[Guide] TrueCrypt Verschlüsselung mit Aladdin eToken Hardware USB Dongle

JohnStrong

Neuling
Thread Starter
Mitglied seit
24.01.2011
Beiträge
2
Einleitung

Alle Systeme die ein Passwort für den Zugang erfordern, haben eine große Schwachstelle: wer das Passwort kennt, hat den vollen Zugriff.

Mehr Sicherheit erreicht man, wenn nicht nur ein Passwort sondern zusätzlich der Besitz einer Komponente erforderlich ist, z.B. ein Hardware USB Dongle (Token) wo die Sicherheitsinformationen verschlüsselt abgespeichert sind. Ohne den physischen Zugriff auf das Token ist kein Zugriff möglich.

Diese Anleitung beschreibt, wie man TrueCrypt mit einem solchen Token benutzt.




Aladdin eToken Pro - was ist das?



Ein Aladdin eToken Pro ist kein normaler USB Stick, sondern ein Hardware USB Dongle mit integriertem Verschlüsselungsprozessor. Ohne das Token-Master-Passwort können die verschlüsselten Informationen aus dem Stick nicht ausgelesen/benutzt/kopiert werden, weder mit Hacktools noch über technische Manipulationen. Solche Tokens eignen sich hervorragend, um darauf Authentifizierungs Daten abzulegen, da ohne den "Besitz" noch nicht einmal das FBI an die Daten gelangen würde.


Bezugsquelle
Die Tokens sind ausschliesslich für den Unternehmenseinsatz gedacht und sind nicht im normalen Handel erhältlich. Mit etwas Glück wird man im Aktionshaus mit den 4 Buchstaben (aka "Bucht") fündig. Wenn grade keiner angeboten wird, einfach ein paar Tage später mal reingucken.

Benötigt wird ein "Aladdin eToken Pro" in 16k, 32k, oder 64k, die größe ist Angesichts der kleinen Keyfiles egal. Wichtig ist, das ein "Aladdin eToken Pro" ist, andere Versionen (OTP, Java, eToken Pro R2) sind NICHT geeignet.


Download Treiber
Aladdin eToken Runtime Client 5.1 SP1 32-Bit (WinXP, Vista, Win7)
Aladdin eToken Runtime Client 5.1 SP1 64-Bit (WinXP, Vista, Win7)

Aladdin eToken Quickstart Guide
Aladdin eToken Handbuch 5.1 SP1



Quickstart Kurzfassung
- Aladdin eToken Treiber + Clientsoftware installieren
- Token mit der Aladdin Client Software konfigurieren (Passwort setzen etc.)
- in der TrueCrypt Konfiguration den Pfad zur "eToken.dll" angeben
- Random Keyfile erstellen
- Keyfile auf den eToken hochladen
- Authentifizierung der bestehenden TC-Volumes (Container) von "Passwort" auf "Passwort + Token" ändern (Token Keyfile zufügen)
- das Keyfile von der Festplatte löschen oder verschlüsselt (z.b. WINrar) speichern

- optional: altes TC-Volume Passwort entfernen
- optional: Batch-Datei zum bequemen mounten von mehreren Volumes verwenden

Installation Aladdin eToken Treiber und Konfigurations Tool
PC neu starten, Aladdin installer ausführen und den Token mit den gewünschten Einstellungen initialisieren
(z.B. Passwort, Anzahl der Fehlversuche, Token Name). Das Standard Passwort für den eToken ist: "1234567890",
nach erfolgter Konfiguration den Token wieder abziehen.



TrueCrypt Einstellungen
(Die Anleitung bezieht sich auf TC Version 7.0a)

>>> Settings -> Preferences -> [Button ganz unten] More Settings -> Security Tokens
den Pfad zur Token DLL eintragen: C:\WINDOWS\system32\eToken.dll (oder Autodetect)











Random Keyfile erstellen und speichern
>>> Tools -> Keyfile Generator -> Generate and Save Keyfile





Keyfile auf den Token laden

Token einstecken
>>> Tools -> Manage Security Tokens Keyfiles




[Jetzt wird das Passwort des Tokens abgefragt]




Import Keyfile to Token -> Keyfile in den Token laden







Jetzt ist das Keyfile auf den Token gespeichert und kann für unser Vorhaben verwendet werden.



Falls noch kein TrueCrypt Volume (Container) vorhanden ist,
ein neues TC Volume ganz normal mit Passwort erstellen.


Man kann auch direkt beim erstellen eines neuen Containers
anstelle eines Passwortes das Keyfile aus dem Token angeben.
In dem Falle kann das neue TC-Volume direkt nach der Erstellung
ohne weitere Änderungen verwendet werden.




Zur Verwendung des Tokens haben wir 2 möglichkeiten:
a) TC-Volume mit Passwort + Keyfile auf Token
b) TC-Volume mit Keyfile auf Token

Die zweite Variante ist besonders schön, weil nur EINMALIG das Master-Passwort des Tokens
verlangt wird. Ohne den Token kann sowiso niemand auf das TC-Volumen zugreifen,
insofern ist das TC-Passwort überflüssig.


#1 - TC-Volume von "nur Passwort" ---> "Passwort + Token" ändern
>>> Container angeben (z.B. C:\TC_test) -> Button [Volume Tools] -> Add/Remove Keyfiles from/to Volume






Oben (Current): (Container-Passwort eingeben)
Unten (New): [x]User Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK








[OK] - dauert jetzt ca. 30 Sekunden.



Nun ist das neue Keyfile aus dem Token zum TC-Volumen zugefügt worden, fertig!



#2 - TC-Volume von "nur Passwort" ---> "nur Token" ändern
Wie #1, jedoch wird nach dem zufügen des Keyfiles das Passwort des TC-Volumes entfernt:

>>> Container angeben (z.B. C:\TC_test) -> Button [Volume Tools] -> Change Volume Password
Oben (Current): (Container-Passwort eingeben) + [x]Use Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK
Unten (New): (Password = leer lassen) + [x]Use Keyfiles -> Button [Keyfiles] -> Add Token Files [Keyfile vom Token] -> OK

[OK] - dauert jetzt ca. 30 Sekunden.



Nach erfolgreichem Transfer der originalen Keydatei vonder Festplatte auf das Token
sollte man diese entweder löschen oder verschlüsselt (z.B. WINrar mit gesetztem PW) Ablegen.





TC-Volumes mit Token-Authentifizierung verwenden

Token einstecken

>>> Container angeben (z.B. C:\TC_test) -> Button [Mount]
(Passwort eingeben - sofern gesetzt] + [x] Use keyfiles -> Button [Keyfiles] -> [Add Token Files -> [Token Passwort eingeben] -> Keyfile vom Token auswählen] -> OK
Fertig;)



Mehrere Volumes per Batch-Datei Mounten
Wenn man mehrere Volumes bequem auf einmal mounten möchte, bietet sich eine Batch-Datei an, die alle TC-Volumes nach einmaliger Eingabe des Token-Master Passwortes automatisch anmeldet. Dazu folgende Zeilen in eine Textdatei kopieren und als "mount.bat" speichern.

Code:
@echo off
rem ### Batch Datei zum Mounten von TC-Volumes mit Aladdin eToken
rem
set TC_path="c:\programme\truecrypt\truecrypt.exe"
set TK_lib="c:\windows\system32\eToken.dll"

rem ### der pfad muss ggf. angepasst werden (slot/0)
rem ### der name des keyfiles muss angepasst werden
set TC_keyfile="token://slot/0/file/TC_keyfile_test"

rem ## für jedes TC-Volumen Pfad zum Container + gewünschter Laufwerksbuchstabe angeben
set TC_vol1="c:\TC_test"
set TC_vol1_LW="O:"

set TC_vol2="c:\TC_test2"
set TC_vol2_LW="P:"

rem ### je volume anpassen: %TC_vol1_LW% + %TC_vol1%
rem ### falls zusätzlich ein Passwort benutzt wird, den parameter "/p" einfügen
%TC_path% /l%TC_vol1_LW% /k %TC_keyfile% /q /tokenlib %TK_lib% /a /c y /m rm /v %TC_vol1%
%TC_path% /l%TC_vol2_LW% /k %TC_keyfile% /q /tokenlib %TK_lib% /a /c y /m rm /v %TC_vol2%


Wichtig #1
Der Token zählt Fehlversuche bei der Passworteingabe mit, nach 15 Versuchen ist der Token gesperrt. Wenn kein Admin Passwortgesetzt ist, kann man den Token nicht mehr entsperren, sondern nur unter Verlust der gespeicherten Keyfiles neu formatieren = kein Zugriff mehr auf bestehende Volumes, sofern kein Backup der Keyfiles vorhanden ist um den Token wiederherzustellen.

Geht der Token verloren, Defekt etc sind alle Daten weg! Ohne den Token hätte noch nicht einmal das FBI die möglichkeit an die Daten zu kommen. Deshalb am besten zwei Token anfertigen und das Backup Token an einem sicheren Ort deponieren.


Wichtig #2
Erstellt ein neues TC-Volume und testet das in Ruhe aus - ich bin nicht verantwortlich, wenn Ihr Eure Daten "zu tode" verschlüsselt und selbst nicht mehr dran kommt!


---------------------------------
FAQ

Welchen Token benötige ich?
Aladdin eToken Pro 16k, Aladdin eToken Pro 32k, oder Aladdin eToken Pro 64k in der Farbe BLAU, andere Farben oder Produktvarianten sind nicht kompatibel.

Wie lautet das Standard Passwort für den Aladdin eToken?
1234567890

Wie kann ich das Token Passwort ändern?
Mit der Aladdin eToken Client Software.

Was passiert, wenn ich 15x das falsche Token Passwort eingegeben habe?
Der Token ist dann gesperrt und kann NUR bei gesetztem Token-Admin-Passwort entsperrt oder unter Verlust der auf dem Token gespeicherten Daten neu initialisiert werden.

Wie das Standard Admin-Passwort für den Aladdin eToken?

Es gibt keins. Man beim Ändern der Token Konfiguration das Admin-Passwort setzen.

Kann ich mit dem Token auch das Boot-laufwerk sichern?
Nein, eine Pre-Boot Authentifizierung (PBA) wird von TrueCrypt 7.0a nicht unterstützt, aber möglicherweise in Zukunft implementiert. Es gibt aber kommerzielle Verschlüsselungs-Software, die solche Funktionen haben, z.B. Jetico BestCrypt Volume Encryption.



Viel Spaß,

John Strong
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Aladdin Tokens sind endgeil...

Auch wenn ich die Sache schon kenne, ein Lob an dich für das HowTo!
 
Hallo zusammen,
super Anleitung. Genau danach habe ich schon länger gesucht.
Habe nur noch eine Frage bzgl. des Token. Man kann ihn über folgenden shop beziehen:

SafeNet eToken PRO-72K (Hardware only!)

Reicht mir für dieses Szenario der reine Stick, oder muss ich wie im shop angegeben eine user Lizenz dazu kaufen?

mfg
 
Hey,
wisst ihr ob dieser Stick genauso funktionieren würde:

IDProtect Key J LASER
Gibt es hier:
www.cryptoshop.com

Und wäre dieser genauso sicher?
Der Aladdin eToken hat für mich leider den Nachteil, dass er nur unter Windows optimal funktioniert.
Suche daher einen Token der unter Windows 7/8, OSX 10.8 und ubuntu 12.04 mit Truecrypt funktioniert.

Grüße
 
Erst einmal Danke für das umfangreiche How To, eine Frage:

Verstehe ich es richtig, dass ich mein Boot-Laufwerk nicht mit TrueCrypt und einem Token sichern kann?

Beste Grüße :wink:
 
gibt es auch eine Anleitung für Etoken für den Bitlocker. Weil wenn ich Smartcard auswähle. Steht da
Die Smardcard erfüllt nicht die minimalen Anforderungen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh