AA_PO-10705-Security_Alert-Brand-X-Peeking_Through_Blinds.jpg

© Brand-X

Dateien, Archive und Partitionen mit Passwortschutz

Private Daten schützen

Wer im Zug sein Notebook liegen lässt, erleidet nicht nur einen finanziellen Schaden – jede Person, die das Gerät findet und mitnimmt, kann durch einfaches Booten von einer Live-DVD auf alle Dateien zugreifen – darunter auch Briefe, E-Mails oder Zugangsdaten für Onlinedienste. Verschlüsselung reduziert die Risiken.

Diebstahl oder Verlust eines teuren Computers sind ärgerlich genug, aber noch schlimmer ist oft der Eingriff in die Privatsphäre, der damit verbunden ist: Der Dieb oder der kriminelle Finder kann das Gerät mit nach Hause nehmen und dann in aller Ruhe die Festplatteninhalte analysieren. Auf den meisten Geräten dürften auch private Daten gespeichert sein, die nicht in fremde Hände gelangen sollten.

Gegen den Datenverlust helfen regelmäßige Backups, und das Auslesen der Daten durch Dritte verhindern Sie, indem Sie die Festplatte (oder wenigstens Teile davon) verschlüsseln.

In diesem Artikel beschreiben wir drei Ansätze, mit denen Sie Ihre Daten vor fremden Blicken schützen können: das Verschlüsseln einzelner Dateien (einfach, aber bei vielen Dateien umständlich), das Verschlüsseln einer Partition (z. B. der Partition, welche die Home-Verzeichnisse enthält) und den Einsatz einer verschlüsselten, so genannten Container-Datei. Unabhängig davon, für welche Methode Sie sich entscheiden, sollten Sie in jedem Fall beachten, dass es beim Diebstahl eines laufenden Systems möglich ist, auf alle aktuell entschlüsselten Dateien zuzugreifen, sobald die Hürde der Passworteingabe am Bildschirmschoner überwunden ist – der Dieb hat hier aber alle Zeit der Welt, beliebig viele Passwörter auszuprobieren, so dass die Verwendung sicherer Passwörter wichtig ist. Profi-Angreifer haben darüber hinaus noch weiter gehende Möglichkeiten, selbst ohne das richtige Passwort Zugriff auf das laufende System zu erlangen.

Wenn Sie sich für die technischen Grundlagen der Verschlüsselung interessieren, lesen Sie den gleichnamigen Kasten; für die praktische Umsetzung ist das aber nicht nötig.

Grundlagen der Verschlüsselung

Ein ganzer Teilbereich der Informatik, die so genannte Kryptographie (griechisch: geheim schreiben), beschäftigt sich damit, wie man Botschaften von einem Sender zum Empfänger bringen kann, ohne dass Dritte (die wir als Angreifer bezeichnen) die Nachricht lesen oder verändern können.

Verschlüsselung läuft dabei immer so ab, dass mit einem festgelegten Verfahren die Nachricht vor dem Versand in eine unlesbare, verschlüsselte Form umgewandelt wird. Diese macht sich dann auf die Reise, und der Empfänger muss sie zunächst entschlüsseln (also die Verschlüsselung rückgängig machen), bevor er sie lesen kann (Abbildung 1). Die ursprüngliche Botschaft nennt man immer "Klartext", für die verschlüsselte Variante ist der Begriff "Geheimtext", manchmal auch das englische Wort "Ciphertext" üblich.

© Quelle: Wikipedia, Benutzer "Bananenfalter"Abbildung 1: Bei symmetrischer Verschlüsselung dient derselbe Schlüssel zum Ver- und Entschlüsseln.

Nun kann ein Angreifer den Geheimtext während der Übertragung immer noch abfangen, darum ist es wichtig, dass er ihn nicht mit geringem Aufwand entschlüsseln kann (Abbildung 2). Deshalb hängt das Ergebnis einer Verschlüsselung nie nur vom Klartext ab, sondern man setzt zusätzlich einen Schlüssel (oder ein Schlüsselpaar) ein: Tauscht man den Schlüssel aus, ändert sich auch der erzeugte Geheimtext.

Abbildung 2: Eine verschlüsselte Mail in Thunderbird: Ohne den privaten GPG-Schlüssel sieht man nur unverständliche Buchstaben.

In einfachen Verschlüsselungsverfahren müssen sich Sender und Empfänger auf einen gemeinsamen Schlüssel einigen, der sowohl zum Ver- als auch zum Entschlüsseln benutzt wird. Solche Verfahren heißen "symmetrisch", weil sie in beiden Richtungen denselben Schlüssel verwenden. Einen gemeinsamen Schlüssel zu verwenden, macht aber die Aufgabe komplizierter, wenn Sender und Empfänger sich nicht vorab treffen können, um diesen Schlüssel zusammen auszuwählen. Es ist dann ein separater (sicherer) Kommunikationsweg nötig.

Asymmetrische Verschlüsselung

Darum gibt es als Alternative die asymmetrischen (nicht-symmetrischen) Verschlüsselungsverfahren, die immer ein Schlüsselpaar einsetzen: Jeder Teilnehmer in einem solchen System besitzt sowohl einen privaten als auch einen öffentlichen Schlüssel. Der öffentliche dient zum Verschlüsseln einer Botschaft, mit dem privaten erhält man später den Klartext zurück (Abbildung 3). Solange Sie nur selbst mit Klar- und Geheimtexten experimentieren, reicht dieses eine Schlüsselpaar aus; Sie können damit aber keine Nachrichten für eine andere Person verarbeiten: Würden Sie eine Nachricht mit Ihrem eigenen öffentlichen Schlüssel verschlüsseln und dann verschicken, könnte der Empfänger damit nichts anfangen – ihm fehlt der private Schlüssel zum Entschlüsseln. Sie brauchen in dieser Situation stattdessen den öffentlichen Schlüssel des Empfängers.

© Quelle: Wikipedia, Benutzer "Bananenfalter"Abbildung 3: Asymmetrische Verschlüsselung arbeitet mit zwei Schlüsseln: Der öffentliche verschlüsselt, der private entschlüsselt.

Die Namen für die Schlüssel sind also passend gewählt:

  • Jeder hält seinen privaten Schlüssel geheim, denn er dient dazu, Nachrichten zu entschlüsseln, die an ihn gerichtet sind.
  • Den öffentlichen Schlüssel macht man öffentlich, man kann ihn z. B. anderen Personen schicken, auf die eigene Webseite stellen oder bei speziellen Servern hinterlegen, die genau für diese Aufgabe eingerichtet wurden: Im Idealfall hat jede Person Zugriff auf den öffentlichen Schlüssel einer Person und kann damit Nachrichten verschlüsseln, die an diese geschickt werden sollen.

Bei diesen Verfahren müssen sich Sender und Empfänger also nicht vorher über einen gemeinsamen Schlüssel abstimmen, darum eignen sie sich besonders gut für den Versand von Mails – auch an Empfänger, mit denen man bisher gar keinen Kontakt hatte, sofern sich deren öffentlicher Schlüssel beschaffen lässt.

Dateien verschlüsseln

Einzelne Dateien verschlüsseln Sie am leichtesten mit einem Shell-Programm namens openssl. Im folgenden Beispiel schützen wir damit eine Datei creat.c, indem wir eine verschlüsselte Version creat.c.enc erzeugen. Die zusätzlich Dateiendung .enc soll für "encoded" (kodiert; verschlüsselt) stehen. Nach Eingabe des Befehls

openssl aes-256-cbc -salt -in creat.c -out creat.c.enc

fordert OpenSSL zweimal zur Eingabe eines Passworts auf; die eingetippten Zeichen zeigt das Programm dabei nicht an, es erscheinen auch keine Sternchen oder andere Zeichen – Sie tippen also blind.

Bevor Sie die Originaldatei löschen, sollten Sie sicherstellen, dass sich die verschlüsselte Version auf wieder entschlüsseln lässt: Dazu rufen Sie OpenSSL mit der Option -d (decrypt, deutsch: entschlüsseln) auf. Hinter der Option -in steht diesmal der Name der verschlüsselten Datei, hinter -out geben Sie einen neuen Dateinamen an:

openssl aes-256-cbc -d -in creat.c.enc -out creat.c.copy

Erneut fragt OpenSSL nach dem Passwort und erledigt danach die Entschlüsselung. In Listing 1 sehen Sie auch die Ausgaben, die openssl beim Einsatz erzeugt. Der zweite Befehl in dem Listing zeigt den fehlschlagenden Versuch der Entschlüsselung (wegen Eingabe eines falschen Passworts), der dritte Befehl die erfolgreiche Entschlüsselung. Abschließend überprüft ein Aufruf des Tools diff, dass die Originaldatei und das Ergebnis nach Ver- und Entschlüsselung identisch sind. (Wenn diff zwischen zwei Dateien keine Unterschiede feststellt, erzeugt es keine Ausgabe.)

Listing 1

Datei mit OpenSSL ver- und entschlüsseln

[esser@quad:/tmp]$ openssl aes-256-cbc -salt -in creat.c -out creat.c.enc
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:
[esser@quad:/tmp]$ openssl aes-256-cbc -d -in creat.c.enc -out creat.c.copy
enter aes-256-cbc decryption password:
bad decrypt
140735090429212:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:539:
[esser@quad:/tmp]$ openssl aes-256-cbc -d -in creat.c.enc -out creat.c.copy
enter aes-256-cbc decryption password:
[esser@quad:/tmp]$ diff creat.c creat.c.copy
[esser@quad:/tmp]$

Sie können das Passwort (sowohl beim Ver- als auch beim Entschlüsseln) alternativ über den Parameter -k schon im Befehl eingeben – sollten dabei aber beachten, dass

  • andere Personen, die Ihnen über die Schulter blicken, das Passwort mitlesen können, und
  • Anwender, die auf demselben Rechner angemeldet sind, das Passwort bei unglücklichem Timing in der Prozessliste finden können, wenn diese genau zur rechten Zeit mit ps die Liste der gerade laufenden Prozesse anzeigen lassen.

Aus diesem Grund ist es immer sicherer, das Passwort interaktiv einzugeben.

Zip-Archive verschlüsseln

Das Zip-Archivformat, das auch unter Windows populär ist, erlaubt die Verschlüsselung der enthaltenen Dateien (wobei die Dateinamen sichtbar bleiben). Unter Linux können Sie auf der Kommandozeile das Programm zip verwenden, um ein Zip-Archiv zu erstellen, und dabei auf Wunsch direkt die Verschlüsselung aktivieren.

Ein üblicher Aufruf von zip (ohne Verschlüsselung) sieht so aus:

esser@hpquadi7:~> zip -r 2015.zip 2015
  adding: 2015/ (stored 0%)
  adding: 2015/01/ (stored 0%)
  adding: 2015/01/steuern/ (stored 0%)
  adding: 2015/01/steuern/artikel.txt (deflated 47%)
...

Dabei sorgt die Option -r für rekursives Verarbeiten des angegebenen Verzeichnisses (2015), und 2015.zip ist der Dateiname der zu erstellenden Zip-Datei. Um beim Packen auch gleich zu verschlüsseln, ergänzen Sie die Option -e (encrypt, verschlüsseln):

esser@hpquadi7:~> zip -er 2015.zip 2015
Enter password: geheim
Verify password: geheim
  adding: 2015/ (stored 0%)
  adding: 2015/01/ (stored 0%)
  adding: 2015/01/steuern/ (stored 0%)
...

und geben bei den Aufforderungen Enter password (Passwort eingeben) und Verify password (Passwort bestätigen) zweimal das gewünschte Passwort ein.

Zip-Archive können auch – gemischt – verschlüsselte und unverschlüsselte Dateien (in einer einzigen Archivdatei) enthalten. Beim Versuch, ein solches Mischarchiv zu entpacken, können dann in jedem Fall die unverschlüsselten Dateien ausgepackt werden; für die geschützten Dateien fragt das Entpackprogramm unzip nach dem Schlüssel. Dieses Feature könnten Sie beispielsweise dazu verwenden, in einer unverschlüsselt gespeicherten Datei einen Hinweis auf das Passwort zu geben – z. B. wenn Sie ein Archiv per Mail verschicken und in einer Readme-Textdatei auf den separaten Versand des Passworts per Briefpost hinweisen.

Haben Sie ein Zip-Archiv bereits erstellt und fällt Ihnen erst im Nachhinein ein, dass Sie eine geschützte Version des Archivs bevorzugen, können Sie die Verschlüsselung auch "nachrüsten" (ohne das Archiv zu entpacken und neu zu packen). Dafür nutzen Sie das Programm zipcloak, das als Argument lediglich den Namen einer Archivdatei erwartet und dann (wie zip) zur zweimaligen Eingabe des Passworts auffordert:

esser@hpquadi7:~/> zipcloak 2015.zip
Enter password: geheim
Verify password: geheim
encrypting: 2015/
encrypting: 2015/01/
encrypting: 2015/01/steuern/
...

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sicher verschlossen
    Festplatten verschlüsseln oder geschützte Verzeichnisse anlegen – das ist jetzt unter Linux auch ohne Kommandozeilen-Tools möglich: TrueCrypt bringt seit Version 5 ein grafisches Interface mit.
  • Verschlüsselter Stick
    Daten sind mittlerweile nicht mehr an einen Computer gebunden, sondern dank Notebooks und billigen USB-Sticks mobil. Wir zeigen, wie Sie mit Truecrypt verhindern, dass Ihre Dateien in falsche Hände gelangen.
  • Geheim gehalten
    Daten sicher zu halten, hat zwei Seiten: Schutz vor Verlust und Schutz vor unerlaubtem Zugriff durch Fremde. Der zweiten Bedrohung begegnen Sie, indem Sie Dateien verschlüsseln. Wir zeigen, wie Sie das erreichen – wahlweise mit Standard-Linux-Tools oder mit dem Windows-kompatiblen TrueCrypt.
  • USB-Sticks verschlüsseln mit TrueCrypt
    Mit TrueCrypt steht Windows-, Linux- und Mac-Anwendern seit einigen Jahren ein Tool zur Seite, das der unverständlichen Verschlüsselungstechnologie den Schrecken nimmt und mehr Sicherheit im Alltag ermöglicht.
  • Office verschlüsselt
    Texte und Tabellen, die nur Sie lesen können? Dank der in LibreOffice eingebauten Verschlüsselung ist das kein Problem. Setzen Sie dazu ein einziges Häkchen im Speichern-Dialog.
Kommentare

Infos zur Publikation

EL 08-10/2017: BACKUP

Digitale Ausgabe: Preis € 9,80
(inkl. 19% MwSt.)

EasyLinux erscheint vierteljährlich und kostet 9,80 Euro. Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 33,30 Euro. Details dazu finden Sie im Computec-Shop.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!      

Aktuelle Fragen

kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 4 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...
WLan mit altem Notebook funktioniert nicht mehr
Stefan Jahn, 22.08.2017 15:13, 0 Antworten
Ich habe ein altes Compaq-6710b Notebook mit Linux Mint Sonya bei dem WLan neulich noch funktioni...
Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 2 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...