Schlagwort ‘Verschlüsselung‘

Debian: Installation und Verschlüsselung

Ich erwähnte schon einmal, daß es zunehmend schwieriger wird ein reguläres Debian zur Installation zu nutzen. Grml to the rescue heißt es da lapidar, nicht umsonst die Admin-Distro der Wahl. Debian selbst ist nett, aber bei der Installation werden einem zunehmend Steine in den Weg gelegt. Grml hingegen liefert alles mit, was man im Admin-Alltag benötigt, dazu gehört auch ein relativ aktueller Kernel plus die entsprechende Firmware.

Neben Grml benötigt man nur einen Internet-Anschluß, ein wenig Zeit und selbstredend grundlegende Kenntnisse in der Konsole. Die Partitionen werden klassisch aufgeteilt: root, swap, home. Swap und home werden verschlüsselt, auf LVM gehe ich nicht ein. Ziel ist es relativ schmerzfrei ein Debian Testing zu installieren. Letzteres ist durchaus stabil zu nennen, dennoch können gelegentlich bei einem Update die einen oder anderen Bauchschmerzen auftreten. Grundlegende Kenntnisse sind also ein Muß, daß man die Mailinglisten frequentiert ebenso.

Weiterlesen: »Debian: Installation und Verschlüsselung«

, , , , , , ,

FreeBSD: Verschlüsselung

Verschlüsselung ist heutzutage vielerorts kaum noch wegzudenken, insbesondere nicht im mobilen Bereich. Und dennoch sollte man sich überlegen, wo man diese einzusetzen gedenkt. Denn letztendlich gilt: was sind einem die eigenen Daten wert? Eine Verschlüsselung ist immer auch ein guter Weg Daten entgültig zu verlieren. Kristian Köhntopp stellte diesbezüglich einige interessante Aspekte zusammen. Paranoia ist jedenfalls nie ein guter Ratgeber …

In diesem Artikel nun erkläre ich, wie man die home– und swap-Partition unter FreeBSD mittels GELI verschlüsselt. Dazu ist logischerweise eine getrennte home-Partition notwendig, sowie grundlegende Kenntnisse im Umgang mit der Konsole. Das Prozedere selbst ist recht einfach, man initialisiert die entsprechende Partition mit GELI und legt darauf ein Filesystem an. Voreinstellung bei FreeBSD ist XTS-AES, es können jedoch bei der Initialisierung auch andere Algorithmen, Schlüssellängen, etc. genutzt werden, siehe diesbezüglich auch die man-Page zu GELI. ad4p7 ist meine home-Partition, ad4p2 ist mein swap-Bereich, analog muß man dies entsprechend der eigenen Konfiguration anpassen.

GELI selbst muß vor dem Einsatz geladen werden, dies erreicht man, indem man /boot/loader.conf die entsprechende Anweisung hinzufügt: geom_eli_load=«YES».

echo 'geom_eli_load="YES"' >> /etc/boot/loader.conf

dd if=/dev/random of=/root/ad4p7.key bs=64 count=1
geli init -b -K /root/ad4p7.key /dev/ad4p7
geli attach -k /root/ad4p7.key /dev/ad4p7
newfs -U -L homecrypto /dev/ad4p7.eli
mount /dev/ufs/homecrypto /home

 

Mittels dd erzeugt man einen Schlüssel, der unter /root gespeichert wird. Geli init initialisiert den entsprechenden Provider mit diesem Schlüssel, die Option b sorgt dafür, daß das gewählte Passwort beim Bootvorgang abgefragt wird. Mit geli attach schließlich hängt man den Provider ein. Mittels newfs wird ein Filesystem auf dem verschlüsselten Provider erzeugt, in diesem Fall versehe ich diesen mit der Bezeichnung homecrypto. Letztendlich wird der entsprechend präparierte Provider unter home eingehangen.

Bei der Initialisierung wird nach einem Passwort gefragt, welches verifiziert werden muß. Daß der Schutz insbesondere mit der Stärke des Passworts steht und fällt, sollte jedem bewußt sein. Der Schlüssel selbst kann auch auf einem USB-Stick ausgelagert werden, um den Provider einzuhängen bedarf es dann des Passworts und des Schlüssels auf dem USB-Stick. Bei aller Paranoia jedoch sollte eines bedacht werden: geht der USB-Stick verloren oder wird dieser beschädigt, sind alle Daten unwiderruflich verloren!

geli_devices="ad4p7"
geli_ad4p7_flags="-k /root/ad4p7.key"

 

Um dem System mitzuteilen, was es denn genau beim Bootvorgang tun soll, bedarf es einiger Ergänzungen in /etc/rc.conf. Unter geli_devices muß die entsprechende Partition angegeben werden, auf der der Provider erstellt wurde, geli_ad4p7_flag enthält die entsprechenden Optionen — hier, wo sich der Schlüssel befindet.

#home encypted
/dev/ufs/homecrypto /home ufs rw 2 2

#swap encrypted
/dev/ad4p2.eli none swap sw 0 0

 

Dies ist ein Teil von /etc/fstab, in dieser wird der verschlüsselte Provider unter home eingehangen, sowie der swap-Bereich zugewiesen. Letzterer benötigt kein Passwort, da dieser bei jedem Neustart initialisiert wird, Voreinstellung hierbei: AES mit einer Schlüssellänge von 256 bit. Beim Bootvorgang wird nach dem gewählten Passwort gefragt und sofern man keinen Fehler gemacht hat, sollte alles wie gewohnt ablaufen.

 

 

 

, , , , , , , ,

Evernote und die Sicherheit (Update)

evernote_03_crypt

Auch wenn Evernote durchaus praktisch ist, habe ich doch großes Unbehagen, Evernote zu nutzen. Evernote ist weitestgehend darauf ausgelegt, private und geschäftliche Dinge zu hinterlegen, Recherchen zusammenzufassen, viele Dinge, die man nicht öffentlich macht. Es gibt mehrere Möglichkeiten, Evernote zu nutzen, aber kaum eine Möglichkeit gleicht beispielsweise flickr, wo die Fotos in der Regel öffentlich zur Verfügung gestellt werden sollen. Das heißt, die Sicherheit der Daten sollte größte Priorität genießen. Evernote versagt in diesem Punkt, da die Daten nicht verschlüsselt werden. Keine Person, außer dem Eigentümer, sollte Zugriff auf die Daten haben. Bei Evernote haben mehrere Mitarbeiter Zugriff auf die Daten. Wie will Evernote zudem garantieren, dass bei eventuellen Sicherheitslücken die Daten sicher sind? Diese Garantie gibt es nicht. Keine IT ist 100%-ig sicher. Wenn Fremdzugriff möglich ist, dann müssen sensible Daten verschlüsselt werden. Zudem hat Evernote natürlich auch die Möglichkeit, die Daten, Kontakte und viele andere Dinge auszuwerten. Dafür braucht es nur einen kleinen Crawler. Das soll Evernote nicht unterstellt werden, doch ist die Möglichkeit technisch gegeben.

Weiterlesen: »Evernote und die Sicherheit (Update)«

, , , , , , , , , , ,

fragwürdige Sicherheit mittels EFFs HTTPS Everywhere

Sicherheit automatisiert im Browser — so jedenfalls in der Theorie. In der Praxis ist HTTPs Everywhere auf Firefox beschränkt, denn nur für diesen existiert diese Erweiterung. Ein eventuell vorhandenes SSL/TLS per se kann natürlich jeder haben, sofern unterstützt, allerdings ohne den mit dieser Erweiterung einhergehendem Automatismus. Aber ein https:// sollte von den meisten noch nachvollziehbar sein.

Tatsächliches Problem aber ist diese angestrebte Verschlüsselung. Viele, die SSL/TLS einsetzen, wissen nicht um die Tücken von SSL/TLS. Auch dem Redakteur von golem war dies wohl nicht bewußt als er schrieb: Von da an werden alle Anfragen an Wikipedia und die entsprechenden Ergebnisse zwischen dem Browser und dem Wikipedia-Server abhörsicher verschlüsselt. Denn erstens wird eben in der Regel nicht jegliche Kommunikation mit dem Server verschlüsselt und sobald man beispielsweise bei der Wikipedia Bildmaterial anwählt, verläßt man den sicheren Hafen, denn konsistent wurde SSL/TLS dort nicht umgesetzt. Es sind Kleinigkeiten, Kleinigkeiten, die jedoch bei einem Personenkreis mit einem tatsächlichen Sicherheitsbedürfnis schnell einen gewaltigen Kolateralschaden nach sich ziehen können. Somit sind beispielsweise ebenso Rückschlüsse möglich, welche Seiten man en detail besuchte — auch derart läßt sich ein Profil erstellen. Bei den Microbloggingdiensten Twitter und identi.ca schaut es nicht anders aus, Facebook wechselt mal gerne von https nach http und vice versa, etc. pp. Etwaige Werbung und Statistikmodule führen den Anspruch von SSL/TLS ohnehin gleich mal wieder ad absurdum.

Weiterlesen: »fragwürdige Sicherheit mittels EFFs HTTPS Everywhere«

, , , , , , , ,

Mit TrueCrypt in das Jahr 2010

tc_screen_10

Ich halte ja TrueCrypt für eines der besten Programme überhaupt. Sollte der Fall eintreten, dass mein Notebook oder eine externe Festplatte verloren geht, ist der materielle Verlust sicherlich ärgerlich, die größte Sorge dürfte jedoch bei den meisten sein, welche Daten man nun auf dem Rechner, der Festplatte oder dem USB-Stick abgespeichert hatte. Im mobilen Zeitalter sollte man auf seine Daten verdammt gut achten. TrueCrypt bietet sich da an. On-the-fly-Verschlüsselung, keine erkennbaren Performance-Einbußen und da Open Source kann man sich sicher sein, dass keine Hintertür eingebaut wurde. Das heißt natürlich auch: Ist das Passwort verloren gegangen, gibt es keine Möglichkeit mehr, an die Daten zu gelangen. Unsere TrueCrypt-Artikel sind fast täglich — dank Mama Google — die meistgelesenen, und als mir letzte Woche ein Arbeitskollege sagte, nachdem ich ihm am Tag vorher den Tipp mit TrueCrypt gegeben hatte, da suche ich nach TrueCrypt und wo lande ich, auf F!XMBR, hier auch noch einmal die Aufforderung: Verschlüsselt Eure (mobilen) Daten. 😉

TrueCrypt Homepage
TrueCrypt Download
TrueCrypt Portable

TrueCrypt-Anleitung
TrueCrypt-Anleitung: Container und Hidden Volume
TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)
TrueCrypt-Anleitung: Verschlüsselung der Systempartition
TrueCrypt 5 auf dem Mac und wie man es benutzt

, , ,

Christoph Daum — Hätte er doch besser TrueCrypt benutzt

Christoph Daum ist das passiert, was durch die mobile Nutzung des Internets in den nächsten Jahren noch viel mehr ansteigen wird: Ihm wurde sein Notebook gestohlen. Auf dem Laptop befanden sich sensible Daten, wie sein Arbeitsvertrag mit Fenerbahce Istanbul, wichtige Telefonnummern von Fußballspielern und Beratern, Trainingspläne und ein Entwurf seines Testaments. TrueCrypt hat er offensichtlich nicht benutzt, sonst wären diese Einzelheiten nicht an die Öffentlichkeit gelangt. An diesem prominenten Beispiel zeigt sich, wie wichtig die Datenverschlüsselung ist. Unser ausgelagertes Gehirn muss vor fremden Zugriff, seien es der Staat, Unternehmen oder unsere eigene Dummheit, geschützt werden.

Weiterlesen: »Christoph Daum — Hätte er doch besser TrueCrypt benutzt«

, , , , , , , , ,

Ich bin böse

Okay, nun weiß es auch der Letzte. 😉 Aber mal im Ernst: Wer kennt sie nicht, die monatlichen Artikel der PC-Zeitschriften. Sei es nun die PC-Welt, die CHIP oder andere — sie überbieten sich monatlich mit den wahnwitzigsten Überschriften und Artikeln. Mit jeder neuen Ausgabe erfahren wir, wie man auf welche Art und Weise Programme freischaltet, auf welchen chinesischen Server Microsoft, Adobe & Co. als Sicherheitskopie liegen, kurz: wie der IT-Junkie an seinen Stoff kommt. Auf den jeweiligen Webseiten geht es ähnlich zu. Unzählige Klickstrecken, Download-Specials — viel ist dort zu finden, nur meiner Meinung nach eben kein Journalismus. Die PC-Welt hat gerade mal wieder eine Idee, wie sie noch niemand vor ihr hatte. Eine Klickstrecke zu gute Tools, böse Tools. Man ahnt schon, was man dort findet — und doch, diesmal überrascht uns die PC-Welt. Böse Tools sind laut der PC-Zeitschrift nämlich auch Tools zum Verschlüsseln, wie zum Beispiel Cyberghost VPN. Eine Begründung wird mitgeliefert:

Weiterlesen: »Ich bin böse«

, , , , ,

TrueCrypt in Version 6.1a erschienen

Ich spare mir heute einmal große Worte über das beste Verschlüsselungsprogramm was gibt, TrueCrypt. Das haben wir bereits an anderer Stelle ausgiebig getan. Gestern wurde die Version 6.1a veröffentlicht, wie immer wird ein Update dringend empfohlen. Changelog:

Improvements, bug fixes, and security enhancements:

  • Minor improvements, bug fixes, and security enhancements.  (Windows, Mac OS X, and Linux)

Note: If you are using an older version of TrueCrypt, it is highly recommended that you upgrade to the latest stable version.

TrueCrypt Homepage
TrueCrypt Download
TrueCrypt Portable

TrueCrypt-Anleitung
TrueCrypt-Anleitung: Container und Hidden Volume
TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)
TrueCrypt-Anleitung: Verschlüsselung der Systempartition
TrueCrypt 5 auf dem Mac und wie man es benutzt

, , , ,

Es tut sich was bei Gpg4win

Gpg4winEigentlich hatte ich die Hoffnung ja schon aufgegeben. Über ein Jahr ist es her, dass es bei Gpg4win ein Update gab. Die Version 1.1.3 war die letzte offiziell veröffentlichte Version. Nun aber, wurde die 1.9.12 Beta vorgestellt. Natürlich wird davor gewarnt, die Beta produktiv einzusetzen. Die Anmerkungen zu der Version sind hier zu finden. Falls wer Gpg4win noch nicht kennt:

Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista) mit Computer-Programmen und Handbüchern für E-Mail– und Datei-Verschlüsselung. Die beiden relevanten kryptographischen Standards OpenPGP und S/MIME werden unterstützt (letzterer ist in Arbeit und funktioniert aktuell mit GnuPG2 und Claws Mail). Gpg4win und die in Gpg4win enthaltene Software sind Freie Software.

Gpg4win Homepage
Gpg4win Download
Gpg4win 1.9.12 Beta (EXE, 32 MB)

, , , , ,

TrueCrypt 6.1 veröffentlicht

Es wird immer grandioser — gestern wurde TrueCrypt 6.1 zur Veröffentlichung freigegeben. Die von allen Windows-Nutzern am meisten gewünschte Änderung, ist nun auch Realität: Das (nachträgliche) Verschlüsseln von Nicht-Systempartitionen ohne Datenverlust — leider nur unter Vista. TrueCrypt dürfte eines der besten Opensource-Programme ever sein. :) (via)

TrueCrypt Home
TrueCrypt Changelog
TrueCrypt Download

TrueCrypt-Anleitung
TrueCrypt-Anleitung: Container und Hidden Volume
TrueCrypt-Anleitung: Verwendung von Keyfiles (Schlüsseldateien)
TrueCrypt-Anleitung: Verschlüsselung der Systempartition
TrueCrypt 5 auf dem Mac und wie man es benutzt

, , , ,

Incognito — Live, Linux, Gentoo, Sicherheit

incognitoIncognito ist eine Live-Scheibe, welche auf Gentoo basiert und einmal gestartet Traffic jeglicher Natur nur verschlüsselnderweise weiterreicht. Dargereicht werden keine kryptisch zu bedienenen Tools, sondern Dinge welche der Normalsterbliche in der Regel auf seinem 08/15 Desktop vorfindet. U.a.: Browser, IRC, Instant Messenger1, Mail2 etc. pp. Das dabei Tor zum Einsatz kommt dürfte klar sein und bei Mail bedient man sich Mixminions, um auch die Mail tatsächlich anonymisiert weiterzureichen3. Selbst der Speicher wird gelöscht, um diverse forensische Praktiken im Nachhinein zu vereiteln.

Natürlich nützt all die Sicherheit im Vorfeld rein gar nichts, wenn der User profilrelevante Inhalte veräußert oder aber kompromittierende Dienste/Technologien nutzt, die die just gewonnene Anonymität ad absurdum führt — Adobe Flash, Javascript, Cookies … um nur die markantesten zu nennen. CSLite4 und Noscript5 beispielsweise versprechen üblicherweise in Firefox zusätzlichen Schutz, sofern nicht ob der Bequemlichkeit ausgehebelt, sprich deaktiviert. Die Funktionalitäten der beiden Extensions werden in der vorliegenden Version mittels TorButton gewirkt.

Unter der Haube wird wie eingangs erwähnt Gentoo offeriert, kurzum ein Gnu/Linux, bei welchem der Kernel 2.4.24 zum Einsatz kommt inkl. Gentoo-Patches und jeder Menge zusätzlicher Treiber. Ansonsten findet man gewohnte Dinge vor, wie z.B. Thunderbird 2.0.0.14, Firefox 2.0.0.16, TrueCrypt 6.0a, Vidalia 1.6, Tor 0.2.0.30, XChat, Pidgin und natürlich die Oberfläche in Form von KDE 3.5.9.

Das 421Mb große Image kann man dort von einigen Mirrors herunterladen und einmal gebrannt genügt tatsächlich ein Einlegen der CD und Neustarten des Rechners — et voila: security :-) Eine Einleitung zum System wird zu Beginn gestartet.

Passend für unterwegs, auf dem USB-Stick, der CD, auf dem heimischen Rechner um mal eben die Tarnkappe überzustreifen etc. Die möglichen Anwendungen sind mannigfaltiger Natur, die Gründe Legion.

  1. optional OTR/GPG []
  2. optional GPG []
  3. voraussgesetzt die Nachricht per se läßt keine Rückschlüsse zu []
  4. Cookie-Filter []
  5. Script-Filter/Blocker, auch Flash []

, , , ,

RSS-Feed abonnieren