DEUTSCHE PGP ANLEITUNG
 

Was ist PGPdisk

Mit PGPdisk kann innerhalb eines Verzeichnisses der Festplatte oder eines externen Speichermediums eine Datei angelegt werden, in der als "Container" Daten aller Art gespeichert und Programme installiert werden können.
Man kann eine PGPdisk auch in einer weiteren PGPdisk speichern, eine Komprimierung einer PGPdisk ist nicht möglich, aber die einzelnen Daten einer PGPdisk können komprimiert in ihr gespeichert werden.
Alle Daten in der Datei sind so lange mit dem CAST Algorithmus verschlüsselt, so lange sie nicht benutzt werden.
Zur Benutzung der Containerdatei (PGPdisk volume) und mit ihr die darin gespeicherten Daten gibt der Besitzer seine Passphrase (Master Passphrase) ein und die Containerdatei wird als zusätzliches, virtuelles Laufwerk in den Verzeichnisbaum "eingehängt" (mounted).
Danach kann das PGPdisk Laufwerk wie jedes andere Laufwerk auch benutzt und mit den Daten alle bekannten Dateioperationen wie kopieren, löschen und speichern durchgeführt werden, z. B. können auch weitere Verzeichnisse innerhalb des PGPdisk Laufwerks angelegt werden.
Nach der Benutzung wird die Containerdatei wieder aus dem Verzeichnisbaum ausgehängt (unmounted), ein Zugriff auf die Daten ist nur wieder nach Eingabe der Passphrase möglich.
Um weiteren Personen Zugriff auf die PGPdisk zu ermöglichen, können bis zu sieben weitere Passphrases (Alternative Passphrases) vergeben und/oder beliebig viele Public Keys Passphrases hinzugefügt werden.
Eine PGPdisk Containerdatei selbst ist nicht vor einem löschenden Zugriff geschützt, d. h. jeder, der Zugriff auf die PGPdisk Containerdatei hat, kann sie auch löschen (es sei denn man benutzt ein Betriebssystem, mit dem man Zugriffsberechtigungen vergeben kann) !
Ausserdem gelten für PGPdisk die gleichen Sicherheitsvorkehrungen, die man auch bei PGP 5/6 zusätzlich treffen sollte.
Eine PGPdisk Datei kann per E-mail an einen Mailpartner versendet oder auf einen externen Datenträger kopiert werden, nach Speicherung der PGPdisk Datei auf dem Zielrechner kann diese genauso aktiviert (mounted) und nach Eingabe der Passphrase benutzt werden wie auf dem Heimatrechner.

Wichtiger Hinweis:

Im Readme zur PGP 6.02 DH Desktop Security Version teilt NAI mit, dass es in PGPdisk Version 1.0, wie es in PGPdisk 1.0 und den PGP 6.0 Programmversionen enthalten ist, ein Sicherheitsleck gibt, die anderen Bestandteile der PGP Pakete sind nicht davon betroffen.
Die PGPdisk Version in PGP 6.02 DH Desktop Security behebt das Sicherheitsleck.
Der Nachteil besteht darin, dass man PGP 6.02 DH installieren muss, das eine Benutzung von RSA-Keys nur über die Microsoft Cryptographic API des 128-bit Securitypatches für den Internet Explorer zulässt und die zulässige Keygrösse auf 2048 bit Keys beschränkt ist.
Eine Erzeugung von RSA Keys ist mit der PGP Version 6.02 DH Desktop Security gar nicht möglich.
Um trotzdem volle RSA Funktionalität mit der PGP 6.02 DH Desktop Security Version zu erhalten, benötigt man ein RSA Add-on, das zur Zeit nicht "frei" erhältlich ist.
Mit dem neuen PGPdisk kommt ein Konvertierprogramm, dass automatisch vorhandene PGPdisks in das neue Format umwandelt - alternative Passphrases und Public Keys gehen dabei verloren, die Masterpassphrase und ADKs (!) nicht.

Von einer Benutzung von PGPdisk 1.0 muss abgeraten werden

Alternativen zu PGPdisk

 

Installation und Starten von PGPdisk

PGPdisk ist Bestandteil der kommerziellen Versionen (Business Security, Personal & Desktop Security) ab PGP 6.0 und kann direkt bei der Installation als Option ausgewählt werden.
Der Aufruf von PGPdisk erfolgt entweder über das PGPtray Icon, Eintrag "Launch PGPdisk" oder über das Startmenü "PGPdisk"  

Voreinstellungen

werden über den Button "Prefs" aufgerufen

Auto unmount on computer sleep (nicht bei Win NT)

bei Computern mit "Sleep Modus" werden alle aktivierten (mounted) PGPdisks automatisch deaktiviert (unmounted), wenn der Computer in diesen Betriebszustand übergeht.

Auto unmount after 1 - 999 minutes of inactivity

bleibt der Computer die Dauer der angegebenen Minuten inaktiv, werden alle aktivierten (mounted) PGPdisks automatisch deaktiviert (unmounted).

Unmount hotkey

nach Eingabe der gewählten Hotkeykonstellation werden alle aktivierten (mounted) PGPdisks automatisch deaktiviert (unmounted).

Prevent sleep if any PGPdisk could not be unmounted (nicht bei Win NT)

wenn PGPdisks nicht deaktiviert (unmounted) werden können, geht der Computer auch nicht in den "Sleep Modus".

Hinweise:

  • alle Optionen können zugleich konfiguriert werden
  • die automatischen Deaktivierungsfunktionen können nicht ausgeführt werden, wenn und so lange Daten einer PGPdisk in Benutzung sind
 

Der Umgang mit einer PGPdisk

Eine PGPdisk herstellen

  • PGPdisk aufrufen
  • Button "New" anklicken, wodurch der "New PGPdisk wizard" gestartet wird
  • Button "Weiter"
  • Dateiname vergeben und Verzeichnis der Speicherung auswählen
  • unter "PGPdisk Size" die Grösse der PGPdisk in Kilobyte, Megabyte oder Gigabyte angeben (der aktuell freie Speicherplatz ist im Hinweistext oberhalb angegeben)
  • über "PGPdisk Drive Letter" den Laufwerksbuchstaben vergeben, unter dem die PGPdisk später in den Verzeichnisbaum eingehängt werden soll
  • Button "Weiter"
  • Passphrase mit einer Mindestzeichenlänge von 8 Zeichen eingeben, ist die Option "Hide Typing" aktiviert, wird die eingetippte Passphrase nicht angezeigt
  • um Zufallsdaten zur Verschlüsselung der PGPdisk zu erzeugen, die Maus so lange klickend über das Fenster bewegen, bis die Balkenanzeige auf 100% steht
  • 2x Button "Weiter"
  • die PGPdisk wurde erstellt und unter dem Laufwerksbuchstaben eingehängt
  • die PGPdisk muss anschliessend mit FAT/NTFS formatiert werden
  • PGPdisk einsatzbereit
Heinweis:
Wenn ein PGPdisk Volume unter Windows 98 erstellt wurde, das sofort an einen anderen Ort kopiert werden soll, muss Windows 98 zuerst rebootet werden.

Eine PGPdisk mounten

  • alle geöffneten Dateien oder Programme der PGPdisk schliessen
  • PGPdisk aufrufen
  • Button "Mount" anklicken
  • Passphrase eingeben
  • Laufwerksbuchstaben übernehmen oder aus der Liste auswählen
  • Checkbox "Read-only" aktivieren, wenn ein nur lesender Zugriff ermöglich werden soll, bzw. wenn andere Benutzer des Computers (lesenden) Zugriff auf die Daten der PGPdisk erhalten sollen
  • OK
oder direkt im Explorer die PGPdisk Datei öffnen und nach obiger Vorgehensweise vorgehen

Eine PGPdisk unmounten

  • PGPdisk aufrufen
  • Button Unmount anklicken oder
  • im Explorer auf das Laufwerksicon klicken und im Kontextmenü über PGPdisk
  • Unmount PGPdisk anklicken
 

Passphrase- und Public Key Management

Alternative Passphrases

Einer PGPdisk können bis zu sieben weitere, alternative Passphrases zugeordnet werden, um sieben weiteren Personen den Zugriff zu ermöglichen, jedoch kann nur der Inhaber der Master Passphrase alternative Passphrases anlegen. Der Inhaber der alternativen Passphrase kann seine Passphrase ändern.

Vorgehensweise:

  • betreffende PGPdisk deaktivieren, sollte sie gemountet sein
  • PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
  • "Add Passphrase" über das "File" Menü auswählen
  • PGPdisk Containerdatei öffnen
  • Master Passphrase eingeben
  • 2 x die alternative Passphrase eingeben
  • Checkbox "Read-only" aktivieren, wenn der Benutzer mit Passphrase XY einen nur lesenden Zugriff auf die PGPdisk bekommen soll

Passphrase ändern

  • betreffende PGPdisk deaktivieren, sollte sie gemountet sein
  • PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
  • "Change Passphrase" über das "File" Menü auswählen
  • PGPdisk Containerdatei öffnen
  • alte Master Passphrase oder Alternative Passphrase eingeben
  • neue Master Passphrase oder Alternative Passphrase eingeben

Alternative Passphrase löschen

  • betreffende PGPdisk deaktivieren, sollte sie gemountet sein
  • PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
  • "Remove Passphrase" über das "File" Menü auswählen
  • PGPdisk Containerdatei öffnen
  • zu löschende Alternative Passphrase eingeben

Alle alternativen Passphrases löschen

  • betreffende PGPdisk deaktivieren, sollte sie gemountet sein
  • PGPdisk aufrufen
  • Shift-Key drücken und gedrückt halten
  • "Remove Passphrase" über das "File" Menü auswählen
  • Abfragedialog bestätigen oder
  • Explorer aufrufen und Verzeichnis mit PGPdisk öffnen
  • Shift-Key drücken und gedrückt halten
  • "Remove Passphrase" über den PGPdisk Eintrag des Kontextmenüs der PGPdisk auswählen
  • Abfragedialog bestätigen

Public Key Passphrases zuordnen

Vorgehensweise:
  • betreffende PGPdisk deaktivieren, sollte sie gemountet sein
  • PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
  • "Add Public Keys" über das "File" Menü auswählen
  • PGPdisk Containerdatei öffnen
  • Master Passphrase eingeben
  • im Recipient Selection Dialog Fenster alle gewünschten Public Keys in das untere Fenster ziehen
  • Checkbox "Read-only" aktivieren, wenn der Benutzer mit Passphrase XY einen nur lesenden Zugriff auf die PGPdisk bekommen soll
  • OK

Public Keys Passphrases löschen

  • betreffende PGPdisk deaktivieren, sollte sie gemountet sein
  • PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
  • "Remove Public Keys" über das "File" Menü auswählen
  • PGPdisk Containerdatei öffnen
  • Master Passphrase eingeben
  • im Recipient Selection Dialog Fenster alle gewünschten Public Keys im unteren Fenster in das obere Fenster ziehen
  • OK
Hinweise:

Wenn ein Split Key einer PGPdisk hinzugefügt wird, muss vor der Benutzung des Split Keys zur Aktivierung der PGPdisk der Split Key zuerst über PGPkeys wieder zusammengefügt werden.
Die Benutzung eines Split Keys ist also im Zusammenhang mit PGPdisk nicht praktikabel.

Wenn PGPdisk Teil einer PGP 6 Clientversion ist, die von einem Administrator für die Benutzer erstellt wurde, kann dieser wie für das übrige PGP Programm auch für PGPdisk einen ADK/CMRK-Key bestimmen.
Nähere Informationen zu ADK/CMRK unter Abschaffung der "Privacy" bei PGP 5/6 und die Diskussion um GAK, CMRK, ARR, MRK