AA_key.jpg

© pip, Photocase.com

Schlüsseldienst

Dateien einfach (de)chiffrieren

07.10.2012
Wollen Sie Ihre Daten in die Cloud verschieben oder allgemein vor fremden Zugriffen schützen, verschlüsseln Sie diese besser. Zum Glück bringen OpenSuse 12.1/12.2 und Kubuntu 12.04 dafür bestens geeignete Werkzeuge mit.

Einige Witzbolde sprechen inzwischen nicht mehr von der Cloud (zu dt. "Wolke"), sondern nur noch von der "Klaut", wie in "klauen". Hinter dem mäßig komischen Sprachwitz verbirgt sich aber ein Fünkchen Wahrheit: Vertrauen Sie Cloud-Diensten wie Ubuntu One, DropBox oder Microsofts SkyDrive Ihre Dateien an, ist es möglich, dass diese in falsche Hände geraten. Das kann über Mitarbeiter der Firmen geschehen, aber ebenso über Dritte, die Accounts kompromittieren und Daten stehlen – gerade geschehen bei DropBox [1]. Denn letztlich besteht die Cloud, für die das amerikanische National Institute for Standards and Technology (NIST) auf seiner Webseite [2] eine Definition versucht, nur aus Servern, die Dienste über das Internet anbieten. Auf diesen Servern speichern Sie dann Ihre Daten. Weisen die Dienste Sicherheitslücken auf, nutzen Angreifer das unter Umständen aus.

Die Angst vieler Anwender davor, Dateien in der Cloud zu speichern, ist daher nicht unberechtigt – dennoch bietet die Technik auch Vorteile: Die Daten sind für Sie und Ihre Freunde von allen Orten der Welt aus erreichbar – Sie brauchen lediglich einen Internetzugang. Baut der Cloud-Anbieter keinen Mist und legt saubere Backups an, sind die Daten zugleich redundant gespeichert und somit dauerhaft verfügbar. Bei einem Totalverlust Ihres Computers gibt es dann immer noch das Online-Backup.

Verschlüsseln

Wollen Sie Ihre Dateien gern im Onlinespeicher lagern, besteht immer die Möglichkeit, sie zu verschlüsseln. Dafür gibt es unter Linux den OpenPGP-Standard. Auf diesen setzt zum Beispiel das Kommandozeilenprogramm gpg, für das es zahlreiche grafische Frontends gibt, von denen wir weiter weiter unten eines vorstellen.

Sie verschlüsseln Ihre Daten, indem Sie ein Schlüsselpaar erzeugen, das aus einem (geheimen) privaten Schlüssel und einem öffentlichen Schlüssel besteht. Sie nutzen Ihren eigenen öffentlichen Schlüssel, um die Datei damit zu chiffrieren, wobei zum Beispiel der sehr sichere AES-Algorithmus zum Einsatz kommt. Um die Datei später wieder zu dechiffrieren, verwenden Sie den privaten Schlüssel, der sich auf Ihrer Festplatte befindet und den also nur Sie besitzen. (Sie sollten eine Kopie dieses Schlüssels auf einem anderen Datenträger behalten, damit Sie nach einem Festplatten-Crash noch darauf zugreifen können. Kopieren Sie dazu nach der Einrichtung das versteckte Verzeichnis .gnupg aus Ihrem Home-Verzeichnis auf eine externe Platte oder einen USB-Stick.)

Kopiert ein Angreifer Ihre verschlüsselten Daten illegal aus der Cloud, braucht diese Person den privaten Schlüssel auf Ihrem Rechner, um mit den Daten etwas anfangen zu können. Und nicht nur das: Er muss zudem ein langes Passwort (die Passphrase) kennen, das Sie beim Erstellen des Schlüsselpaares ebenfalls generieren und das den privaten Schlüssel vor unbefugten Zugriffen schützt.

Nebenbei: Laden Sie den öffentlichen Schlüssel auf einen öffentlich zugänglichen Schlüsselserver, können Sie das Schlüsselpaar auch zum Sichern Ihrer E-Mail-Kommunikation verwenden, wie es der Artikel ab Seite 36 beschreibt. Ihr Kommunikationspartner muss dann eine an Sie gerichtete E-Mail mit Ihrem öffentlichen Schlüssel chiffrieren und umgekehrt.

Schlüsselmeister KGpg

Die beiden von EasyLinux unterstützten Versionen von OpenSuse – 12.1 und 12.2 – installieren bereits automatisch eine Software namens KGpg, die es ermöglicht, Ihre Dateien direkt im Dateimanager Dolphin zu chiffrieren. Sie basiert auf OpenPGP und bietet ein grafisches Interface für gpg auf dem KDE-Desktop an.

In der Praxis sieht das so aus, dass Sie Dolphin aufrufen, Ihre zu verschlüsselnde Datei mit der rechten Maustaste anklicken und aus dem Kontextmenü die Option Aktionen / Datei verschlüsseln auswählen (Abbildung 1). Handelt es sich um einen Ordner, wählen Sie Aktionen / Ordner packen und verschlüsseln. Verwenden Sie Kubuntu 12.04, müssen Sie zuvor noch das Paket kgpg über K-Menü / Rechner / Muon-Programmverwaltung nachinstallieren – anschließend folgen Sie demselben Weg.

Abbildung 1: Über das Kontextmenü im Dateimanager Dolphin verschlüsseln Sie nach dem Einrichten von KGpg Dateien und Ordner.

Nun erscheint ein kleines Fenster, das Sie dazu auffordert, einen der vorhandenen GnuPG-Schlüssel auszuwählen. Existiert bereits ein Schlüssel auf Ihrem System, markieren Sie diesen und klicken Sie auf Ok. Dolphin erzeugt nun eine zweite Datei, die den Namen der Originaldatei trägt, ergänzt um die zusätzliche Endung .asc. Das war es schon: Sie haben die Datei verschlüsselt und lagern Sie nun, wo immer Sie wollen. Um diese Datei wieder zu entschlüsseln, markieren Sie diese und wählen aus dem Kontextmenü Mit KGpg öffnen. Nach Eingabe der Passphrase entschlüsselt KGpg die Datei.

Schlüsseldienst

Üblicherweise bleibt das Fenster der Schlüsselverwaltung nach dem ersten Start leer. Bevor Sie Dateien ver- und entschlüsseln, müssen Sie noch ein Schlüsselpaar generieren, das aus einem öffentlichen und einem privaten Schlüssel besteht. Das weiß auch KGpg: Es versteckt nach dem ersten Start hinter dem Fenster der Schlüsselverwaltung (Abbildung 2), einen Assistenten (KGpg-Assistent). Dieser hilft Ihnen beim Anlegen des neuen Schlüsselpaares.

Abbildung 2: Haben Sie mit Hilfe des Assistenten Schlüsselpaare generiert, tauchen diese in der Schlüsselverwaltung auf.
  1. Schließen Sie das Fenster zur Schlüsselauswahl und klicken Sie im Assistenten auf Weiter.
  2. Der Assistent schlägt nun vor, GnuPG2 zu wählen, dessen ausführbare Datei gpg2 sich im Pfad /usr/bin/ befindet – klicken Sie auf Weiter.
  3. Die Konfigurationsdatei (gpg.conf) legt die Software üblicherweise im versteckten Ordner .gnupg in Ihrem Home-Verzeichnis ab, über Weiter gelangen Sie zum nächsten Schirm.
  4. Kreuzen Sie hier die Option Neues Schlüsselpaar wird erstellt ebenso an wie KGpg automatisch beim Anmelden starten.
  5. Nun erscheint ein Formular mit mehreren Feldern (Schlüsselgenerierung) über das Sie den Schlüssel generieren. Geben Sie dazu einen Namen, eine E-Mail-Adresse sowie – im Feld Ablaufdatum – ein Verfallsdatum für den Schlüssel an. Als Schlüsselgröße wird gern 2048 gewählt, als Algorithmus greifen Sie zu DSA & ElGamal.
  6. Unter Kubuntu müssen Sie hier einen Schritt mehr tun, da der Assistent offenbar den Pfad aus Schritt 2 nicht weitergibt. Schließen Sie also – vor dem Ausfüllen – das Fenster Schlüsselgenerierung und rufen Sie dann im Fenster Schlüsselverwaltung den Menüpunkt Einstellungen / KGpg einrichten auf. Unter GnuPG-Einstellungen ändern Sie den Pfad neben Programmpfad von gpg zu /usr/bin/gpg2 und entfernen das Häkchen bei GnuPG-Agenten benutzen. Über OK kehren Sie ins Hauptfenster zurück und wählen hier Schlüssel / Schlüsselpaar generieren, um wieder beim Fenster aus Schritt 5 zu landen, das Sie jetzt ausfüllen.
  7. Nach einem Klick auf OK müssen Sie nun die Passphrase angeben. Diese entsperrt später Ihren privaten Schlüssel, wenn Sie Dateien dechiffrieren. Andernfalls könnte jede Person mit Zugang zu Ihrem Rechner auch auf die verschlüsselten Dateien zugreifen.
  8. Zu guter Letzt erzeugen OpenSuse und Kubuntu die Schlüsselpaare, was unter Kubuntu 12.04 etwas mehr Zeit in Anspruch nimmt, da das System die Zufallsdaten aus Ihren Desktop-Aktionen generiert. Arbeiten Sie also normal weiter, bis der angezeigte Fortschrittsbalken sein Ende erreicht.
  9. Abschließend erscheint der neue Schlüssel mitsamt Fingerabdruck. Klicken Sie auf OK oder setzen Sie noch ein Häkchen neben Speichern unter, wenn Sie den Schlüssel später noch verwenden wollen.

Nun lassen sich Dateien wie oben beschrieben über das Kontextmenü ver- und entschlüsseln. Wichtig ist dabei noch, das sich der private Schlüssel auf dem Rechner befindet, auf dem Sie eine Datei entschlüsseln.

Algorithmen

Üblicherweise stehen gpg zum (De)chiffrieren verschiedene Algorithmen zur Verfügung. Um diese anzuschauen, rufen Sie eine Konsole auf und geben dann

gpg --list-keys

ein. Das listet die verfügbaren Schlüssel auf. Über

gpg --edit-key USER-ID

bearbeiten Sie die Eigenschaften eines bestimmten Schlüssels. Im Beispiel heißt der Schlüssel kkissling, also ersetzen Sie die USER-ID durch kkissling. Nach diesem Schritt gelangen Sie in einen interaktiven Modus, der es Ihnen erlaubt, verschiedene Kommandozeilenbefehle abzusetzen, zum Beispiel:

showprefs

Der Befehl zeigt neben dem Eintrag Verschlü.: die Algorithmen an, die GPG mit Vorliebe verwendet (Abbildung 3). Wie Sie sehen, steht an erster Stelle der anfangs erwähnte AES-Algorithmus in seiner 256-Bit-Variante.

Abbildung 3: Mit Hilfe von ein paar Kommandozeilenbefehlen erfahren Sie, welche Verschlüsselungsalgorithmen GPG mit Vorliebe einsetzt.

Setzen Sie das neu generierte Schlüsselpaar zum Austausch von Informationen beim E-Mail-Verkehr ein, prüft die Software, welche Algorithmen die OpenPGP-Variante des Kommunikationspartners mit Vorliebe verwendet und wählt als Algorithmus den ersten gemeinsamen Treffer. Tatsächlich dürfen Sie die Reihenfolge der bevorzugten Algorithmen sogar verändern [3], doch in solche Details einzutauchen, führt an dieser Stelle sicherlich zu weit. Über die Eingabe von quit verlassen Sie den interaktiven Modus wieder.

Fazit

Sicher in die Cloud? Das geht, wenn Sie Ihre Dateien vorher mit KGpg verschlüsseln. Allerdings dürfen Sie dann später den privaten Schlüssel nicht verlieren und die Passphrase nicht vergessen – andernfalls sind Ihrer verschlüsselten Inhalte unwiderruflich verloren.

Glossar

OpenPGP-Standard

Offizieller Internetstandard (RFC 4880) für Verschlüsselung, der auf PGP 5.x ("Pretty Good Privacy") basiert. PGP beinhaltete jedoch patentierte Algorithmen und wurde zudem kommerziell vertrieben, weshalb man den unabhängigen Standard ins Leben rief.

AES

Der Advanced Encryption Standard, auch Rijndael-Algorithmus genannt, ist ein symmetrisches Verschlüsselungsverfahren und setzt auf Schlüssellängen von 128, 192 und 256 Bit. Er darf frei eingesetzt werden und kommt unter anderem bei der WPA2-Verschlüsselung von WLAN-Verbindungen zum Einsatz.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare