Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 9 Min.

KRYPTO-LIVE-SYSTEM: Geheim-System auf dem USB-Stick


Chip - epaper ⋅ Ausgabe 7/2019 vom 07.06.2019

Mit unseremverschlüsselten Live-System arbeiten Sie auf jedem Rechner, ohne darauf Spuren zu hinterlassen – und ohne Ihr Passwort kommt auch sonst niemand an die Daten


Artikelbild für den Artikel "KRYPTO-LIVE-SYSTEM: Geheim-System auf dem USB-Stick" aus der Ausgabe 7/2019 von Chip. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Chip, Ausgabe 7/2019

Manchmal möchte man auf einem Rechner arbeiten, ohne dass Dateien, Browserverlauf oder gespeicherte Passwörter auf diesem zurückbleiben – etwa, um eine vertrauliche Bewerbung auf einem gemeinsam genutzten Rechner vorzubereiten und zu schreiben. Oder man muss zeitweilig einen geliehenen Rechner nutzen, während etwa der eigene kaputt ist. Für solche Fälle empfiehlt sich ein Live-System, das komplett von einem USB-Stick läuft. Dumm nur, ...

Weiterlesen
epaper-Einzelheft 3,99€
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Chip. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 7/2019 von TREND: VIRTUELLE DVD: Die virtuellen DVDs: So geht
TREND: VIRTUELLE DVD: Die virtuellen DVDs: So geht's
Titelbild der Ausgabe 7/2019 von E-SCOOTER: E-Scooter: Riskante Rollkur für Städte. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
E-SCOOTER: E-Scooter: Riskante Rollkur für Städte
Titelbild der Ausgabe 7/2019 von NEWS: Starlink und Blue Moon. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NEWS: Starlink und Blue Moon
Titelbild der Ausgabe 7/2019 von SPRACHANALYSE: Der Gefühle-Spion. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SPRACHANALYSE: Der Gefühle-Spion
Titelbild der Ausgabe 7/2019 von Huawei unter Druck. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Huawei unter Druck
Titelbild der Ausgabe 7/2019 von LEISTUNGSSCHUTZRECHT: Upload-Filterblase. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
LEISTUNGSSCHUTZRECHT: Upload-Filterblase
Vorheriger Artikel
LEXIKON: Biometrie mit Schallwellen
aus dieser Ausgabe
Nächster Artikel WINDOWS & OFFICE: Tipps und Tricks
aus dieser Ausgabe

... wenn dieser Stick verloren geht – dann kann jeder Finder die potenziell sensiblen Daten darauf lesen. Wir zeigen, wie Sie das weit verbreitete Ubuntu Linux mit vielen bekannten Anwendungen wie Firefox, LibreOffce und VLC-Player so auf einem USB-Stick installieren, dass sein Dateisystem verschlüsselt ist. Nur mit Ihrem Passwort können Sie beim Booten das Dateisystem entsperren – niemand sonst kann das System starten oder dessen Dateien lesen. Dafür benötigen Sie die Software von der virtuellen CHIP-DVD sowie zwei schnelle USB-Sticks mit jeweils mindestens acht GByte Speicherplatz. Unter bestimmten Voraussetzungen geht es auch mit einem einzigen USB-Stick. Mehr dazu lesen Sie auf Seite 102 unten.

Ubuntu-Installation vorbereiten

Der Ubuntu-Hersteller Canonical hat keine direkte Möglichkeit vorgesehen, Ubuntu verschlüsselt auf einem USB-Stick einzurichten. Deshalb erstellen Sie zunächst ein unverschlüsseltes Ubuntu-Installationsmedium auf dem ersten USB-Stick. Dieses booten Sie, um Ubuntu verschlüsselt auf dem zweiten USBStick zu installieren. Wenn Sie zwei unterschiedlich große USBSticks haben, dann verwenden Sie den kleineren als Installa- tionsmedium und den größeren für das verschlüsselte System, das Sie dauerhaft verwenden wollen.

ISO-Datei auf dem ersten USB-Stick installieren

Mit der Windows-Freeware Universal USB Installer erstellen Sie das Installationsmedium auf Ihrem ersten USB-Stick. Wir empfehlen Ubuntu 18.04.02 LTS (Long Time Support), da der Hersteller diese Version rund fünf Jahre lang mit Updates versorgen wird. Die Nicht-LTS-Versionen laufen zu schnell aus. Verbinden Sie den ersten USB-Stick mit Ihrem PC und starten Sie Universal USB Installer. Bestätigen Sie die Rückfrage der »Benutzerkontensteuerung« mit »Ja« und akzeptieren Sie dann die Lizenzbedingungen mit »I Agree«. Klicken Sie in der Benutzeroberfläche des Tools bei »Step 1« in das Dropdown-Menü und wählen Sie »Ubuntu« aus. Über die Schaltfläche »Browse« bei »Step 2« wählen Sie dann die ISO-Datei »ubuntu-18.04.2-desktopamd64. iso« aus und bestätigen mit »Öffnen«. Gehen Sie nun zu »Step 3« und wählen Sie aus dem Dropdown-Menü Ihren USBStick aus. Bestätigen Sie mit »Create | Ja«. Das Live-System mit Ubuntu wird nun auf Ihren USB-Stick kopiert.

Live-System booten

Starten Sie anschließend Ihren PC neu und booten Sie vom USB-Stick. Drücken Sie dabei eine der Tasten [F2], [F8], [F12] oder [Escape], um das Boot-Menü zu öffnen. Unter Windows 10 klicken Sie bei gedrückter [Shift]-Taste auf »Neu starten | Ein Gerät verwenden«, dann wählen Sie den Ubuntu-Installationsstick aus. Wählen Sie aus dem Startmenü »Try Ubuntu without installing « und bestätigen Sie mit [Eingabe]. Falls das System beim Booten hängen bleibt, probieren Sie einen anderen USB-Port. Tipps zum Ändern der Boot-Reihenfolge finden Sie unterpraxis tipps.chip.de/bios-boot-reihenfolge-aendern-so-gehts_10161 .

Ubuntu verschlüsseln

Nach dem Booten vom ersten Stick läuft das Ubuntu-Installationssystem. Verbinden Sie jetzt Ihren zweiten USB-Stick ebenfalls mit Ihrem PC. Beide Sticks müssen für die folgenden Schritte mit dem Computer verbunden sein. Klicken Sie danach doppelt auf »Install Ubuntu 18.04.02 LTS«. Aber Vorsicht: Normalerweise dient das Setup-Programm dazu, Ubuntu auf der Festplatte oder SSD des Rechners dauerhaft zu installieren. Wir nutzen es aber, um das Linux-System verschlüsselt auf dem zweiten USB-Stick einzurichten. Dazu müssen Sie allerdings selbst in die Partitionierung eingreifen. Das ist kein Problem, wenn Sie die folgenden Schritte genau befolgen. Wenn Ihr Rechner mindestens acht GByte RAM hat und Sie bereit sind, die HDDs/SSDs während der Installation abzustecken, klappt unter Umständen eine einfachere Installation mit nur einem USB-Stick und automatischer Partitionierung.

Ubuntu auf dem zweiten USB-Stick installieren

Im ersten Dialog wählen Sie als Sprache »Deutsch« aus, dann klicken Sie mehrfach auf »Weiter«, bis sich der Dialog »Aktive Partitionen aushängen?« öffnet. Bestätigen Sie mit »Ja« und wählen Sie dann »Etwas Anderes« aus. Dieser Schritt ist besonders wichtig. Wenn Sie hier nicht aufpassen, installieren Sie Ubuntu möglicherweise auf der Festplatte in Ihrem PC. Stellen Sie also sicher, dass wirklich der Punkt »Etwas Anderes« markiert ist und klicken Sie dann auf »Weiter«. Wählen Sie Ihren USB-Stick bei »Gerät für die Bootloader-Installation« aus. Merken Sie sich, welche Bezeichnung er hat, zum Beispiel »/dev/sdc«. Klicken Sie dann oben in dem großen Feld auf die Partition, die mit diesem Kürzel beginnt. Wenn Sie vorher »/dev/sdc« hatten, dann heißt sie meistens »/dev/sdc1«. Klicken Sie nun auf das Minuszeichen, um die Partition zu löschen. Danach wählen Sie »Freier Speicherplatz« aus und klicken auf das Pluszeichen. Der Dialog »Partition erstellen« öffnet sich. Wenn Sie ein UEFI-System haben, tragen Sie als »Größe: 100 MB« ein, belassen die Voreinstellungen »Primär« sowie »Anfang dieses Bereichs« und stellen bei »Benutzen als: EFI-System-Partition« ein. Bestätigen Sie mit »OK«. Die folgenden Schritte müssen auch alle BIOS-Nutzer ausführen. Markieren Sie wieder »Freier Speicher« und klicken Sie auf das Pluszeichen, wählen Sie diesmal aber eine Größe von »500 MB« aus und belassen Sie die weiteren Einstellungen. Wählen Sie »Benutzen als: Ext2-Dateisystem« und »Einbindungspunkt: »/boot«. Bestätigen Sie mit »OK« und klicken Sie noch ein letztes Mal auf »Freier Speicher« und [+], um die verschlüsselte Partition anzulegen.

Belassen Sie die »Größe« auf dem Maximalwert des freien Speichers und wählen Sie bei »Benutzen als: physikalisches Volume für Verschlüsselung«. Nun tragen Sie ein sicheres Passwort für die Verschlüsselung zweimal ein und bestätigen mit »OK«. Warten Sie einen Moment, bis in der Partitionsübersicht der Eintrag »dev/mapper/sdc5_crypto ext4« auftaucht. Klicken Sie darauf und danach auf »Ändern«. Wählen Sie als »Einbindungspunkt« das Wurzelverzeichnis »/«. Bestätigen Sie mit »OK« und klicken Sie auf »Jetzt installieren | Weiter«. Folgen Sie nun dem Setup-Assistenten. Die Installation dauert je nach USB-Geschwindigkeit eine Weile. Sobald der Dialog »Installation abgeschlossen« erscheint, entfernen Sie nur das Installationsmedium. Starten Sie Ihren PC neu und booten Sie wie zuvor von dem USB-Stick.

Ubuntu einrichten

Das verschlüsselte Ubuntu-System können Sie nun auf verschiedenen Rechnern booten und es dann wie ein auf einer Festplatte installiertes System verwenden. Das heißt, Sie können die Konfiguration ändern, Updates und weitere Software installieren, eine VPN-Verbindung zu Ihrer heimischen FritzBox einrichten, Dateien darin speichern und vieles mehr. Alles bleibt erhalten und auf dem Laufwerk sicher verschlüsselt. Eine Auswahl der wichtigsten Tipps für den Einstieg finden Sie in den folgenden Abschnitten.

Installation mit nur einem USB-Stick

Unter bestimmten Voraussetzungen reicht ein einziger USB-Stick für die In stallation. Diesen verwenden Sie erst für das Live-System und anschließend auch für die weiteren Schritte. Dafür benötigen Sie aber einen Computer, der mindestens acht GByte RAM hat. Dann können Sie das Live-System beim Booten komplett ins RAM verlagern. Das hat den Vorteil, dass Sie den Installations-USB-Stick direkt mit dem verschlüsselten System überschreiben können. Wenn Ihr PC die Voraussetzungen erfüllt, dann wählen Sie beim Start des Live-Systems ebenfalls »Try Ubuntu without installing« aus, drücken aber anstelle von [Eingabe] die Taste [E]. Wechseln Sie dann mit den Cursor-Tasten in die Zeile, die mit »linux« beginnt und fügen Sie zwischen »splash« und den abschließen den drei Strichen »---« den Parameter „toram“ ein. Starten Sie den eigent lichen Bootvorgang danach mit [F10]. Das System lädt sich nun komplett in den RAM und hängt den USB-Stick aus, sodass Sie das verschlüsselte System direkt darauf installieren können. Wenn Sie vorher alle Festplatten und SSDs im PC abstöpseln, sodass der USBStick das einzige Laufwerk im Rechner ist, dann klappt unter Umständen sogar die vollautomatische verschlüsselte Installation: Dazu wählen Sie im ersten Dialog der Ubuntu-Installation »Festplatte löschen …« und setzen beide Haken darunter. Dann führt der Assistent die oben beschriebenen Schritte automatisch aus.

Ubuntu schneller starten

Beim Start des verschlüsselten Systems müssen Sie zwei Passwörter eingeben, einmal für die Verschlüsselung und einmal für Ihren Benutzeraccount. Wenn Sie wollen, können Sie auf die Anmeldung allerdings auch verzichten, da Ihr USB-Stick ja durch die Verschlüsselung bereits geschützt ist. Dazu starten Sie Ihr verschlüsseltes Ubuntu-System, geben die beiden Zugangskennwörter ein und klicken dann unten links auf das Symbol mit den neun Punkten. Wählen Sie »Einstellungen | Informationen | Benutzer« aus. Klicken Sie oben rechts auf »Entsperren «, geben Sie Ihr Benutzerpasswort ein und klicken Sie dann auf die Schaltfläche rechts neben »Automatische Anmeldung «. Dadurch ändert sich die Schaltfläche zu »AN«. Ab sofort genügt es, beim Starten des Systems das Passwort für die Verschlüsselung des USB-Sticks einzugeben. Für Änderungen am System benötigen Sie aber weiterhin das Benutzerpasswort.

Mit dem Netzwerk verbinden

Wenn Sie ein Netzwerkkabel verwenden, verbindet sich Ihr verschlüsseltes Ubuntu in der Regel anstandslos mit dem Internet. Zum Verbinden mit einem WLAN-Netz klicken Sie oben rechts auf das Dreiecksymbol und dann auf »WLAN nicht verbunden | Wählen Sie ein Netzwerk aus«. Eine Übersicht mit allen in der näheren Umgebung verfügbaren WLAN-Netzen öffnet sich. Markieren Sie die gewünschte Funkverbindung und klicken Sie auf »Verbinden«, geben Sie dann das Passwort ein und bestätigen Sie noch einmal mit »Verbinden«.

OS und Software aktualisieren

Linux-Systeme aktualisieren das Betriebssystem und alle normal installierten Anwendungen (nächster Abschnitt) in einem Rutsch. Klicken Sie auf die Schaltfläche unten links und dann auf »Aktualisier…«, um die »Aktualisierungsverwaltung« zu öffnen. Nach kurzer Wartezeit sehen Sie, wie groß das erforderliche Update ist. Führen Sie es mit »Jetzt installieren« aus.

Zusätzliche Programme installieren

Die wichtigsten Anwendungen für E-Mails, zum Websurfen und für Büroarbeiten sind bereits vorinstalliert. Wenn Sie auf die Schaltfläche unten links klicken, öffnet sich eine Übersicht der wichtigsten bereits vorhandenen Programme. Hier finden Sie zum Beispiel Thunderbird, Firefox und die Anwendungen aus der LibreOffice-Suite. Wenn Sie weitere Programme installieren wollen, klicken Sie links im »Dock« auf »Ubuntu-Software«. Nun sehen Sie verschiedene Kategorien sowie empfohlene Programme und Spiele, die Sie installieren können. Wenn Sie eine Software wie den VLC Player suchen, dann klicken Sie auf die Lupe oben rechts und geben den Namen des Programms ein. Für die Installation benötigen Sie Ihr Benutzerpasswort.

VPN-Verbindung ins Heimnetz

Wenn schon die Dateien in Ihrem Live-System sicher veschlüsselt sind, ist es nur konsequent, auch den Netzwerkverkehr des Rechners zu verschlüsseln, wenn Sie mit dem Krypto-Live-System außerhalb Ihres Heimnetzes arbeiten. Gut, dass Ubuntu sich über ein VPN mit Ihrem Heimnetz verbinden kann. Besonders einfach klappt das mit einer aktuellen FritzBox. Diese verfügt über einen integrierten VPN-Server und lässt sich unkompliziert über den Dienst MyFritz von außen erreichbar machen. Booten Sie Ihr Krypto-System und öffnen Sie die Weboberfläche Ihrer FritzBox. Klicken Sie auf »Internet | MyFRITZ!-Konto | Neues MyFRITZ!-Konto erstellen«. Folgen Sie dem Assistenten und geben Sie Ihre E-Mail-Adresse an. An diese wird ein Link geschickt, über den Sie den MyFritz-Dienst aktivieren müssen. Anschließend meldet die Weboberfläche »Ihre FRITZ!Box ist bei MyFRITZ angemeldet«. Speichern Sie die URL Ihrer Fritzbox als Lesezeichen. Nun legen Sie einen VPN-Benutzer an. Rufen Sie dazu »System | FRITZ!Box-Benutzer | Benutzer hinzufügen « auf. Aktivieren Sie unter „Berechtigungen« den Punkt »VPN«. Lassen Sie sich dann die VPN-Einstellungen anzeigen und lassen Sie das Fenster geöffnet.

Nun installieren Sie den VPN-Client. Öffnen Sie mit [Strg] + [Alt] + [T] ein Terminal, geben Sie ein: „sudo apt install networkmanager- vpnc-gnome“ und bestätigen Sie mit Ihrem Benutzerpasswort. Danach öffnen Sie die Einstellungen mit einem Klick in die rechte obere Bildschirmecke und auf das Werkzeugsymbol. In der Kategorie »Netzwerk« klicken Sie neben »VPN« auf das Pluszeichen und danach auf »Cisco-kompatibler VPN- Client (vpnc)«. Als »Gateway« tragen Sie die URL (ohne „http://“) Ihrer FritzBox ein. Bei »Benutzername« und »Gruppenname« geben Sie jeweils Ihren VPN-Benutzernamen ein. Sowohl bei »Benutzerpasswort « als auch bei »Gruppenpasswort« klicken Sie zunächst jeweils auf das Fragezeichen und wählen »Passwort nur für diesen Benutzer speichern« aus. Bei »Benutzerpasswort« tragen Sie dann Ihr Passwort ein und bei »Gruppenpasswort« das »SharedSecret«. Bestätigen Sie mit »Hinzufügen«. Aktivieren Sie die VPN-Verbindung mit einem Klick in die rechte obere Bildschirmecke, dann »VPN ausgeschaltet | Verbinden «. Nun fließt aller Datenverkehr Ihres Live-Systems verschlüsselt direkt zu Ihrer heimischen FritzBox, niemand dazwischen kann den Datenverkehr mitlesen.

Windows-Anwendungen auf Ihrem USB-Stick

Installieren Sie einen virtuellen PC mit Win10, um auch unterwegs Windows-Anwendungen nutzen zu können


Vorausgesetzt, Sie verfügen über einen ausreichend großen USB-Stick für Ihr verschlüsseltes System (und der verwendete Rechner über mindestens acht GByte RAM), können Sie darin einen virtuellen PC mit Windows 10 installieren, um unterwegs auch Windows-Anwendungen ausführen zu können. Wir empfehlen für die Installation von Win10 einen mindestens 64 GByte großen Stick. Das Virtualisierungsprogramm VirtualBox finden Sie in »Ubuntu-Software«. Installieren Sie es und laden Sie dann ein Windows- 10-ISO-Image herunter, etwa unterwww.chip.de/downloads/Windows- 10-Home-ISO-64-Bit_81515612.html . Ist die 4,7 GByte große Datei heruntergeladen, erstellen Sie in VirtualBox einen neuen virtuellen PC, nennen ihn »Windows 10« und folgen dem Assistenten. Starten Sie danach Ihren neuen virtuellen PC und klicken Sie im Dialog »Medium für Start auswählen« auf das Ordnersymbol. Wählen Sie im Ordner »Downloads« die ISO-Datei mit Windows 10 aus und folgen Sie dem Assistenten des Microsoft-Betriebssystems. Im Dialog »Windows aktivieren« klicken Sie auf »Ich habe keinen Product Key«, um die kostenlose Test version von Windows 10 zu installieren. Sobald das Setup abgeschlossen ist, sollten Sie Windows-Update ausführen und die »Gasterweiterungen« von VirtualBox installieren. Mit diesen Erweiterungen läuft das virtuelle Windows-System stabiler und zugleich performanter. Wählen Sie im VirtualBox-Rahmen Ihres virtuellen PCs »Geräte | Gasterweiterungen einlegen« aus. Dadurch binden Sie ein virtuelles CD-Laufwerk ein, auf dem sich die benötigten Setup-Dateien befinden.

CHIP Top 10 im Überblick

Die beste Hardware: Die CHIP- Ingenieure testen über 1.000 Produkte im Jahr. Hier sind die aktuellen Top- Geräte aus 20 Kategorien, viele Neueinsteiger und Kauftipps