IT-Zukunft Schule

TrueCrypt

Als Verschlüsselungs-Software stellen wir Anwender/innen auf unseren Diskless Workstations das Programm TrueCrypt zur Verfügung.

Die Software ist weit verbreitet, wird aber aktuell (März 2014) bzgl. seiner Integrität intensiv diskutiert. Wir stellen die Software in Hinblick der häufigen Nachfrage allen Schulen im Projekt zur Verfügung.

Hinweis: Wir behalten uns vor, die Software TrueCrypt zu deinstallieren, sollte sich bei dem oben genannten Sicherheits-Audit herausstellen, dass in der Software Backdoors od. ähnliches seitens der Entwickler einprogrammiert wurden. Eine bessere Alternative ist Debian wheezy für alle Schulen verfügbar.

Nutzung von Truecrypt unter Linux

Die Software TrueCrypt befindet sich um Anwendungsmenü (Unterpunkt: Zubehör) aller Diskless Workstations. Die Software kann bestehende TrueCrypt-Volumes (die z.Bsp. unter Windows erstellt wurden) einbinden und auch neue verschlüsselte Volumes erstellen (die dann unter der Windows-Version von TrueCrypt nutzbar sind).

Die Nutzung von TrueCrypt ist auf der Homepage des Herstellers (auf englisch) dokumentiert.

Einschränkungen unter Linux

  1. TrueCrypt ist unter Linux nur in englischer Sprache verfügbar

  2. TrueCrypt-Volumes können nicht von einem Netzwerk-Verzeichnis (NFS-Dateisystem) aus eingebunden werden

D.h. verschlüsselte Truecrypt-Volumes müssen auf einem externen Datenträger abgelegt und von dort eingebunden werden (z.Bsp. von USB-Stick od. externer Festplatte).

Empfehlung einer Programm-Alternative: TC Play

Da die Code-Basis von TrueCrypt und auch die Lizenz des Programms umstritten sind, empfehlen wir für Systeme, auf denen mind. Debian 7.1 installiert ist, die Verwendung der Software tcplay (ein Paket ist ab Debian wheezy-backports verfügbar). TCPlay ist eine FOSS-konforme Re-Implementierung der TrueCrypt-Verschlüsselung und nahezu vollständig mit Truecrypt kompatibel.

Hinweise für Admins

Das Programm TrueCrypt muss zum Einbinden der TrueCrypt-Volumes kurzzeitig root-Rechte erhalten. Hierfür wurde eine sudo-Regel auf den Diskless Workstations angelegt:

root@diskless-workstation:/# cat /etc/sudoers.d/truecrypt 
ALL ALL=(ALL) NOPASSWD: /usr/bin/truecrypt

Bei Bedarf lässt sich die TrueCrypt-Nutzung auf die Gruppe aller Lehrer/innen einschränken:

root@diskless-workstation:/# cat /etc/sudoers.d/truecrypt 
%teachers ALL=(ALL) NOPASSWD: /usr/bin/truecrypt

IT-Zukunft Schule: Technik/Nutzungshinweise/TrueCrypt (zuletzt geändert am 2014-03-03 11:07:06 durch MikeGabriel)