PGP 6.5.X oder "Die neuen Funktionen der PGP 6.5.X Versionen"
Dieser Text geht vom Einsatz der PGP Version 6.5.X Personal Privacy aus.Erstellung von selbstentschlüsselnden Archiven (SDA)
Neben den bekannten Verschlüsselungswegen ist mit PGP 6.5.X eine
neue Verschlüsselungsform eingeführt worden.
Über die SDA´s werden einzelne Dateien oder Verzeichnisse
nach Eingabe eines Passwortes konventionell (also ohne den
Public Key des Empfängers) verschlüsselt und komprimiert.
Die so behandelten Daten liegen danach als ausführbare Archivdatei
vor, deren Inhalte (Dateien und Verzeichnisse) nach Eingabe
des Passwortes entschlüsselt und dekomprimiert werden.
Dieser Verschlüsselungsweg eignet sich zur Kommunikation mit
Empfängern, die selbst kein PGP einsetzen. Natürlich setzt
der Gebrauch von SDA´s voraus, dass das Passwort vorher über
einen "sicheren Kanal" ausgetauscht wurde.
Welcher Algorithmus dabei zum Einsatz kommt, ist in der Dokumentation
nicht angegeben.
Im Manual zur MacOS Version heisst es aber:
"The self-decrypting archives created on a Mac with work on either PowerPC and 68K Macs, and are encrypted using the CAST algorithm."
Anmerkung:
Man sollte sich darüber klar sein, dass nicht jedes PGP Archiv,
das man als E-Mail Attachement erhält, wirklich ein PGP Archiv
ist, sondern auch einen Virus enthalten kann: Eine Datei im
verschlüsselten Archiv kann mit einem Virus infiziert sein,
das SDA als ausführbare Datei kann selbst infiziert sein oder
über die Extraktion wird ein ausführbares Virus auf dem Computer
installiert.
Deshalb erscheint es ratsam, vor und nach dem Öffnen zuerst
auf Viren zu scannen, oder ein Attachement, das als PGP Archiv
daherkommt, aber aus unsicherer, bzw. unbekannter Quelle stammt,
erst gar nicht zu öffnen.
Vorgehensweise:
- über die PGPtools oder das Explorerkontextmenü PGP die Funktion "encrypt" aufrufen
- Checkbox "Self Decrypting Archive" aktivieren (dabei wird automatisch auch die Checkbox Conventional Encryption aktiviert und das Empfängerauswahlfenster abgeblendet)
- Nach Bestätigung mit "OK" 2x das gewählte Passwort eingeben
Hot Keys
In den Optionen können Hotkeykombinationen für die Funktion
Use current window (die Inhalte des aktiven Fensters eines
Programmes werden entschlüsselt, verschlüsselt und/oder signiert)festgelegt
werden.
Die gleichen Funktionen sind nach wie vor über PGPtray zu
erreichen.
Bevorzugt man das Caching der Passphrase über einen längeren Zeitraum, kann man auch eine Hotkeykombination für das Leeren des Passphrase-Speichers eingeben.
PGPtray Options/Hotkeys:
Purge passhrase caches | Passphrase Speicher leeren |
Encrypt current window | Inhalt des aktiven Fensters verschlüsseln |
Sign current window | Inhalt des aktiven Fensters signieren |
Encrypt & Sign current window | Inhalt des aktiven Fensters verschlüsseln & signieren |
Decrypt & Verify current window | Inhalt des aktiven Fensters entschlüsseln und überprüfen |
Biometrische Fingerprint Wortliste
Der Fingerprint eines Public Keys kann als Hexadezimalwert
oder als Wortliste dargestellt werden.
Phil Zimmermann hat dafür den Begriff "Biometrische Wortliste"
gewählt, in Anlehnung an den Gebrauch von Wörtern im militärischen
Bereich zur Übermittlung von Informationen und der biometrischen
Identifizierungmethoden wie Irisscan, Fingerabdruck, Stimmenprofil
und Gesichtsgeometrie.
Der Zweck liegt darin, die Fehleranfälligkeit bei dem Austausch
der Fingerprints durch Vorsagen der Hexadezimalzahlen zu minimieren,
da Wörter eindeutiger seien als eine alphanumerische Reihe.
Dementsprechend gibt es 256 verschiedene Wörter für 255 verschiedene
Bytekombinationen.
Die Anzeige der "Biometrischen" Fingerprintwortliste
erreicht man über den Aufruf der Key Properties.
Löschung des freien Festplattenplatzes per Zeitplan
Wie bisher kann man Daten mittels PGP über das Explorerkontextmenü
und über die PGPtools löschen.
Neu hinzugekommen ist die Möglichkeit, das Löschen der freien
Bereiche einer Fetsplatte oder Partition über den Taskplaner
zu automatisieren.
Vorgehensweise:
- Aufruf der PGPtools
- "Freespace Wipe" anklicken
- in der Laufliste das Laufwerk ("Wipe drive:") und die Anzahl der Überschreibungsrunden ("passes") angeben
- Button "Schedule" anklicken oder
Button "Beginn Wipe", wenn eine einmalige Löschung vorgenommen werden soll - den Zeitplan nach eigenen Bedürfnissen konfigurieren
Anmerkung:
PGP erlaubt bis zu 32 Runden, d. h. der freie Bereich wird
32 x überschrieben.
Laut PGP sei bekannt, dass Firmen, die sich mit der Wiederherstellung
von Daten beschäftigen, Daten rekonstruieren können, die bis
zu 9x überschrieben wurden, so dass man hier einen Wert >
9 eintragen sollte.
Während des Löschens und Überschreibens müssen alle anderen
Applikationen geschlossen werden, da der Free Space Wipeprozess
durch andere Schreibprozess anderer Applikationen zurückgesetzt
wird.
Um eine 100% Löschung des Datenbestandes zu erreichen, z.
B. wenn die Festplatte abgegeben wird, sollte man die grösste
Rundenzahl wählen, zusätzlich ein weiteres Löschprogramm anwenden
und abschliessend die Einträge der Dateinamen löschen.
Soll die Festplatte entsorgt werden, ist ebenfalls so zu verfahren,
zusätzlich kann man die Festplatte noch mit einem starken
Magneten behandeln, zerkratzen, einstampfen, kleinraspeln
und einschmelzen (wie es die NSA mit ihren Festplatten macht);-)
Virtual Private Network (VPN)
Ein virtuelles privates Netzwerk ermöglicht einem Benutzer
von einer privaten Lokalität über das Internet eine sichere
Verbindung ("Secure Association" SA) zu anderen
Benutzern oder Firmen und Organisationen in der Art herzustellen,
als würde sich der Benutzer im Intranet einer Firma befinden
oder er und ein weiterer Benutzer hätten ein eigenes Intranet
aufgebaut und gehörten zum gleichen Netzwerk.
Das Internet wird quasi zur Auslagerung des firmeninternen
Netzwerkes, man könnte auch sagen, im Netz des Internets als
Transportmedium wird für diese Verbindung ein zweites, temporäres
Netz angelegt, in dem die zwei Rechner zweier Benutzer, der
Rechner eines Benutzer und der Rechner eines Intranetzes oder
die Rechner zweier verschiedener Intranets kommunizieren.
Das Besondere am VPN ist, dass für diese Verbindung zwei spezielle
Protokolle eingesetzt werden.
Das erste Protokoll heisst "IPsec (Internet Protokol
Security)-Protokoll", das sich wiederum aus dem Encapsulating
Security Payload (ESP) und Authenticated Header (AH) Protokoll
zusammensetzt.
Der sogenannte Authentication Header (AH) definiert dabei
den Hash (kryptografisch gebildete Prüfsumme)des gesammten
IP-Paketes zur Itegritätskontrolle, während der Encapsulating
Security Payload Header (ESP) die Art und Weise definiert,
wie die eigentlichen Daten verschlüsselt zu übertragen sind.
ESP erlaubt den Tunnel Mode und den Transport Mode.
Beim Tunnel Mode wird das gesamte IP-Paket inklusive IP-Header
des eigentlichen Zielrechners verschlüsselt dem ESP-Header
angehängt, der äussere Header trägt dabei IP-Adresse eines
Gatewayrechners, so dass die IP Pakete durch den Gateway zum
Zielrechner wie durch einen verschlüsselten Tunnel übertragen
werden. Beim Transport Mode werden nur TCP,UDP und ICMP verschlüsselt
dem Header angehängt.
Das zweite Protokoll heisst "Internet Key Exchange (IKE)
Protokoll", in dem festgelegt wird, welche Algorithmen
und Schlüssel zur wechselseitigen Authentifizierungs- und
Schlüsselaustauschphase und zur anschliessenden Verschlüsselung
der zu übertragenden Nutzungsdaten verwendet werden.
"PGPnet" als VPN basiert auf dem IPsec- und IKE-Protokoll
und stellt gelichzeitig unter der gleichen Bezeichnung "PGPnet"
die Applikation zur Verwaltung der VPNs dar.
Voraussetzung zur Nutzung von PGPnet für Einzelbenutzer mit
Einwahlverbindung und dynamischer IP-Adresse ist die Kenntnis
der eigenen wie auch der IP-Adresse des Zielnetzes, Gateways
oder Kommunikationspartners.
PGPnet arbeitet mit Gauntlet VPN, Cisco Routern (ab Cisco IOS 12.0(4) mit IPSec TripleDES) und Linux FreeS/WAN zusammen und unterstützt die Verwendung von OpenPGP Keys und X.509 Zertifikaten zur Authentifizierung.