Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- mac:encrypt_file [2013/02/03 15:19]
wikisysop [Mitwachsendes Disk Image verschlüsseln]
+++ mac:encrypt_file [2013/02/03 17:39] (aktuell)
wikisysop
@@ Zeile 4: / Zeile 4: @@
 ==== Mitwachsendes Disk Image verschlüsseln ====
-Wer auf FileVault verschlüsselte Festplatten verzichten möchte, hat dennoch die Möglichkeit sich verschlüsselte Images anzulegen, in denen vertrauliche Daten abgelegt und sicher vor unbefugten Zugriff aufbewahrt werden können. Apples FileVault ist auch in der zweiten Version nicht ohne Probleme und kann unter bestimmten Umständen relativ einfach geknackt werden((http://reviews.cnet.com/8301-13727_7-57369983-263/filevault-2-easily-decrypted-warns-passware/)). Des Weiteren sträube ich mich persönlich dagegen ganze Festplatten zu verschlüsseln, zumindest bei Rechnern bei denen ich nicht unbedingt davon ausgehen muss, dass diese gestohlen werden. Ein verschlüsseltes und mitwachsendes DiskImage ist in den meisten Fällen ausreichend und schützt auch dann, wenn der Computer im eingeschalteten oder StandBy (sleep) Zustand von einem Angreifer übernommen wird; natürlich nur solange das Diskimage zu diesem Zeitpunkt nicht gemountet ist.
+Wer auf FileVault verschlüsselte Festplatten verzichten möchte, hat dennoch die Möglichkeit sich verschlüsselte Images anzulegen, in denen vertrauliche Daten abgelegt und sicher vor unbefugten Zugriff aufbewahrt werden können. Im Prinzip ist das ja auch eine Festplatte, welche aber im Gegensatz zu FileVault verschlüsselten Systemfestplatten jederzeit zB auf einem USB Stick mobil gehalten werden kann.
+<note warning>**<fc #800000>Note</fc>:** Apples FileVault2 hat in letzter Zeit vor allem durch die relativ einfache Möglichkeit das eigene (Klartext-) Passwort aus dem RAM auszulesen auf sich aufmerksam gemacht((http://www.frameloss.org/2011/09/18/firewire-attacks-against-mac-os-lion-filevault-2-encryption/)). Allerdings haben erste Recherchen ergeben, dass sich dieses Problem uU nicht nur auf das FileVault2 Passwort beschränkt, sondern auf alle eingegebenen Passwörter zutrifft. Es scheint mir daher angebracht, im Kontext einer Diskussion um sichere Datenspeicher darauf hinzuweisen. Da von meiner Seite noch keine Versuche diesbzgl. unternommen wurden, kann ich jedoch diese Aussage noch nicht fundiert belegen...</note>
 Um nun ein verschlüsseltes und mitwachsendes DiskImage bzw Sparsebundle zu erzeugen können Sie das mit dem Commandline Utility >><fc #008000>hdiutil</fc><< in einem Rutsch erledigen:
@@ Zeile 11: / Zeile 13: @@
 Geben Sie ein neues Kennwort ein, um „vault.sparsebundle“ zu sichern:</xterm>
-Sie werden aufgefordert das Passwort zum entschlüsseln einzugeben (2x) und erhalten auf dem Desktop die Datei >><fc #008000>vault.sparsebundle</fc><<, welche das sichere Diskmage darstellt. Beim Mounten dieses Diskimages werden Sie aufgefordert das Passwort einzugeben und es versteht sich von selbst, dass dieses nicht im Schlüsselbund gespeichert werden sollte.
+Sie werden aufgefordert das Passwort zum entschlüsseln einzugeben (2x) und erhalten auf dem Desktop die Datei >><fc #008000>vault.sparsebundle</fc><<, welche das sichere Diskmage darstellt. Verwendung findet hierbei der >><fc #008000>AES-128</fc><< Algorithmus((http://de.wikipedia.org/wiki/Advanced_Encryption_Standard)) und bietet ein ausreichend hohes Maß an Sicherheit. Beim Mounten dieses Diskimages werden Sie aufgefordert das Passwort einzugeben und es versteht sich von selbst, dass dieses nicht im Schlüsselbund gespeichert werden sollte.
 In diesem Container können Sie nun Daten bis zur eingestellten Maximalgröße von hier im Beispiel 1 GB ablegen. Wenn Sie Daten aus dem Container löschen, wird dieser dadurch allerdings nicht kleiner, Sie können ihn jedoch mit dem folgenden Kommando auf die derzeit benötigte Größe komprimieren. Das DiskImage sollte dabei nicht gemountet sein:
@@ Zeile 26: / Zeile 28: @@
 ==== Einzelne Datei verschlüsseln ====
-Mit <fc #008000>openssl</fc>((http://developer.apple.com/mac/library/documentation/Darwin/Reference/ManPages/man1/openssl.1ssl.html))((http://de.wikipedia.org/wiki/OpenSSL)) kann man auch einzelne Dateien mit einem Passwort schützen. Dies kann zB nützlich sein, um vertrauliche Daten per E-Mail zu versenden. Sie müssen lediglich dafür Sorge tragen, dass der richtige Empfänger das Passwort und den verwendeten Verschlüsselungsalgorithmus kennt. Dass das Passwort nicht mit der selben E-Mail gesendet werden sollte, versteht sich von selbst. Den verwendeten Algorithmus setze ich zB als Suffix an die verschlüsselte Datei. Ich verwende zB den <fc #008000>DES3</fc>((http://de.wikipedia.org/wiki/Triple_DES#Triple-DES)) Algorithmus. Vergessen Sie nicht das Passwort, denn dieser Algorithmus ist sehr stark, eine DES3 verschlüsselte Datei zu knacken kostet Zeit - viel Zeit - abhängig von der Stärke des Passworts vermutlich mehr Zeit, als Ihnen zur Verfügung steht.
+Mit <fc #008000>openssl</fc>((http://developer.apple.com/mac/library/documentation/Darwin/Reference/ManPages/man1/openssl.1ssl.html))((http://de.wikipedia.org/wiki/OpenSSL)) kann man auch einzelne Dateien mit einem Passwort schützen. Dies kann zB nützlich sein, um vertrauliche Daten per E-Mail zu versenden. Sie müssen lediglich dafür Sorge tragen, dass der richtige Empfänger das Passwort und den verwendeten Verschlüsselungsalgorithmus kennt. Dass das Passwort nicht mit der selben E-Mail gesendet werden sollte, versteht sich von selbst. Wenn Sie mit Ihrem Kommunikationspartner keinen festen Verschlüsselungs-Algorithmus vereinbart haben, können Sie diesen zB als Suffix an die verschlüsselte Datei anhängen. Dadurch wird das Verfahren zwar etwas unsicherer, weil der Angreifer den Algorithmus nun kennt aber ich betrachte diese Tatsache lediglich als erwähnenswert aber nicht als relevant. Ich verwende mittlerweile zB den <fc #008000>AES-256</fc>((http://de.wikipedia.org/wiki/Advanced_Encryption_Standard)) Algorithmus im CBC-Mode((http://de.wikipedia.org/wiki/Cipher_Block_Chaining)). Vergessen Sie nicht das Passwort, denn dieser Algorithmus ist sehr stark, eine AES-256 verschlüsselte Datei zu knacken kostet Zeit - viel Zeit - abhängig von der Stärke des Passworts vermutlich mehr Zeit, als Ihnen zur Verfügung steht.
 Um eine einzelne Datei zu verschlüsseln, gehen Sie zB wie folgt vor. Sie werden im Anschluss daran aufgefordert das gewünschte Passwort einzugeben:
-<xterm>$ <fc #008000>openssl des3 -salt -in secfile.txt -out secfile.txt.des3</fc>
+<xterm>$ <fc #008000>openssl aes-256-cbc -salt -in ~/Desktop/secfile -out ~/Desktop/secfile.aes-256</fc>
-enter des-ede3-cbc encryption password:
+enter aes-256-cbc encryption password:
-Verifying - enter des-ede3-cbc encryption password:
+Verifying - enter aes-256-cbc encryption password:
 </xterm>
 Um diese Datei nun wieder zu entschlüsseln verwenden Sie folgendes Kommando. Sie werden im Anschluss aufgefordert das entsprechende Passwort einzugeben:
-<xterm>$ <fc #008000>openssl des3 -d -salt -in secfile.txt.des3 -out secfile.txt</fc>
+<xterm>$ <fc #008000>openssl aes-256-cbc -d -salt -in ~/Desktop/secfile.aes-256 -out ~/Desktop/secfile</fc>
-enter des-ede3-cbc decryption password:
+enter aes-256-cbc decryption password:
 </xterm>
+Oder sich den Inhalt der Textdate gleich in der Standardausgabe anzeigen lassen:
+<xterm>$ <fc #008000>openssl aes-256-cbc -d -salt -in ~/Desktop/secfile.aes-256</fc>
+enter aes-256-cbc decryption password:
+Dies ist ein geheimer Text</xterm>
 <note important>**Note:** Verwenden Sie als Eingabe- und Ausgabedatei immer unterschiedliche Dateinamen.</note>
  --- //pronto 2010/08/08 16:01//
-{{keywords>openssl salt decryption osx verschlüsseln passwort}}
+{{keywords>hdiutil sparsebundle openssl salt decryption encryption aes osx verschlüsseln passwort}}

mac/encrypt_file.1359901151.txt.gz (11925 views) · Zuletzt geändert: 2013/02/03 15:19 von wikisysop

Seite anzeigen Ältere Versionen

Medien-Manager Nach oben