das Passwort des Tokens abgefragt]
Import Keyfile to Token -> Keyfile in den Token laden
Jetzt ist das Keyfile auf den Token gespeichert und kann für unser Vorhaben verwendet werden.
Falls noch kein TrueCrypt Volume (Container) vorhanden ist,
ein neues TC Volume ganz normal mit Passwort erstellen.
Man kann auch direkt beim erstellen eines neuen Containers
anstelle eines Passwortes das Keyfile aus dem Token angeben.
In dem Falle kann das neue TC-Volume direkt nach der Erstellung
ohne weitere Änderungen verwendet werden.
Zur Verwendung des Tokens haben wir 2 möglichkeiten:
a) TC-Volume mit Passwort + Keyfile auf Token
b) TC-Volume mit Keyfile auf Token
Die zweite Variante ist besonders schön, weil nur EINMALIG das Master-Passwort des Tokens
verlangt wird. Ohne den Token kann sowiso niemand auf das TC-Volumen zugreifen,
insofern ist das TC-Passwort überflüssig.
#1 - TC-Volume von "nur Passwort" ---> "Passwort + Token" ändern
>>> Container angeben (z.B. C:\TC_test) -> Button [Volume Tools] -> Add/Remove Keyfiles from/to Volume
Oben (Current): (Container-Passwort eingeben)
Unten (New): [x]User Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
[OK] - dauert jetzt ca. 30 Sekunden.
Nun ist das neue Keyfile aus dem Token zum TC-Volumen zugefügt worden, fertig!
#2 - TC-Volume von "nur Passwort" ---> "nur Token" ändern
Wie #1, jedoch wird nach dem zufügen des Keyfiles das Passwort des TC-Volumes entfernt:
>>> Container angeben (z.B. C:\TC_test) -> Button [Volume Tools] -> Change Volume Password
Oben (Current): (Container-Passwort eingeben) + [x]Use Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
Unten (New): (Password = leer lassen) + [x]Use Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
[OK] - dauert jetzt ca. 30 Sekunden.
Nach erfolgreichem Transfer der originalen Keydatei vonder Festplatte auf das Token
sollte man diese entweder löschen oder verschlüsselt (z.B. WINrar mit gesetztem PW) Ablegen.
TC-Volumes mit Token-Authentifizierung verwenden
Token einstecken
>>> Container angeben (z.B. C:\TC_test) -> Button [Mount]
(Passwort eingeben - sofern gesetzt] + [x] Use keyfiles -> Button [Keyfiles] -> [Add Token Files -> [Token Passwort eingeben] -> Keyfile vom Token auswählen] -> OK
Fertig
Mehrere Volumes per Batch-Datei Mounten
Wenn man mehrere Volumes bequem auf einmal mounten möchte, bietet sich eine Batch-Datei an, die alle TC-Volumes nach einmaliger Eingabe des Token-Master Passwortes automatisch anmeldet. Dazu folgende Zeilen in eine Textdatei kopieren und als "mount.bat" speichern.
Wichtig #1
Der Token zählt Fehlversuche bei der Passworteingabe mit, nach 15 Versuchen ist der Token gesperrt. Wenn kein Admin Passwortgesetzt ist, kann man den Token nicht mehr entsperren, sondern nur unter Verlust der gespeicherten Keyfiles neu formatieren = kein Zugriff mehr auf bestehende Volumes, sofern kein Backup der Keyfiles vorhanden ist um den Token wiederherzustellen.
Geht der Token verloren, Defekt etc sind alle Daten weg! Ohne den Token hätte noch nicht einmal das FBI die möglichkeit an die Daten zu kommen. Deshalb am besten zwei Token anfertigen und das Backup Token an einem sicheren Ort deponieren.
Wichtig #2
Erstellt ein neues TC-Volume und testet das in Ruhe aus - ich bin nicht verantwortlich, wenn Ihr Eure Daten "zu tode" verschlüsselt und selbst nicht mehr dran kommt!
---------------------------------
FAQ
Welchen Token benötige ich?
Aladdin eToken Pro 16k, Aladdin eToken Pro 32k, oder Aladdin eToken Pro 64k in der Farbe BLAU, andere Farben oder Produktvarianten sind nicht kompatibel.
Wie lautet das Standard Passwort für den Aladdin eToken?
1234567890
Wie kann ich das Token Passwort ändern?
Mit der Aladdin eToken Client Software.
Was passiert, wenn ich 15x das falsche Token Passwort eingegeben habe?
Der Token ist dann gesperrt und kann NUR bei gesetztem Token-Admin-Passwort entsperrt oder unter Verlust der auf dem Token gespeicherten Daten neu initialisiert werden.
Wie das Standard Admin-Passwort für den Aladdin eToken?
Es gibt keins. Man beim Ändern der Token Konfiguration das Admin-Passwort setzen.
Kann ich mit dem Token auch das Boot-laufwerk sichern?
Nein, eine Pre-Boot Authentifizierung (PBA) wird von TrueCrypt 7.0a nicht unterstützt, aber möglicherweise in Zukunft implementiert. Es gibt aber kommerzielle Verschlüsselungs-Software, die solche Funktionen haben, z.B. Jetico BestCrypt Volume Encryption.
Viel Spaß,
John Strong
Einleitung
Alle Systeme die ein Passwort für den Zugang erfordern, haben eine große Schwachstelle: wer das Passwort kennt, hat den vollen Zugriff.
Mehr Sicherheit erreicht man, wenn nicht nur ein Passwort sondern zusätzlich der Besitz einer Komponente erforderlich ist, z.B. ein Hardware USB Dongle (Token) wo die Sicherheitsinformationen verschlüsselt abgespeichert sind. Ohne den physischen Zugriff auf das Token ist kein Zugriff möglich.
Diese Anleitung beschreibt, wie man TrueCrypt mit einem solchen Token benutzt.
Aladdin eToken Pro - was ist das?
Ein Aladdin eToken Pro ist kein normaler USB Stick, sondern ein Hardware USB Dongle mit integriertem Verschlüsselungsprozessor. Ohne das Token-Master-Passwort können die verschlüsselten Informationen aus dem Stick nicht ausgelesen/benutzt/kopiert werden, weder mit Hacktools noch über technische Manipulationen. Solche Tokens eignen sich hervorragend, um darauf Authentifizierungs Daten abzulegen, da ohne den "Besitz" noch nicht einmal das FBI an die Daten gelangen würde.
Bezugsquelle
Die Tokens sind ausschliesslich für den Unternehmenseinsatz gedacht und sind nicht im normalen Handel erhältlich. Mit etwas Glück wird man im Aktionshaus mit den 4 Buchstaben (aka "Bucht") fündig. Wenn grade keiner angeboten wird, einfach ein paar Tage später mal reingucken.
Benötigt wird ein "Aladdin eToken Pro" in 16k, 32k, oder 64k, die größe ist Angesichts der kleinen Keyfiles egal. Wichtig ist, das ein "Aladdin eToken Pro" ist, andere Versionen (OTP, Java, eToken Pro R2) sind NICHT geeignet.
Download Treiber
Aladdin eToken Runtime Client 5.1 SP1 32-Bit (WinXP, Vista, Win7)
Aladdin eToken Runtime Client 5.1 SP1 64-Bit (WinXP, Vista, Win7)
Aladdin eToken Quickstart Guide
Aladdin eToken Handbuch 5.1 SP1
Installation Aladdin eToken Treiber und Konfigurations Tool
PC neu starten, Aladdin installer ausführen und den Token mit den gewünschten Einstellungen initialisieren
(z.B. Passwort, Anzahl der Fehlversuche, Token Name). Das Standard Passwort für den eToken ist: "1234567890",
nach erfolgter Konfiguration den Token wieder abziehen.
TrueCrypt Einstellungen
(Die Anleitung bezieht sich auf TC Version 7.0a)
>>> Settings -> Preferences -> [Button ganz unten] More Settings -> Security Tokens
den Pfad zur Token DLL eintragen: C:\WINDOWS\system32\eToken.dll (oder Autodetect)
Random Keyfile erstellen und speichern
>>> Tools -> Keyfile Generator -> Generate and Save Keyfile
Keyfile auf den Token laden
Token einstecken
>>> Tools -> Manage Security Tokens Keyfiles
[Jetzt wird das Passwort des Tokens abgefragt]
Import Keyfile to Token -> Keyfile in den Token laden
Jetzt ist das Keyfile auf den Token gespeichert und kann für unser Vorhaben verwendet werden.
Falls noch kein TrueCrypt Volume (Container) vorhanden ist,
ein neues TC Volume ganz normal mit Passwort erstellen.
Man kann auch direkt beim erstellen eines neuen Containers
anstelle eines Passwortes das Keyfile aus dem Token angeben.
In dem Falle kann das neue TC-Volume direkt nach der Erstellung
ohne weitere Änderungen verwendet werden.
Zur Verwendung des Tokens haben wir 2 möglichkeiten:
a) TC-Volume mit Passwort + Keyfile auf Token
b) TC-Volume mit Keyfile auf Token
Die zweite Variante ist besonders schön, weil nur EINMALIG das Master-Passwort des Tokens
verlangt wird. Ohne den Token kann sowiso niemand auf das TC-Volumen zugreifen,
insofern ist das TC-Passwort überflüssig.
#1 - TC-Volume von "nur Passwort" ---> "Passwort + Token" ändern
>>> Container angeben (z.B. C:\TC_test) -> Button [Volume Tools] -> Add/Remove Keyfiles from/to Volume
Oben (Current): (Container-Passwort eingeben)
Unten (New): [x]User Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
[OK] - dauert jetzt ca. 30 Sekunden.
Nun ist das neue Keyfile aus dem Token zum TC-Volumen zugefügt worden, fertig!
#2 - TC-Volume von "nur Passwort" ---> "nur Token" ändern
Wie #1, jedoch wird nach dem zufügen des Keyfiles das Passwort des TC-Volumes entfernt:
>>> Container angeben (z.B. C:\TC_test) -> Button [Volume Tools] -> Change Volume Password
Oben (Current): (Container-Passwort eingeben) + [x]Use Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
Unten (New): (Password = leer lassen) + [x]Use Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
[OK] - dauert jetzt ca. 30 Sekunden.
Nach erfolgreichem Transfer der originalen Keydatei vonder Festplatte auf das Token
sollte man diese entweder löschen oder verschlüsselt (z.B. WINrar mit gesetztem PW) Ablegen.
TC-Volumes mit Token-Authentifizierung verwenden
Token einstecken
>>> Container angeben (z.B. C:\TC_test) -> Button [Mount]
(Passwort eingeben - sofern gesetzt] + [x] Use keyfiles -> Button [Keyfiles] -> [Add Token Files -> [Token Passwort eingeben] -> Keyfile vom Token auswählen] -> OK
Fertig
Mehrere Volumes per Batch-Datei Mounten
Wenn man mehrere Volumes bequem auf einmal mounten möchte, bietet sich eine Batch-Datei an, die alle TC-Volumes nach einmaliger Eingabe des Token-Master Passwortes automatisch anmeldet. Dazu folgende Zeilen in eine Textdatei kopieren und als "mount.bat" speichern.
Code:
@echo off
rem ### Batch Datei zum Mounten von TC-Volumes mit Aladdin eToken
rem
set TC_path="c:\programme\truecrypt\truecrypt.exe"
set TK_lib="c:\windows\system32\eToken.dll"
rem ### der pfad muss ggf. angepasst werden (slot/0)
rem ### der name des keyfiles muss angepasst werden
set TC_keyfile="token://slot/0/file/TC_keyfile_test"
rem ## für jedes TC-Volumen Pfad zum Container + gewünschter Laufwerksbuchstabe angeben
set TC_vol1="c:\TC_test"
set TC_vol1_LW="O:"
set TC_vol2="c:\TC_test2"
set TC_vol2_LW="P:"
rem ### je volume anpassen: %TC_vol1_LW% + %TC_vol1%
rem ### falls zusätzlich ein Passwort benutzt wird, den parameter "/p" einfügen
%TC_path% /l%TC_vol1_LW% /k %TC_keyfile% /q /tokenlib %TK_lib% /a /c y /m rm /v %TC_vol1%
%TC_path% /l%TC_vol2_LW% /k %TC_keyfile% /q /tokenlib %TK_lib% /a /c y /m rm /v %TC_vol2%Wichtig #1
Der Token zählt Fehlversuche bei der Passworteingabe mit, nach 15 Versuchen ist der Token gesperrt. Wenn kein Admin Passwortgesetzt ist, kann man den Token nicht mehr entsperren, sondern nur unter Verlust der gespeicherten Keyfiles neu formatieren = kein Zugriff mehr auf bestehende Volumes, sofern kein Backup der Keyfiles vorhanden ist um den Token wiederherzustellen.
Geht der Token verloren, Defekt etc sind alle Daten weg! Ohne den Token hätte noch nicht einmal das FBI die möglichkeit an die Daten zu kommen. Deshalb am besten zwei Token anfertigen und das Backup Token an einem sicheren Ort deponieren.
Wichtig #2
Erstellt ein neues TC-Volume und testet das in Ruhe aus - ich bin nicht verantwortlich, wenn Ihr Eure Daten "zu tode" verschlüsselt und selbst nicht mehr dran kommt!
---------------------------------
FAQ
Welchen Token benötige ich?
Aladdin eToken Pro 16k, Aladdin eToken Pro 32k, oder Aladdin eToken Pro 64k in der Farbe BLAU, andere Farben oder Produktvarianten sind nicht kompatibel.
Wie lautet das Standard Passwort für den Aladdin eToken?
1234567890
Wie kann ich das Token Passwort ändern?
Mit der Aladdin eToken Client Software.
Was passiert, wenn ich 15x das falsche Token Passwort eingegeben habe?
Der Token ist dann gesperrt und kann NUR bei gesetztem Token-Admin-Passwort entsperrt oder unter Verlust der auf dem Token gespeicherten Daten neu initialisiert werden.
Wie das Standard Admin-Passwort für den Aladdin eToken?
Es gibt keins. Man beim Ändern der Token Konfiguration das Admin-Passwort setzen.
Kann ich mit dem Token auch das Boot-laufwerk sichern?
Nein, eine Pre-Boot Authentifizierung (PBA) wird von TrueCrypt 7.0a nicht unterstützt, aber möglicherweise in Zukunft implementiert. Es gibt aber kommerzielle Verschlüsselungs-Software, die solche Funktionen haben, z.B. Jetico BestCrypt Volume Encryption.
Viel Spaß,
John Strong
