HOWTO TrueCrypt mit Chipkarte

HOWTO
TrueCrypt mit Chipkarte
Erstellt von
Silvia Straihammer, BSc
[email protected]
Dokument Version – Erstellungsdatum
v1.0 – 07/2011
© CRYPTAS it-Security GmbH
Franzosengraben 8 : A-1030 Wien
Tel +43 (1) 798 96 96-0 : Fax +43 (1) 798 96 96-99
E-Mail [email protected] : Web www.cryptas.com
Knowlegde Guide
Wien, Dezember 2010
Einleitung
TrueCrypt ist eine Verschlüsselungssoftware, die es ermöglicht Daten in verschlüsselten
Containern aufzubewahren oder auch ganze Festplatten zu verschlüsseln. Dabei können
verschiedenste Algorithmen eingesetzt werden. Die Entschlüsselung erfolgt entweder nach der
Eingabe eines Passwort oder einem Keyfile oder beides. Die Sicherheit der Daten liegt somit in
der Komplexität und Geheimhaltung des Passworts bzw. des Keyfiles.
Um ein Höchstmaß an Sicherheit zu garantieren könnte das Keyfile auf einem sicheren
Datenträger abgelegt werden, der seine Informationen nur nach Eingabe eines PINs freigibt. Mit
Hilfe einer SmartCard kann auch bei der Datenverschlüsselung mit TrueCrypt eine Zwei-Faktor
Authentifizierung verwirklicht werden.
Voraussetzungen
Folgende Komponenten sind notwendig:
 TrueCrypt Software (Download)
 Kartenlesegerät
 Chipkarte
 PKCS#11 Library
PKCS#11 gehört der Familie der Public-Key Cryptography Standards an. Er definiert Vorgänge
zur Modifikation, Erstellung und Löschung von Objekten auf kryptografischen Token (Chipkarten).
Diese Karten werden vom Cryptoshop-Team empfohlen:
 Gemalto .NET Karte: Der größte Vorteil der .NET Karten ist ihre einfache Verwendung
unter Windows wird kein zusätzlicher Treiber benötigt um die Karte zu verwenden. Das
rührt daher, dass der Windows Base CSP /Minidriver diese Karte nativ unterstütz.
Manche Programme verwenden diesen Base CSP nicht und benötigen stattdessen die
PKCS#11 Library. Diese steht unter diesem Link zum Download bereit. (Karte kaufen)
ASECard Crypto Card: Die ASECard Crypto sind 72K EEPROM Karten mit dem
ASEPCOS Kartenbetriebssystem aus dem Hause Athena SCS. Die Personalisierung der
Karte kann mit dem ASECard Crypto Toolkit durchgeführt werden. (Karte kaufen)
www.cryptoshop.com

Durchführung
TrueCrypt braucht den Pfad zur PKCS#11 Library. Im Menü unter Settings – Security Tokens …
kann der Pfad zu der Library angegeben werden.
2
Bei .NET Karten ist die Datei unter folgendem Pfad zu finden: C:\Program Files\Gemalto\DotNet
PKCS11\gtop11dotnet.dll. Zuvor muss allerdings die PKCS#11 Library installiert worden sein
(Download).
Wird eine Athena Karte verwendet (inkl. ASECard Crypto Toolkit) so befindet sich diese Library
hier: C:\Windows\system32\aseCardCryptoCSP.dll
Abbildung 2: PKCS#11 Library Auswahl
3
www.cryptoshop.com
Abbildung 1: Security Token Einstellungen
Es ist auch möglich ein Auto-Detect der Library durchzuführen. Jedoch findet das Programm hier
nur jene PKCS#11 Libraries, die im Systemverzeichnis (C:\Windows\system32) enthalten sind.
Volume erstellen
Bei der Erzeugung eines neuen Volumes im Dialogfeld Volume Password wird die Option ‚‚use
Keyfile ausgewählt‘. Mit einem Klick auf den Button Keyfiles erscheint ein Dialogfenster in dem
Keyfiles ausgewählt und erstellt werden können.
www.cryptoshop.com
Ein Keyfile kann jegliche Art von Datei sein (mp3, jpg, mov, …). Das Keyfile selbst wird von
TrueCrypt nie verändert. Es können auch mehrere Keyfiles ausgewählt werden, dabei spielt die
Reihenfolge keine Rolle. TrueCrypt selbst stellt auch ein Tool zur Generierung von Keyfiles zur
Verfügung.
Abbildung 3: Zugriff auf Chipkarte
Mit ‚Add Token Files …‘ wird auf die Chipkarte zugegriffen und etwaige vorhandene Keyfiles
ausgelesen. Hier ist es auch möglich neue Keyfiles auf die Chipkarte zu importieren und dieses
dann zu verwenden. Für den Zugriff auf die Chipkarte wird natürlich der PIN der benötigt.
4
Abbildung 4: Keyfile auf Token importieren
Volume entschlüsseln u. ändern
www.cryptoshop.com
Folgende Schritte müssen durchgeführt werden um ein verschlüsseltes Volume zu mounten:
 Auswählen der Datei in dem die verschlüsselten Daten gespeichert wurden
 Mount
 Use Keyfiles auswählen
 Keyfiles
 Add Token Files
 PIN eingeben
 Verwendetes Keyfile auswählen
 OK
5
Abbildung 5: Volume entschlüsseln
Weitere Informationen und genaue Anleitungen zur Verwendung von TrueCrypt finden sich auf der
TrueCrypt Homepage.
Mit Keyfiles ist es möglich mehreren Benutzern Zugriff auf ein verschlüsseltes Volume zu geben
ohne das Passwort zu verteilen. Man kann das verwendete Keyfile auf mehrere Chipkarten
spielen und diese dann verteilen. Jede Chipkarte kann individuell mit einem persönlichen PIN
versehen werden.
Außerdem kann eine Authentifizierung nach dem zwei-Augen Prinzip durchgesetzt werden. Wird
die Datei mit zwei Keyfiles verschlüsselt, so kann je ein Keyfile auf einer Chipkarte abgelegt
werden. Will man das Volume wieder entschlüsseln, werden beide Chipkarten und beide PINs
benötigt.
6
www.cryptoshop.com
Tipps
Anhang A: Initialisierung der Karte
Athena ASECard Crypto
Mit der Installation des ASECard Crypto Toolkits stehen folgende Tools zur Verfügung:
 ASECard Manager: Zertifikatsverwaltung, PIN-Management
 ASECard Options: Einstellungen des ASECard Crypto Toolkits verändern
 ASECard Personalization Tool: erstmalige Personalisierung der Chipkarte
 ASECard PIN Tool: ändern der PINS
 Guides in pdf-Format
Abbildung 6: Programmaufruf
Damit die Karte verwendet werden kann muss sie zuerst personalisiert werden. Das bedeutet es
werden PINs und PIN Einstellungen festgelegt und weitere Optionen und Eigenschaften der
Karten definiert. Um eine solche Personalisierung durchzuführen wird ein Profil benötigt. In
diesem Profil werden die Einstellungen definiert und abgespeichert.
www.cryptoshop.com
Die Karte kann mit dem ASEDefault.ppf Profil personalisiert werden. Der User PIN hat dann den
Wert 11111111 und der Admin PIN 00000000. Das ASEDefault Profil kann nicht verändert
werden. Erstellt man ein eigenes Profil, so kann man einen persönlichen PIN konfigurieren.
Es wird empfohlen nicht die Standard-PINs zu verwenden. Dies kann entweder durch
 ein eigenes Profil, in dem ein manueller PIN eingegeben wird oder
 nach der Personalisierung der Karte mit einem Klick auf User/Admin PIN Ändern
ermöglicht werden.
7
Abbildung 8: Profilmanagement User PIN
Für die PINs können Policies definiert werden. Diese schreiben vor, welchen Anforderungen die
PINs entsprechen müssen. Bei beiden PINs können unterschiedliche Policies konfiguriert werden.
Abbildung 9: Personalisierung
8
www.cryptoshop.com
Abbildung 7: ASECard Personalisierungs-Tool
Bei Profile managen … können neue Profile angelegt, vorhandene bearbeitet oder gelöscht
werden.
Um die Karte zu personalisieren muss das gewünschte Profil ausgewählt und auf
Personalisieren geklickt werden.
Abbildung 10: Admin PIN ändern
www.cryptoshop.com
Abbildung 11: Bezeichnung ändern
Die Bezeichnung der Karte kann mit einem Klick auf Bezeichnung ändern bearbeitet werden.
Der Admin PIN ist für diese Aktion notwendig.
Mini-Driver Manager
Mit dem Minidriver Manager ist es möglich den PIN einer .NET Chipkarte zu ändern, Zertifikate zu
importiert, und vieles mehr. Dieses Tool kann von der Gemalto Homepage heruntergeladen
werden.
9
www.cryptoshop.com
CRYPTAS it-Security
Franzosengraben 8
A-1030 Wien, Austria
T +43 (1) 798 96 96 – 0
F +43 (1) 798 96 96 – 99
[email protected]
www.cryptoshop.com
www.cryptas.com
10