Die private Sub-Umgebung

Auf die­ses Pro­blem stößt ver­mut­lich frü­her oder spä­ter jeder: Es gibt ein­fach ein paar Pro­gram­me, die man "da­bei­ha­ben will" oder auf einem sta­tio­nä­ren Rech­ner nut­zen - aber so, daß nicht jeder ohne wei­te­res an die ge­spei­cher­ten Daten her­an­kommt. Die in Frage kom­men­den Rech­ner keine gänz­lich ver­trau­ens-un­wür­di­ge Ma­schi­nen wie z.B. Vi­ren­schleu­dern aus einem In­ter­net­ca­fe, viel­mehr der PC bei der Ar­beit oder bei einem Be­kann­ten.
Das Setup, das ich (auf einer Win­dows-Ma­schi­ne) ver­wen­de, möch­te ich im fol­gen­den be­schrei­ben.

Zu­nächst ein­mal gilt, daß ein Pro­gramm mit root-Pri­vi­le­gi­en den Rech­ner kon­trol­liert; das be­deu­tet, daß ein Rech­ner, der mit einem Root­kit, einem ent­spre­chen­den tro­ja­ni­schen Pferd oder ähn­li­chem "aus­ge­stat­tet" ist, alle hier vor­ge­stell­ten Schutz­maß­nah­men aus­he­beln kann: Daten kön­nen ko­piert, Pass­wör­ter von der Tas­ta­tur mit­ge­le­sen wer­den.
Die ver­wen­de­te Ma­schi­ne soll­te also in so­fern ver­trau­ens­wür­dig sein, daß sie, so­lan­ge man sich davor be­fin­det, tat­säch­lich nur "einem selbst" ge­hört.

Zu­nächst wird ein si­che­rer Da­ten­be­reich be­nö­tigt; Tru­e­crypt bie­tet hier­für alles an, was man be­nö­tigt: Hier­mit er­zeugt man ein ver­schlüs­sel­tes Vo­lu­me (nach außen sicht­bar als Datei) ge­wünsch­ter Größe. Möch­te man seine Pro­gram­me mit­neh­men, bie­tet Tru­e­crypt die die Ein­rich­tung samt Trei­ber auf einem USB-Stick an.

Als An­wen­dun­gen in­stal­liert man nun die ge­wünsch­ten Por­ta­ble Apps in den ge­moun­te­ten Tru­e­crypt-Con­tai­ner. Die Por­ta­ble Apps spei­chern ihre ge­sam­ten Ein­stel­lun­gen un­ter­halb ihres In­stal­la­ti­ons­ver­zeich­nis­ses, so daß im Rest­sys­tem keine Da­tei­en in­stal­liert wer­den müs­sen - und auch Spu­ren blei­ben.

Ein wenig trick­reich wird es, wenn man Fi­re­fox (oder Thun­der­bird) par­al­lel mit einer In­stanz vom re­gu­lä­ren Sys­tem be­trei­ben möch­te. Hier­zu waren zwei Schrit­te nötig:

  • Mit­tels einer Ver­knüp­fung wird der Fi­re­fox mit dem zu­sätz­li­chen Start­pa­ra­me­ter "-no-re­mo­te" auf­ge­ru­fen; da­durch wer­den bei­spiels­wei­se an­klick­ba­re URLs im sys­tem­ei­ge­nen Brow­ser ge­öff­net.
  • Im In­stal­la­ti­ons­ver­zeich­nis von Por­ta­ble Fi­re­fox legt man eine Datei na­mens FirefoxPortable.​ini an, wel­che fol­gen­den In­halt hat:
    [FirefoxPortable]
    AllowMultipleInstances=true

    Da­durch wer­den meh­re­re Fi­re­fox-In­stan­zen par­al­lel er­mög­licht.

In mei­ner Cyg­win-In­stal­la­ti­on (der Tip, der mich glück­lich ge­macht hat: Die Cyg­win-Kom­po­nen­te MinT­TY öff­net Cyg­win in einem Ter­mi­nal, das sich fast wie ein Li­nux-XTerm an­fühlt) habe ich auf mei­nen ssh-Key für pri­va­te Rech­ner (wel­cher auch im Tru­e­crypt-Con­tai­ner liegt) einen sym­bo­li­schen Link an­ge­legt; so­bald das Vo­lu­me ge­moun­tet ist, kann ich auch die­sen Schlüs­sel nut­zen.

Wie ge­sagt: Wer die Hard­ware kon­trol­liert, hat Zu­griff auf alle Daten. Das ganze setzt eine hin­rei­chend ver­trau­ens­wür­di­ge In­stal­la­ti­on vor­aus - schützt dann aber wirk­sam vor Zu­griff wäh­rend der ei­ge­nen Ab­we­sen­heit.