Permalink

macOS Tipp: passwortgeschütztes (verschlüsseltes) Disk-Image erstellen

Man bekommt ja heutzutage vermehrt seine Post elektronisch zugestellt; sei es nun per E-Mail oder per Download über den Webbrowser. Dazu zählen beispielsweise Rechnungen oder Verträge aller Art, Steuerunterlagen, Einzelverbindungsnachweise, Kontoauszüge u.v.m… Also alles Informationen, die mehr oder weniger sensible Daten enthalten und dementsprechend aufbewahrt werden sollten.

Nun kann man natürlich Apps wie VeraCrypt, Hider oder Knox (wurde vom 1Password Entwickler AgileBits Ende 2016 vorerst abgekündigt) nutzen, um diese Daten sicher auf der lokalen Festplatte zu verschlüsseln. Warum aber 3rd-Party-Apps nutzen, wenn es in macOS verschlüsselte Disk-Images gibt, die im Grunde genommen genau den gleichen Zweck verfolgen?!

Bildschirmfoto 2017-01-09 um 17.15.38

Passwortgeschützte bzw. verschlüsselte Disk-Images erstellt man mit dem Festplattendienstprogramm, das unter /Programme/Dienstprogramme/ zu finden ist.

Im Menü wählt man daraufhin unter Ablage > Neues Image, je nach Vorhaben, die Option Leeres Image oder Image von Ordner aus. Im neu eingeblendeten Fenster gibt man dem Disk-Image einen Namen, optionale Tags und legt den Speicherort sowie das Format und die Partitionstabelle fest.

Bildschirmfoto 2017-01-09 um 17.09.24-minishadow

Beim Image-Format sollte man zudem darauf achten, dass Mitwachsendes Image ausgewählt ist. Das hat den Vorteil, dass das Disk-Image anstatt einer vorgegebenen Größe nur soviel Platz belegt, wie tatsächlich benötigt wird.

Darüber hinaus gibt es noch das Mitwachsende Bundle-Image. Dieses wurde mit Mac OS X 10.5 Leopard eingeführt und zerlegt das Image in kleinere Dateien. Das hat gegenüber eines einzelnen großen Images den Vorteil, dass bei einer inkrementellen Datensicherung (z. B. mit Time Machine) nur die geänderten Teile des Images, anstatt die große Einzeldatei, gesichert werden.

Der entscheidende Punkt ist aber die Verschlüsselung des Images. Hier hat man die Wahl zwischen 128- und 256-Bit-AES-Verschlüsselung, die mit einem hinreichend guten Passwort abgesichert werden sollte.

Bildschirmfoto 2017-01-09 um 17.09.51-minishadow

Klickt man jetzt auf das erstellte Image, wird zunächst das Passwort abgefragt und anschließend das Image ins System eingebunden. Jetzt kann man schützenswerte Dokumente ins Image verschieben, die mit dem Auswerfen des Images sicher abgelegt sind.

Abschließend vielleicht noch ein Tipp: das Passwort nicht im Schlüsselbund sichern, sondern im Kopf aufbewahren 🎓

Permalink

E-Mail Verschlüsselung: GPGMail für macOS 10.12 Sierra (Beta 1)

Zum Thema E-Mail Verschlüsselung und -Signierung hatte ich mich schon vor etwas mehr als zwei Jahren ausführlicher geäußert.

Mit macOS 10.12 Sierra hat sich bei der Nutzung von S/MIME und der damit zusammenhängenden Erstellung des Zertifikats quasi nichts geändert.

Möchte man dahingegen das konkurrierende OpenPGP Protokoll nutzen, hatte man unter Sierra bis vor ein paar Tagen leider schlechte Karte. Nun ist aber die erste Beta der GPGSuite erschienen, die das für Apple Mail notwendige GPGMail Plugin enthält.

…after a painful and long waiting time, extensive reverse engineering and re-writing of major parts of our codebase, we are very happy to share the first beta of GPGMail for macOS Sierra with you.

Wie immer bei einer Beta: die Nutzung erfolgt auf eigene Gefahr. Bekannte und bei bisherigen Nutzern auftretende Probleme sind im GPGTools Forum dokumentiert.

-> https://gpgtools.tenderapp.com/discussions/problems/macosx-sierra
-> https://releases.gpgtools.org/GPG_Suite-2016.12b1.dmg (Direktdownload)

Permalink

Howto: E-Mail-Verschlüsselung und -Signierung mit S/MIME und OpenPGP (bei Apple Mail) einrichten

Wenn es um die Verschlüsselung oder Signierung von E-Mails geht, und da darf sich jeder mal selbst an die Nase packen, ist der Durchschnittsinternetnutzer doch eher zurückhaltend. Dem einen ist es zu kompliziert, dem anderen zu aufwendig und wieder andere sehen den Inhalt ihrer E-Mails nicht als schützenswert an.

Nun, die ersten beiden Argumente lassen sich relativ schnell entkräften. Das letzte lasse ich einfach mal unkommentiert im Raum stehen… ;)

Bildschirmfoto 2014-11-11 um 11.34.38

Generell muss man sich beim Verschlüsseln und Signieren von E-Mails zwischen zwei Protokollen entscheiden: S/MIME und OpenPGP, die beide nicht miteinander kompatibel sind und auch ‘nur’ den Inhalt der E-Mail verschlüsseln. Die Metadaten, wie Absender, Empfänger und Betreff, bleiben unverschlüsselt.

Ich möchte jetzt gar nicht groß ins technische Detail gehen oder den Glaubenskrieg fortführen, der zwischen den Nutzern dieser Protokolle herrscht. Ich möchte vielmehr die praktische Seite von S/MIME und OpenPGP beleuchten und kurz zeigen wie einfach man sie unter OS X oder iOS einrichten kann.

S/MIME vs OpenPGP

Nüchtern betrachtet gibt es vom Standpunkt der Sicherheit keinen Favoriten. Beide Protokolle entsprechen aktuellen Sicherheitsanforderungen; unterscheiden sich aber in grundlegenden Dingen, die in der Praxis durchaus von Bedeutung sind.

S/MIME benötigt beispielsweise keine große Einrichtung und lässt sich out-of-the-box sowohl am Mac, als auch unter iOS nutzen. OpenPGP erfordert dahingegen unter OS X etwas Handarbeit und hat die Einschränkung, dass es von Apples mobiler Mail.app unter iOS leider nicht unterstützt wird.

Der wichtigste Unterschied zwischen den beiden Protokollen liegt aber im Verfahren zur Authentifizierung. Während S/MIME über ein hierarchisches System mit einen Zertifikat die Echtheit garantiert, nutzt OpenPGP mit dem so genannten Web of Trust einen anarchischen Ansatz.

S/MIME-Zertifikat

Für die Verschlüsselung von E-Mails mit S/MIME sind die schon angesprochenen Zertifikate der wichtigste Bestandteil. Diese gibt es in verschiedenen Sicherheitsstufen, die alle unterschiedliche Ausprägungen bei der Validierung von Daten haben und unterschiedlich kosten. Für den Privat-Anwender sind diese Sicherheitsstufen in der Regel aber uninteressant, so dass man auch mit kostenlosen Zertifikaten, die meistens ein Jahr lang gültig sind, seine E-Mails verschlüsseln und signieren kann.

Fragt man DuckDuckGo, Google oder Bing nach kostenlosen E-Mail Zertifikaten, werden einem eine Reihe Anbieter wie Comodo oder StartSSL angezeigt.

 Bildschirmfoto 2014-11-11 um 19.50.05-minishadow

Wichtig, neben dem Namen und der E-Mail Adresse, für die das Zertifikat beantragt werden soll, ist die Schlüssellänge (bei Comodo, wie im Screenshot zu sehen, 2048 Bit) und das Revoke-Passwort, mit dem das Zertifikat im Fall der Fälle als ungültig erklärt werden kann.

Ist dieses Online-Formular ausgefüllt, erhält man nach dem Absenden eine Bestätigungsemail, mit der man das Zertifikat herunterladen kann.

Bildschirmfoto 2014-11-11 um 19.55.29-minishadow

Je nach Konfiguration landet das Zertifikat, das in meinem Fall den Dateinamen CollectCCC.p7s hat, im Downloadordner des Macs.

Startet man diese Datei per Doppelklick öffnet sich die OS X Schlüsselbundverwaltung, in die man das Zertifikat nur hinzufügen muss.

Bildschirmfoto 2014-11-11 um 21.02.29-minishadow

Anschließend startet man die Mail.app neu, die das Zertifikat automatisch erkennt und ab sofort E-Mails verschlüsselt und signiert versenden kann.

Dazu gibt es bei Mail beim Schreiben einer neuen E-Mail zwei neue Schaltflächen. Zum einen ein Schloss, welches die Verschlüsselung der E-Mail aktiviert. Zum anderen einen Haken, der die E-Mail signiert. Der Haken ist per Default immer aktiviert. Es wird also jede E-Mail signiert versendet. Das Schloss kann dahingegen nur angeklickt werden, wenn der Adressat ebenfalls ein gültiges S/MIME Zertifikat besitzt.

Bildschirmfoto 2014-11-11 um 20.06.05-minishadowBildschirmfoto 2014-11-12 um 12.48.52-minishadow copy

Oben rechts sieht man zudem, sofern man OpenPGP schon nutzt, eine blaue S/MIME Schaltfläche. Setzt man einzig und alleine auf S/MIME, ist diese Schaltfläche nicht zu sehen.

Besonderheit iOS

Das iOS mit dem vom Comodo zugesendeten Zertifikat im *.p7s Format nichts anfangen kann, muss man es zunächst in ein für iOS lesbares Format umwandeln.

Dazu nutzt man die OS X Schlüsselbundverwaltung, in der man per Rechtsklick das entsprechende Zertifikat, mit einem Passwort geschützt, ins *.p12 Format konvertieren kann.

Bildschirmfoto 2014-11-11 um 21.40.39

Nachdem man das Zertifikat per E-Mail o.ä. aufs iPhone, iPad oder den iPod touch übertragen und installiert hat, muss man S/MIME in den Einstellungen > Mail, Kontakte, Kalender > E-Mail Account > Account > Erweitert aktivieren und findet in der mobilen Mail.app nun ähnliche Schaltflächen wie schon unter OS X.

IMG_2400 IMG_2401

OpenPGP-Schlüsselpaar

Wie schon erwähnt, wird dieses Protokoll im Gegensatz zu S/MIME nicht von iOS unterstützt. Daher ist die folgende Anleitung auch ausschließlich für OS X ausgelegt.

Zunächst muss man sich die GPG Suite, deren Source Code auch bei Github zu finden ist, herunterladen und installieren. Für OS X Yosemite wurde erst kürzlich eine kostenlose Beta veröffentlicht. Das Ganze wird aber, wie die Entwickler schon Mitte Oktober 2014 angekündigt haben, in der finalen Version nicht kostenlos bleiben. Wie hoch die small fee für das Mail Plugin GPGMail, welches Bestandteil der GPG Suite ist, ausfallen wird, bleibt abzuwarten aber alleine vom Sicherheitsgedanken sollte man darüber nicht groß nachdenken.

Bildschirmfoto 2014-11-11 um 21.45.01-minishadow Bildschirmfoto 2014-11-11 um 21.45.33-minishadow

Nach der Installation findet man das Plugin GPGMail, welches schlussendlich für das Verschlüsseln und Signieren von E-Mails verantwortlich ist, in den Mail Einstellungen.

Bildschirmfoto 2014-11-11 um 21.47.00-minishadow

Da (Open)PGP keine Zertifikate braucht, sondern die benötigten Schlüssel dezentral über einen öffentlichen Schlüsselserver verwaltet, gestaltet sich die weitere Einrichtung wesentlich einfacher als bei S/MIME.

Mit der Installation der GPG Suite hat sich neben dem Mail Plugin u.a. auch eine App namens GPG Keychain ins OS X Programme-Verzeichnis installiert. Neben dem Erstellen neuer bzw. Widerrufen vorhandener Schlüsselpaare für die eigenen E-Mail Adressen, werden hier auch die öffentlichen Schlüssel von Adressaten verwaltet.

Bildschirmfoto 2014-11-11 um 21.49.48-minishadow

Wichtig beim Erstellen ist der Haken bei Upload public key, der den eigenen öffentlichen Schlüssel auf den Schlüsselserver hoch lädt. Andernfalls ist es Adressaten, die ebenfalls (Open)PGP nutzen, nicht möglich verschlüsselte E-Mails zu schreiben, die mit dem privaten Schlüssel, der auf dem eigenen Rechner liegt, entschlüsselt werden.

Bildschirmfoto 2014-11-11 um 21.52.23-minishadow

Das Fenster zum Schreiben neuer Mails hat in der Mail.app nun auch wieder die beiden zusätzlichen Schaltflächen zum Verschlüsseln und Signieren von E-Mails. Bei installiertem S/MIME gibt es darüber hinaus oben rechts eine grüne OpenPGP Schaltfläche, die zwischen den Protokollen umschalten kann.

FAZIT

Ich hoffe, dass einigermaßen klar wird, dass das Verschlüsseln und Signieren von E-Mails kein Hexenwerk ist, für das man kryptische Informatik studiert haben muss.

Es empfiehlt sich außerdem S/MIME und OpenPGP parallel installiert zu haben. Zum einen sind, wie schon erwähnt, beide Protokolle zueinander nicht kompatibel. Zum anderen hat sich bisher auch kein Favorit herauskristallisiert, so dass momentan jeder das nutzt, was er für richtig hält.

Die Anleitung kann im Übrigen natürlich auch auf andere OS X Mail-Clients wie MailMate (siehe Screenshot) oder auch Airmail 2 angewendet werden.

Bildschirmfoto 2014-11-12 um 15.22.49-minishadow 

Für einen tieferen technischen Hintergrund um S/MIME und OpenPGP empfehle ich einen Artikel von Christian Kirsch.

Permalink

Review: Hider 2 · Verschlüsselter Dateitresor für OS X (Gewinnspiel inside)

Vor einigen Wochen wurde mit Hider 2, der Nachfolger der recht erfolgreichen App MacHider, vorgestellt, die sich hauptsächlich um das Verschlüsseln und Verstecken von Dateien, Verzeichnissen und Notizen kümmert.

IconTitleForLightBackground2

Bevor man damit jedoch loslegen kann, muss man beim ersten Starten der App ein Master-Passwort festlegen, mit dem Hider 2 entsperrt wird. Diese Prozedur ist vielen mit Sicherheit vom Passwort-Manager 1Password bekannt und sollte keine größere Hürde darstellen.

Man sollte sich dieses Master-Password übrigens tunlichst merken, da man andernfalls nicht mehr an seine Daten herankommt. Entwickler MacPaw hat an dieser Stelle aber für den DAU mitgedacht und bietet das Sichern dieses Passwortes im iCloud Schlüsselbund an.

Bildschirmfoto 2014-04-10 um 22.09.42

Mit dem Anlegen dieses Master-Passworts wird auch direkt ein Tresor (englisch ‘vault’) erstellt, der mit AES-256 verschlüsselt ist und in dem man seine Dateien und Verzeichnisse per drag-and-drop ‘sichern’ kann.

Auf der linken Seite befindet sich noch eine Sidebar, die neben dem Tresor, auch (Mavericks-)Tags und abgelegte Notizen anzeigt.

Bildschirmfoto 2014-04-10 um 22.10.54-minishadow

Hier ist auch das Anlegen von Unterkategorien und das Taggen von Dateien möglich.

Außerdem sieht man rechts neben den im Tresor befindlichen Dateien und Verzeichnissen einen Schieberegler, der zwischen Hidden und Visible umschalten kann. Das hat den Hintergrund, dass die im Tresor befindlichen Dateien und Verzeichnisse nicht im Originalverzeichnis verschlüsselt und versteckt werden, sondern als Duplikat in den angelegten Tresor kopiert werden, der unter ~/Library/Containers/com.macpaw.Hider2 zu finden ist.

Die Originaldatei/-verzeichnis bleibt also völlig unberührt, kann aber über diesen Schieberegler in der Hidden-Stellung im Dateisystem versteckt werden und ist so weder im Finder, noch mit Spotlight auffindbar. Stellt man den Schalter zurück auf Visible wird die Datei oder das Verzeichnis im Originalverzeichnis wieder angezeigt.

Main screen-minishadow

Für Daten auf externen Laufwerken oder in der Cloud, die ebenfalls mit Hider 2 verschlüsselt werden können, gilt genau die gleiche Arbeitsweise. Für Daten von externen Laufwerken muss man sich nur merken, dass der Tresor auch extern (unter Local Vault werden die externen Vaults aufgelistet) und nicht im oben genannten Verzeichnis liegt.

Auch Notizen werden ähnlich abgehandelt, mit dem Unterschied, dass diese ausschließlich in der App zu finden sind und sie nichts mit den OS X Notizen zu tun haben.

 Bildschirmfoto 2014-04-30 um 14.50.19 Secure Notes-minishadow

Des Weiteren kann man über das (Dienste-)Kontextmenü im Finder Dateien oder Verzeichnisse mit Hider 2 verstecken und es gibt ein zuschaltbares Icon in der OS X Menüleiste.

Darüber lassen sich Dateien oder Verzeichnisse suchen und man kann hier sehr schnell über einen Schieberegler die Sichtbarkeit im Finder steuern. Notizen werden hier leider nicht angezeigt.

 Bildschirmfoto 2014-04-10 um 22.10.55-minishadow   Bildschirmfoto 2014-04-30 um 14.50.16-minishadow

Einstellungen

Hier kann man neben dem Menüleisten-Icon, auch das Master-Passwort oder Shortcuts ändern.

Bildschirmfoto 2014-04-30 um 14.50.12-minishadowBildschirmfoto 2014-04-30 um 14.50.14-minishadow

Preise und Verfügbarkeit

Hider 2 wird ausschließlich über den Mac App Store für derzeit 17,99 Euro verkauft. Eine kostenlose Testversion gibt es leider nicht.

Zur Installation wird OS X 10.8 Mountain Lion vorausgesetzt.

Hider 2: Encrypt and Password Protect Files (AppStore Link) Hider 2: Encrypt and Password Protect Files
Hersteller: MacPaw Inc.
Freigabe: 4+
Preis: 19,99 € Download


FAZIT

Generell muss ich sagen, dass mir die flache Oberfläche von Hider 2 sehr gut gefällt und die App stabil läuft. Auch der Workflow ist sehr eingängig und sollte daher von jedem verstanden werden.

Genau dieser Workflow bereitet mir aber auch etwas Bauchschmerzen und stellt im Grunde genommen ein großes Problem da. Ich habe quasi eine doppelte Datenhaltung, was gerade bei kleinen SSDs und sehr großen Tresoren (ich rede von mehreren Gigabytes) kritisch werden kann. Apropos mehrere Gigabyte… ich hatte im Vorfeld dieses Reviews immer mal wieder gelesen, dass Hider 2 Probleme bei Tresoren, die größer als 2 GB sind, haben soll und die verschlüsselten Daten ggf. unbrauchbar werden. Dieses Phänomen konnte ich in mehreren Tests nicht feststellen.

Davon ab fehlt momentan noch eine Quicklook Funktion, um die verschlüsselten Daten schnell über Hider 2 anzusehen und eine deutsche Lokalisierung der App.

Wer aber eine große Festplatte hat und viele Daten sicher aufbewahren muss, ist mit Hider 2 ganz gut bedient. Alternativen sind in TrueCrypt oder Knox zu finden.

aptgetupdateDE Wertung: (7,5/10)

Verlosung

Entwickler MacPaw Inc. hat aptgetupdateDE für ein Gewinnspiel drei Mac App Store Promo Codes von Hider 2 zur Verfügung gestellt.

Zur Teilnahme kommt erneut Rafflecopter zum Einsatz, bei dem folgende Lose enthalten sind:

  • Frage beantworten
  • aptgetupdateDE bei Facebook folgen
  • aptgetupdateDE bei Twitter folgen

Die Auslosung findet kommenden Montag, den 05.05.2014, statt. Viel Glück!

a Rafflecopter giveaway