EncryptPad bietet symmetrische Verschlüsselung von Texten direkt aus dem Editor heraus. Bei Bedarf hilft das Programm beim Verschlüsseln anderer wichtiger Daten.

Der Wunsch nach Sicherheit und dem Schutz der Privatsphäre zieht sich vermehrt durch alle Bereiche des digitalen Lebens. So erstaunt es nicht, dass mit EncryptPad [1] ein Texteditor mit Verschlüsselungsfunktion entstanden ist. Für den Editor Vim existiert bereits seit Längerem die Erweiterung gnupg.vim mit ähnlicher Funktionalität.

Die Arbeit an dem Programm läuft seit rund drei Jahren auf Github [2]. Es befindet sich noch im Beta-Stadium, aktuell steht die Version bei 0.4.0.2. Die Software gibt es für Linux, MacOS X und Windows. Für Apple- und Windows-Computer gibt es die Anwendung portabel für den USB-Stick. Sie verwendet zum Verschlüsseln OpenPGP [3] nach Standard RFC 4880 [4] und bedient sich dabei der symmetrischen Verschlüsselung mit AES 256 als Standard [5].

Zum Verschlüsseln dient ein Passwort, eine Schlüsseldatei oder beides in Kombination. Letzteres garantiert, dass die Datei selbst dann noch geschützt ist, falls etwa ein USB-Stick verloren geht, der das Passwort enthält.

Im Unterschied zur gängigen asymmetrischen Verschlüsselung mit privatem und öffentlichem Schlüssel verwendet das hier angewandte symmetrische Verfahren nur einen Key. Die Software ist nicht nur in der Lage, Texte zu verschlüsseln, sondern versteht sich außerdem auf Binärdateien mit einem Umfang von bis zu mehreren GByte. Neben der grafischen Oberfläche steht für die Anwendung auf der Kommandozeile das Kommando encryptcli bereit.

AppImage

Da EncryptPad außer als PPA für Ubuntu, im AUR von Arch Linux und bei FreeBSD bisher nicht in den Archiven der Distributionen aufgetaucht ist, bietet der Entwickler die Applikation für Linux als AppImage [6] mit einem Umfang von 29 MByte an. Beachten Sie dabei, dass Sie die Rechte für die Datei vor dem ersten Start zum Ausführen setzen. Dies gelingt entweder über einen grafischen Dateimanager oder das Kommando chmod +x Dateiname im Terminal.

Der erste Start erfolgt per Doppelklick auf die Datei, spätere Starts erfolgen bei manchen Distributionen aus dem Anwendungsmenü heraus. Auf den ersten Blick wirkt das geöffnete Fenster wie ein regulärer Texteditor (Abbildung 1). Fahren Sie mit dem Mauszeiger über die Icons oder stöbern im Menü, zeigen sich jedoch die Funktionen zum Erstellen von Passphrasen und Key-Files sowie ein Nur-Lese-Modus, der sicherstellt, dass Sie wichtige Dokumente nicht ungewollt verändern.

Abbildung 1: Von klassischen Editoren unterscheidet sich EncryptPad auf den ersten Blick neben einigen Icons hauptsächlich durch die anfangs rote Zeile am unteren Rand.

In den Einstellungen unter dem Menüpunkt Settings finden sich hauptsächlich Parameter für zu erstellende Passphrasen und Schlüsseldateien. Diese Einstellungen passen Sie bei Bedarf direkt bei den jeweiligen Aktionen an. Den zu verwendenden Schriftsatz sowie die Anzahl der angezeigten Dateien beim Öffnen-Dialog sollten Sie hingegen gleich entsprechend Ihren Vorstellungen konfigurieren.

Planen Sie den Einsatz von Schlüsseln, sollten Sie zudem noch den Pfad zur Binärdatei von Curl angeben. Sie ermitteln den Pfad via which curl im Terminal, eventuell ist es notwendig, das Programm über die Paketverwaltung zu installieren. Mit Curl laden Sie dann bei Bedarf direkt aus EncryptPad Schlüssel von einem entfernten Server herunter.

Zwei Formate

EncryptPad unterstützt die beiden Dateiformate GPG und EPD. Der Dateityp GPG entspricht dem OpenPGP-Format und ist mit anderen OpenPGP-Tools kompatibel. Verwenden Sie es, wenn Sie eine Datei öffnen, ohne dass EncryptPad bereitsteht. Das Format unterstützt keinen doppelten Schutz mit Schlüsseldatei und Passphrase.

Außerdem ist bei Einsatz von GPG nicht möglich, den Pfad der Schlüsseldatei mit in der verschlüsselten Datei selbst zu speichern. Das bedeutet, dass bei jedem Öffnen einer mit einer Schlüsseldatei verschlüsselten Datei die Frage erscheint, welche Schlüsseldatei der Editor verwenden soll.

EPD ist das native Dateiformat von EncryptPad. Andere OpenPGP-Software beherrschen das Öffnen solcher Dateien nur, wenn Sie die Datei lediglich mit einer Passphrase schützen, denn dann handelt es sich effektiv um eine GPG-Datei.

Nutzen Sie zum Schutz der Daten hingegen einen Schlüssel oder eine Kombination aus Schlüssel und Passphrase, verpackt das Programm die GPG-Datei in einen WAD-Container. WAD [7] steht für “Where’s All the Data” und stellt ein einfaches Format zum Kombinieren mehrerer Binärdateien dar. WAD-Container öffnen Sie etwa mit SLADE [8].

Der einfachste Fall einen Text mit EncryptPad zu schützen, führt über die Funktionen Save As?, der noch nicht auf Deutsch lokalisierten Anwendung. Bei einem ungeschützten Text sehen Sie unten rechts im Fenster in Rot die Angaben Passphrase not set und Key not set.

Per Passwort

Wählen Sie im Dialog zum Speichern unter Files of Type den Eintrag GnuPG (*.gpg) aus und ergänzen den Rest der Angaben wie Name der Datei und gewünschter Speicherort. Bevor die Applikation den Text aber abspeichert, bittet sie darum ein Passwort einzugeben. Nach dem Speichern ändert sich der rote Text Passphrase not set in ein schwarzes Password protected.

Das Ergebnis ist eine OpenPGP-Datei, die zum Entschlüsseln nicht mehr auf EncryptPad angewiesen ist, sondern die Sie bei Bedarf mit gängigen GPG-Tools öffnen. Wie das etwa auf der Kommandozeile funktioniert, erläutert die Dokumentation.

Per Schlüssel

Um einen Text mit einem Schlüssel zu schützen, öffnen Sie die entsprechende Datei oder erstellen sie. Anschließend klicken Sie auf das Icon mit dem Schlüssel und dem Pluszeichen. Verfügen Sie bereits über einen Schlüssel, den Sie benutzen möchten, geben Sie im oberen Feld der Eingabemaske den Pfad an. Zum Erstellen eines neuen Schlüssels vergeben Sie einen Namen im unteren Feld (Abbildung 2).

Abbildung 2: Die obere Zeile dient der Pfadangabe für einen vorhandenen Schlüssel, in der unteren Zeile erwartet EncryptPad den Namen für den zu erstellenden Schlüssel.

Wenn Sie eine Schlüsseldatei erstellen, erzeugt EncryptPad eine zufällige Byte-Folge, fragt den Benutzer nach einer Passphrase, verschlüsselt die resultierende Sequenz damit und speichert das Ergebnis in einer Datei. Die Schlüsseldatei mit der Endung .key sichert die Anwendung im Home-Verzeichnis des Anwenders unterhalb des versteckten Ordners ~/.encryptpad (Abbildung 3).

Abbildung 3: Die erstellten Schlüssel legt die Anwendung versteckt im Home-Verzeichnis des Benutzers ab.

Klicken Sie nun auf OK, geben Sie zunächst eine Passphrase zum Schutz des Schlüssels ein. Anschließend möchte die Software von Ihnen wissen, ob Sie den Schlüssel für die geöffnete Datei verwenden wollen. Nachdem Sie das bejaht haben, passiert augenscheinlich nichts. Schauen Sie jedoch in den Ordner ~/.encryptpad unterhalb des Home-Verzeichnisses, liegt der Schlüssel schon bereit. Weitere Anzeichen sind die Änderung des Textes Key not set in Key protected. Außerdem trägt das vorhin mit einem Plus versehene Icon nun ein Minus für die Entfernung des Schlüsselschutzes für diese Datei.

Zum späteren Öffnen der gerade verschlüsselten Datei geben Sie im sich öffnenden Dialog zunächst den Speicherort des Schlüssels ein. Diesen erkennt die Software automatisch richtig, solange Sie die Schlüsseldatei nicht verschieben. In einem zweiten Schritt tragen Sie dann die vergebene Passphrase ein. Das Ganze lässt sich noch um eine Ebene weiter verschachteln, indem Sie eine Datei mit Schlüssel und Passwort schützen.

Doppelt hält besser

Dabei gehen Sie vor wie im vorherigen Beispiel, wählen als Dateiformat jedoch nicht .gpg, sondern .epd. Daraufhin fragt die Software Sie zusätzlich nach einer Passphrase. Die abschließend zweite einzugebende Passphrase dient wiederum, wie vorher, dem Schutz der Datei auf der Festplatte. Nach Abschluss des Vorgangs sollte unten Passphrase protected als auch Keyword protected stehen (Abbildung 4).

Abbildung 4: Doppelter Schutz per Passphrase und Schlüssel: Ein Passwort schützt den Schlüssel, ein zweites die resultierende Datei auf der Festplatte.

Wenn Sie die Datei nun schließen und später wieder öffnen möchten, erfolgt zunächst die Abfrage nach der Passphrase innerhalb der Datei und daraufhin des Schlüssels. Dabei sollten Sie der Einfachheit halber einen Haken bei Persistent key location in the encrypted file setzen, da dann künftig die Abfrage des Schlüssels entfällt. Sie brauchen nur noch die beiden Passwörter einzugeben. Ist diese Option gesetzt, zeigt EncryptPad dies auch unten hinter Keyword protected an (Abbildung 5).

Abbildung 5: Der Haken erspart spätere Tipparbeit: So hinterlegt EncryptPad den Pfad zum Schlüssel in der Datei selbst und übernimmt ihn beim Öffnen automatisch.

Binärdateien

Das Verschlüsseln von Binärdateien verläuft ähnlich dem bisher gezeigten Vorgehen. Sie erstellen einen neuen Schlüssel oder entscheiden sich einen vorhandenen zu nutzen. Abweichend vom bisherigen Verfahren verneinen Sie aber jetzt die Frage, ob die Software den Schlüssel mit dieser Datei (die ja nicht existiert) nutzen soll, denn Sie möchten ja ein Foto, ein Archiv oder Ähnliches verschlüsseln.

Im nächsten Schritt klicken Sie auf das fünfte Icon von links mit den verschränkten grünen Pfeilen. Es ist mit File Encryption überschrieben. Dort steht die Auswahl bereits auf Encrypt, darunter wählen Sie als Dateiformat entweder EPD oder GPG. EPD sollten Sie nur dann verwenden, wenn Sie Passphrase und Schlüssel einsetzen möchten. Kommt nur eine Option zum Einsatz, ändern Sie – um zu OpenPGP kompatibel zu bleiben – das Format auf GPG.

Nun wählen Sie bei Input File die zu verschlüsselnde Datei. Pfad und Name der auszugebenden Datei schlägt der Editor automatisch vor, im Normalfall brauchen Sie hier nichts zu ändern. Danach geben Sie entweder den Speicherort eines Schlüssels an oder legen ein Passwort fest (Abbildung 6).

Abbildung 6: Für das Verschlüsseln von Binärdateien öffnet EncryptPad eine neue Maske. Als Format stehen hier sowohl GPG sowie das native EPD zur Auswahl.

Wenn Sie beides nutzen, ist es möglich, den Schlüssel wieder persistent in die Datei zu speichern. Diese schützen Sie nochmals mit einer Passphrase. Bei GPG als Format hingegen hat diese Option keine Wirkung. Nach dem Klick auf Start dauert es je nach Größe der zu verschlüsselten Datei unterschiedlich lange, bis der Vorgang zu einem Ende kommt. Bei großen Dateien hilft der Fortschrittsbalken mit Prozentanzeige beim Abschätzen der Dauer.

Fazit

Wenn Sie mit wichtigen Texten und Dateien arbeiten, deren Unversehrtheit Sie nicht zu allen Zeiten persönlich garantieren können, bietet sich mit EncryptPad eine 2-in-1-Lösung an, bei der Sie nicht mit mehreren Anwendungen zu hantieren brauchen. Sie bestimmen einerseits die Stärke der Verschlüsselung und auf der anderen Seite den Grad der Kompatibilität zu OpenPGP.

Der Entwickler macht darauf aufmerksam, dass sich die Software noch im Beta-Status befindet, und dass sie sich daher bislang noch nicht für den Einsatz in kritischen Bereichen eignet. Die Dokumentation [9] auf der englischen Webseite ist aber ausführlich und deckt neben Tutorials zusätzlich technische Hintergründe und bekannte Schwächen ab.