Wer auf FileVault verschlüsselte Festplatten verzichten möchte, hat dennoch die Möglichkeit sich verschlüsselte Images anzulegen, in denen vertrauliche Daten abgelegt und sicher vor unbefugten Zugriff aufbewahrt werden können. Apples FileVault ist auch in der zweiten Version nicht ohne Probleme und kann unter bestimmten Umständen relativ einfach geknackt werden¹⁾. Des Weiteren sträube ich mich persönlich dagegen ganze Festplatten zu verschlüsseln, zumindest bei Rechnern bei denen ich nicht unbedingt davon ausgehen muss, dass diese gestohlen werden. Ein verschlüsseltes und mitwachsendes DiskImage ist in den meisten Fällen ausreichend und schützt auch dann, wenn der Computer im eingeschalteten oder StandBy (sleep) Zustand von einem Angreifer übernommen wird; natürlich nur solange das Diskimage zu diesem Zeitpunkt nicht gemountet ist.

Um nun ein verschlüsseltes und mitwachsendes DiskImage bzw Sparsebundle zu erzeugen können Sie das mit dem Commandline Utility »hdiutil« in einem Rutsch erledigen:

$ hdiutil create -size 1g -encryption -type SPARSEBUNDLE -volname vault -fs HFS+ ~/Desktop/vault
Geben Sie ein neues Kennwort ein, um „vault.sparsebundle“ zu sichern:

Sie werden aufgefordert das Passwort zum entschlüsseln einzugeben (2x) und erhalten auf dem Desktop die Datei »vault.sparsebundle«, welche das sichere Diskmage darstellt. Verwendung findet hierbei der »AES-128« Algorithmus²⁾ und bietet ein ausreichend hohes Maß an Sicherheit. Beim Mounten dieses Diskimages werden Sie aufgefordert das Passwort einzugeben und es versteht sich von selbst, dass dieses nicht im Schlüsselbund gespeichert werden sollte.

In diesem Container können Sie nun Daten bis zur eingestellten Maximalgröße von hier im Beispiel 1 GB ablegen. Wenn Sie Daten aus dem Container löschen, wird dieser dadurch allerdings nicht kleiner, Sie können ihn jedoch mit dem folgenden Kommando auf die derzeit benötigte Größe komprimieren. Das DiskImage sollte dabei nicht gemountet sein:

$ hdiutil compact ~/Desktop/vault.sparsebundle
Geben Sie das Kennwort ein, um auf „vault.sparsebundle“ zuzugreifen: 
Komprimierung beginnen …
Unbenötigte Bereiche freigeben …
......................................................................................................................
Komprimierung fertigstellen …
760.1 MB von 999.8 MB möglichen gewonnen.

Hilfreich ist dabei, wenn Sie das Anlegen des versteckten Papierkorbs verhindern: Anlegen des Papierkorbs verhindern

Mit openssl³⁾⁴⁾ kann man auch einzelne Dateien mit einem Passwort schützen. Dies kann zB nützlich sein, um vertrauliche Daten per E-Mail zu versenden. Sie müssen lediglich dafür Sorge tragen, dass der richtige Empfänger das Passwort und den verwendeten Verschlüsselungsalgorithmus kennt. Dass das Passwort nicht mit der selben E-Mail gesendet werden sollte, versteht sich von selbst. Wenn Sie mit Ihrem Kommunikationspartner keinen festen Verschlüsselungs-Algorithmus vereinbart haben, können Sie diesen zB als Suffix an die verschlüsselte Datei anhängen. Dadurch wird das Verfahren zwar etwas unsicherer, weil der Angreifer den Algorithmus nun kennt aber ich betrachte diese Tatsache lediglich als erwähnenswert aber nicht als relevant. Ich verwende mittlerweile zB den AES-256⁵⁾ Algorithmus im CBC-Mode⁶⁾. Vergessen Sie nicht das Passwort, denn dieser Algorithmus ist sehr stark, eine AES-256 verschlüsselte Datei zu knacken kostet Zeit - viel Zeit - abhängig von der Stärke des Passworts vermutlich mehr Zeit, als Ihnen zur Verfügung steht.

Um eine einzelne Datei zu verschlüsseln, gehen Sie zB wie folgt vor. Sie werden im Anschluss daran aufgefordert das gewünschte Passwort einzugeben:

$ openssl aes-256-cbc -salt -in ~/Desktop/secfile -out ~/Desktop/secfile.aes-256
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:

Um diese Datei nun wieder zu entschlüsseln verwenden Sie folgendes Kommando. Sie werden im Anschluss aufgefordert das entsprechende Passwort einzugeben:

$ openssl aes-256-cbc -d -salt -in ~/Desktop/secfile.aes-256 -out ~/Desktop/secfile 
enter aes-256-cbc decryption password:

Oder sich den Inhalt der Textdate gleich in der Standardausgabe anzeigen lassen:

$ openssl aes-256-cbc -d -salt -in ~/Desktop/secfile.aes-256
enter aes-256-cbc decryption password:
Dies ist ein geheimer Text

— pronto 2010/08/08 16:01