AA_defender-elite-kanguru.png

© kanguru.com

Black Box

Sicherer USB-Stick von Kanguru

18.03.2011
Linux bringt von Haus aus ein paar Tools mit, um USB-Sticks zu verschlüsseln. Weit bequemer ist jedoch ein USB-Stick, der ein solches Werkzeug bereits integriert hat, wie der Defender Elite von Kanguru.

Beim Defender Elite handelt es sich auf den ersten Blick um einen gewöhnlichen USB-Stick. Die Daten auf dem Stick sind jedoch per 256-Bit AES-Verschlüsselung geschützt, sodass man nur darauf zugreifen kann, wenn man die zugehörige Passphrase kennt. Seit rund einem halben Jahr gibt es die für den Stick benötigte Software auch für Mac OS X und Linux. Wir haben uns die 1-GByte-Version des Sticks angeschaut, den uns die Firma Optimal freundlicherweise zugeschickt hat [1].

Die verschlüsselten Sticks gibt es in Größen ab einem GByte bis 128 GByte und in diversen Farben. Die günstigste Version kostet bei Amazon zurzeit 80 Euro, Geschäftskunden können sich von Optimal ein Sample bereits für 25 Euro zusenden lassen.

Einfache Installation

Der Stick meldet sich beim Anschluss an einen Linux-Rechner als CD-ROM-Laufwerk an, wie man das von einigen WLAN-Adaptern und anderen USB-Geräten her bereits kennt. Auf dem CD-ROM-Laufwerk befindet sich die für den Zugriff benötigte Software in der Linux-, MAC- und Windows-Variante. Die Software arbeitet vom Stick aus (beziehungsweise legt eine Arbeitskopie unter /tmp/ ab), man muss also nichts installieren.

Abbildung 1: Der Installationsassistent führt Sie grafisch durch das Passwort-Setup.

Beim ersten Anschluss richten Sie die Verschlüsselung und das Passwort ein. Erst danach erscheint die Datenpartition auf dem Stick für das System. Die eingehängte Partition ist mit FAT16 formatiert und lässt sich wie jede andere FAT-Partition auch nutzen. Benötigen Sie den verschlüsselten Datencontainer nicht mehr, dann müssen Sie diesen über das Kontextmenü des Kanguru Defender Managers sicher entfernen. Ein einfaches Aushängen über den Dateimanager hinterlässt ein unsauberes Dateisystem.

Abbildung 2: Das Programm zur Passworteingabe und für das Setup des Sticks befindet sich auf dem USB-Stick selbst.

Wählerischer Stick

Der amerikanische Hersteller Kanguru [2] erwähnt auf seiner Homepage, dass die verschlüsselten Sticks mit Linux kompatibel sind, erwähnt werden allerdings nur Ubuntu und Red Hat Enterprise. In den Tests traten aber unter den meisten Distributionen außer Ubuntu 10.04 und 10.10 Probleme auf. So ließ sich der Stick unter OpenSuse oder Ubuntu 8.04 nicht in Betrieb nehmen. In beiden Fällen beklagte sich die Software über einen nicht vorhandenen Stick. Das Pseudo-CD-ROM-Laufwerk funktionierte zwar, das Einhängen der verschlüsselten Partition hingegen nicht. Auch unter Debian 6.0 verweigerte das KDM-Elite-Tool seine Mitarbeit mit einem Hinweis auf die fehlende Bibliothek libidn.so.11.

Ein Update für die Software lässt sich zwar auf der Homepage herunterladen, aber die Update-Software gibt es im Unterschied zum Client-Programm nur für Windows. Wer also kein Ubuntu benutzt, sollte sich vor dem Kauf gut über die Rückgabemöglichkeiten informieren.

KRMC Cloud

Die Defender-Sticks von Kanguru lassen sich auf Wunsch auch fernwarten. Dazu muss man beim Setup eines Sticks die entsprechende Option markieren und einen Vertrag mit Kanguru abschließen. Der Fernwartungsdienst ist kostenpflichtig. Die Firma bietet zudem auch Sticks mit vorinstalliertem Linux an. Die Preise beginnen hier bei 250 Euro.

LinuxCommunity kaufen

Einzelne Ausgabe
 

Ähnliche Artikel

Kommentare
unexpected operator/device is busy
immerderselbe (unangemeldet), Samstag, 02. April 2011 22:11:13
Ein/Ausklappen

$sudo /media/KDMElite/kdme_exec.sh

[: 8: 0: unexpected operator
Unmounting device: /dev/sr2
umount: /media/KDMElite: device is busy.
(In some cases useful info about processes that use
the device is found by lsof(8) or fuser(1))

Das ist das Ergebnis mit Kubuntu 10.10.
Kein Prozess greift auf den Stick zu.



Bewertung: 85 Punkte bei 8 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Anlegen der Sicherheitspartition ist fehlgeschlagen
immerderselbe (unangemeldet), Sonntag, 03. April 2011 09:31:00
Ein/Ausklappen

Beim Ausführen von KDMElite kommt die Fehlermeldung:
"Anlegen der Sicherheitspartition ist fehlgeschlagen.
Die Anwendung wird beendet."



Bewertung: 89 Punkte bei 7 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
problemlose und kostenlose Alternative ?
Michael (unangemeldet), Donnerstag, 31. März 2011 16:51:20
Ein/Ausklappen

Hallo Marcel,

besitzt Hardware-AES gegenüber Software-AES irgendwelche Vorteile ? Man kann 256 Bit AES sowieso nicht "bruteforcen", da es viel zu lange dauern würde (es sei denn es gibt Leute, die einen Quantenrechner im Keller haben) ? Warum also unbedingt Hardware-AES ? Wo ist der Vorteil ? Gibt es da einen ? Wieso wird herstellerseitig der Aufwand betrieben, AES in Hardware zu implementieren, wenn sich daraus für den Enduser keinerlei Vorteile ergeben ?

Was spricht dagegen, einen ganz gewöhnlichen USB-Stick mit einem versteckten (oder sichtbaren) TrueCrypt-Container auszustatten und das Geld für solche Sticks zu sparen ?

Die Vorteile wäre die Folgenden :

1. TrueCrypt ist kostenlos
2. Man hat die Möglichkeit unter verschiedenen Verschlüsselungsmethoden zu wählen.

3. Man hat die Option "sichtbar" oder "versteckt", sodaß man das Vorhandensein einer verschlüsselten, versteckten Partition leugnen kann - was bei dem oben abgebildeten Stick, auf dem deutlich "AES" usw. aufgedruckt ist, natürlich nicht kann.

4. Man hat die Möglichkeit, das Dateisystem selbst zu wählen. Von FAT über NTFS und von EXT2 bis EXT4 ist alles dabei.

5. TrueCrypt 7.0a macht meines Wissens auch keinerlei Probleme mit den verschiedenen Distributionen - auch mit den Älteren nicht.

6. Die heutigen Core i7 Prozessoren besitzen heute eine spezielle Schaltung auf der CPU, AES hardwaremäßig zu dekodieren. Das tun sie im Übrigen deutlich schneller, als das jeder USB-Stick könnte. Nach der Eingabe des richtigen Passworts reicht die Dekodierungsgeschwindigkeit meines Wissens bereits in den unteren GB/s Bereich ...

Gruß Michael.


Bewertung: 156 Punkte bei 10 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: problemlose und kostenlose Alternative ?
Marcel Hilzinger, Freitag, 01. April 2011 09:07:32
Ein/Ausklappen

Hallo Michael,
gegen Truecrypt spricht eigentlich nichts, außer dass man den Stick dann von Hand erstellen muss und sich selbst um die ganze Installation kümmern muss. Das kann zum Beispiel dann ein Problem sein, wenn ich einen solchen Stick in einem Internet Cafe einsetzen möchte und dort kein TrueCrypt vorhanden ist bzw. die Installation nicht erlaubt ist. Da der Kangaru-Stick die Software an Bord hat, funktioniert er ohne zusätzliche Installation. Es gibt auch fertige Truecrypt-Binaries für einen solchen Stick, aber die sind veraltet.

Zum Thema Hardware vs. Software: Bei einem Core i5 wird man ziemlich sicher keinen Unterschied zwischen Hardware und Sooftware-Verschlüsselung bemerken. Bei einem anderen Szenario mit einem etwas langsameren Prozessor (Pentium II, soll es ja noch geben :-) und einem größeren Stick vermutlich schon. Aber das hängt auch vom Nutzungsszenario ab.


Bewertung: 119 Punkte bei 8 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Artikel im Sonderheft
Marcel Hilzinger, Freitag, 01. April 2011 09:11:13
Ein/Ausklappen

Noch ein Nachtrag: Dieser Artikel hier stammt ja aus dem aktuellen LinuxUser-Sonderheft. Und gleich nach dem Artikel ist auch ein weiterer Artikel, der erklärt, wie man mit Truecrypt selbst einen verschlüsselten USB-Stick erstellt. Wer also das Know-How und die Zeit hat, kann sich seinen AES-Stick selbst bauen, wer weder Zeit noch Lust hat, kann die Kangaru-Lösung wählen.


Bewertung: 126 Punkte bei 10 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Artikel im Sonderheft
Nobody (unangemeldet), Dienstag, 12. Februar 2013 10:41:49
Ein/Ausklappen

Hallo zusammen, das Thema ist ja schon etwas älter, dennoch:

Ein weiterer Sicherheitsaspekt des Sticks ist garnicht erwähnt worden: Der Inhalt wird nach drei Kennwortfehleingaben gelöscht. Das kann TrueCrypt m.W. immer noch nicht.

Bin nur gerade auf die Seite gekommen, da ich mit OpenSUSE 11.4 genau das Problem alte habe - ja, mit Windows geht's. :o(


Bewertung: 100 Punkte bei 6 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Artikel im Sonderheft
Nobody (unangemeldet), Dienstag, 12. Februar 2013 12:29:21
Ein/Ausklappen

Weil ich's jetzt auch mal getestet habe:

Bei mir sind's 6 Fehleingaben nachdenen der Stick gelöscht werden soll bzw. wird. Da er einen Schreibschutzschalter besitzt muss dieser zum endgültigen Löschen der geschützten Partition das Schreiben freigeben. Ansonsten behält sich der Stick, dass die Partition zu löschen ist und ist bis dahin nicht mehr zu gebrauchen.

Neben dem Schreibschutzschalter, der anscheinend nur für die gesicherte Partition greift (denn den Löschauftrag hat er offensichtlich irgendwo auf der ersten Partition abgespeichert, wo ich zumindest auf die Schnelle nichts gefunden habe) besitzt der Stick die Eigenschaft analog TC, dass die Partition nach Abziehen im aktivierten Zustand erst wieder entschlüsselt werden muss. Im Gegensatz zum Imation Swivel, der zwar auch einen Schreibschutzschalter besitzt und auch eine Verschlüsselungssoftware mitbringt, dessen Software aber so mau ist, dass sie die entschlüsselte Partition nach dem Abziehen weiterhin entschlüsselt läßt. :o(

Achso, es kann anscheinend immer nur ein Stick gleichzeitig an einem System betrieben werden.


Bewertung: 97 Punkte bei 6 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LinuxUser-Spezial erscheint zwei bis vier mal jährlich und kostet 8,90 EUR pro Ausgabe. Weitere Informationen zum LinuxUser-Spezial finden Sie im Shop der Linux New Media AG.

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 0 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...