Was ist PGPdisk
Mit PGPdisk kann innerhalb eines Verzeichnisses der Festplatte
oder eines externen Speichermediums eine Datei angelegt werden,
in der als "Container" Daten aller Art gespeichert
und Programme installiert werden können.
Man kann eine PGPdisk auch in einer weiteren PGPdisk speichern,
eine Komprimierung einer PGPdisk ist nicht möglich, aber die
einzelnen Daten einer PGPdisk können komprimiert in ihr gespeichert
werden.
Alle Daten in der Datei sind so lange mit dem CAST
Algorithmus verschlüsselt, so lange sie nicht benutzt werden.
Zur Benutzung der Containerdatei (PGPdisk volume) und mit ihr
die darin gespeicherten Daten gibt der Besitzer seine Passphrase
(Master Passphrase) ein und die Containerdatei wird als zusätzliches,
virtuelles Laufwerk in den Verzeichnisbaum "eingehängt"
(mounted).
Danach kann das PGPdisk Laufwerk wie jedes andere Laufwerk auch
benutzt und mit den Daten alle bekannten Dateioperationen wie
kopieren, löschen und speichern durchgeführt werden, z. B. können
auch weitere Verzeichnisse innerhalb des PGPdisk Laufwerks angelegt
werden.
Nach der Benutzung wird die Containerdatei wieder aus dem Verzeichnisbaum
ausgehängt (unmounted), ein Zugriff auf die Daten ist nur wieder
nach Eingabe der Passphrase möglich.
Um weiteren Personen Zugriff auf die PGPdisk zu ermöglichen,
können bis zu sieben weitere Passphrases (Alternative Passphrases)
vergeben und/oder beliebig viele Public
Keys Passphrases hinzugefügt werden.
Eine PGPdisk Containerdatei selbst ist nicht vor einem löschenden
Zugriff geschützt, d. h. jeder, der Zugriff auf die PGPdisk
Containerdatei hat, kann sie auch löschen (es sei denn man benutzt
ein Betriebssystem, mit dem man Zugriffsberechtigungen vergeben
kann) !
Ausserdem gelten für PGPdisk die gleichen Sicherheitsvorkehrungen,
die man auch bei PGP 5/6 zusätzlich treffen sollte.
Eine PGPdisk Datei kann per E-mail an einen Mailpartner versendet
oder auf einen externen Datenträger kopiert werden, nach Speicherung
der PGPdisk Datei auf dem Zielrechner kann diese genauso aktiviert
(mounted) und nach Eingabe der Passphrase benutzt werden wie
auf dem Heimatrechner.
Wichtiger Hinweis:
Im Readme zur PGP 6.02 DH Desktop Security Version teilt
NAI mit, dass es in PGPdisk Version 1.0, wie es in PGPdisk
1.0 und den PGP 6.0 Programmversionen enthalten ist, ein Sicherheitsleck
gibt, die anderen Bestandteile der PGP Pakete sind nicht davon
betroffen.
Die PGPdisk Version in PGP 6.02 DH Desktop Security behebt
das Sicherheitsleck.
Der Nachteil besteht darin, dass man PGP 6.02 DH installieren
muss, das eine Benutzung von RSA-Keys nur über die Microsoft
Cryptographic API des 128-bit Securitypatches für den Internet
Explorer zulässt und die zulässige Keygrösse auf 2048 bit
Keys beschränkt ist.
Eine Erzeugung von RSA Keys ist mit der PGP Version 6.02 DH
Desktop Security gar nicht möglich.
Um trotzdem volle RSA Funktionalität mit der PGP 6.02 DH Desktop
Security Version zu erhalten, benötigt man ein RSA Add-on,
das zur Zeit nicht "frei" erhältlich ist.
Mit dem neuen PGPdisk kommt ein Konvertierprogramm, dass automatisch
vorhandene PGPdisks in das neue Format umwandelt - alternative
Passphrases und Public Keys gehen dabei verloren, die Masterpassphrase
und ADKs (!) nicht.
Von einer Benutzung von PGPdisk 1.0 muss abgeraten werden
Alternativen zu PGPdisk
Installation und Starten von PGPdisk
PGPdisk ist Bestandteil der kommerziellen Versionen (Business Security, Personal & Desktop Security) ab PGP 6.0 und kann direkt bei der Installation als Option ausgewählt werden.Der Aufruf von PGPdisk erfolgt entweder über das PGPtray Icon, Eintrag "Launch PGPdisk" oder über das Startmenü "PGPdisk"
Voreinstellungen
werden über den Button "Prefs" aufgerufenAuto unmount on computer sleep (nicht bei Win NT)
bei Computern mit "Sleep Modus" werden alle aktivierten (mounted) PGPdisks automatisch deaktiviert (unmounted), wenn der Computer in diesen Betriebszustand übergeht.Auto unmount after 1 - 999 minutes of inactivity
bleibt der Computer die Dauer der angegebenen Minuten inaktiv, werden alle aktivierten (mounted) PGPdisks automatisch deaktiviert (unmounted).Unmount hotkey
nach Eingabe der gewählten Hotkeykonstellation werden alle aktivierten (mounted) PGPdisks automatisch deaktiviert (unmounted).Prevent sleep if any PGPdisk could not be unmounted (nicht bei Win NT)
wenn PGPdisks nicht deaktiviert (unmounted) werden können, geht der Computer auch nicht in den "Sleep Modus".Hinweise:
- alle Optionen können zugleich konfiguriert werden
- die automatischen Deaktivierungsfunktionen können nicht ausgeführt werden, wenn und so lange Daten einer PGPdisk in Benutzung sind
Der Umgang mit einer PGPdisk
Eine PGPdisk herstellen
- PGPdisk aufrufen
- Button "New" anklicken, wodurch der "New PGPdisk wizard" gestartet wird
- Button "Weiter"
- Dateiname vergeben und Verzeichnis der Speicherung auswählen
- unter "PGPdisk Size" die Grösse der PGPdisk in Kilobyte, Megabyte oder Gigabyte angeben (der aktuell freie Speicherplatz ist im Hinweistext oberhalb angegeben)
- über "PGPdisk Drive Letter" den Laufwerksbuchstaben vergeben, unter dem die PGPdisk später in den Verzeichnisbaum eingehängt werden soll
- Button "Weiter"
- Passphrase mit einer Mindestzeichenlänge von 8 Zeichen eingeben, ist die Option "Hide Typing" aktiviert, wird die eingetippte Passphrase nicht angezeigt
- um Zufallsdaten zur Verschlüsselung der PGPdisk zu erzeugen, die Maus so lange klickend über das Fenster bewegen, bis die Balkenanzeige auf 100% steht
- 2x Button "Weiter"
- die PGPdisk wurde erstellt und unter dem Laufwerksbuchstaben eingehängt
- die PGPdisk muss anschliessend mit FAT/NTFS formatiert werden
- PGPdisk einsatzbereit
Heinweis:
Wenn ein PGPdisk Volume unter Windows 98 erstellt wurde, das sofort an einen anderen Ort kopiert werden soll, muss Windows 98 zuerst rebootet werden.
Eine PGPdisk mounten
- alle geöffneten Dateien oder Programme der PGPdisk schliessen
- PGPdisk aufrufen
- Button "Mount" anklicken
- Passphrase eingeben
- Laufwerksbuchstaben übernehmen oder aus der Liste auswählen
- Checkbox "Read-only" aktivieren, wenn ein nur lesender Zugriff ermöglich werden soll, bzw. wenn andere Benutzer des Computers (lesenden) Zugriff auf die Daten der PGPdisk erhalten sollen
- OK
Eine PGPdisk unmounten
- PGPdisk aufrufen
- Button Unmount anklicken oder
- im Explorer auf das Laufwerksicon klicken und im Kontextmenü über PGPdisk
- Unmount PGPdisk anklicken
Passphrase- und Public Key Management
Alternative Passphrases
Einer PGPdisk können bis zu sieben weitere, alternative Passphrases zugeordnet werden, um sieben weiteren Personen den Zugriff zu ermöglichen, jedoch kann nur der Inhaber der Master Passphrase alternative Passphrases anlegen. Der Inhaber der alternativen Passphrase kann seine Passphrase ändern.Vorgehensweise:
- betreffende PGPdisk deaktivieren, sollte sie gemountet sein
- PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
- "Add Passphrase" über das "File" Menü auswählen
- PGPdisk Containerdatei öffnen
- Master Passphrase eingeben
- 2 x die alternative Passphrase eingeben
- Checkbox "Read-only" aktivieren, wenn der Benutzer mit Passphrase XY einen nur lesenden Zugriff auf die PGPdisk bekommen soll
Passphrase ändern
- betreffende PGPdisk deaktivieren, sollte sie gemountet sein
- PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
- "Change Passphrase" über das "File" Menü auswählen
- PGPdisk Containerdatei öffnen
- alte Master Passphrase oder Alternative Passphrase eingeben
- neue Master Passphrase oder Alternative Passphrase eingeben
Alternative Passphrase löschen
- betreffende PGPdisk deaktivieren, sollte sie gemountet sein
- PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
- "Remove Passphrase" über das "File" Menü auswählen
- PGPdisk Containerdatei öffnen
- zu löschende Alternative Passphrase eingeben
Alle alternativen Passphrases löschen
- betreffende PGPdisk deaktivieren, sollte sie gemountet sein
- PGPdisk aufrufen
- Shift-Key drücken und gedrückt halten
- "Remove Passphrase" über das "File" Menü auswählen
- Abfragedialog bestätigen oder
- Explorer aufrufen und Verzeichnis mit PGPdisk öffnen
- Shift-Key drücken und gedrückt halten
- "Remove Passphrase" über den PGPdisk Eintrag des Kontextmenüs der PGPdisk auswählen
- Abfragedialog bestätigen
Public Key Passphrases zuordnen
Vorgehensweise:- betreffende PGPdisk deaktivieren, sollte sie gemountet sein
- PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
- "Add Public Keys" über das "File" Menü auswählen
- PGPdisk Containerdatei öffnen
- Master Passphrase eingeben
- im Recipient Selection Dialog Fenster alle gewünschten Public Keys in das untere Fenster ziehen
- Checkbox "Read-only" aktivieren, wenn der Benutzer mit Passphrase XY einen nur lesenden Zugriff auf die PGPdisk bekommen soll
- OK
Public Keys Passphrases löschen
- betreffende PGPdisk deaktivieren, sollte sie gemountet sein
- PGPdisk aufrufen oder im Explorer den PGPdisk Eintrag des Kontextmenüs der PGPdisk Datei
- "Remove Public Keys" über das "File" Menü auswählen
- PGPdisk Containerdatei öffnen
- Master Passphrase eingeben
- im Recipient Selection Dialog Fenster alle gewünschten Public Keys im unteren Fenster in das obere Fenster ziehen
- OK
Wenn ein Split Key einer
PGPdisk hinzugefügt wird, muss vor der Benutzung des Split
Keys zur Aktivierung der PGPdisk der Split Key zuerst über
PGPkeys wieder zusammengefügt werden.
Die Benutzung eines Split Keys ist also im Zusammenhang mit
PGPdisk nicht praktikabel.
Wenn PGPdisk Teil einer PGP 6 Clientversion ist, die von einem
Administrator für die Benutzer erstellt wurde, kann dieser wie für
das übrige PGP Programm auch für PGPdisk einen ADK/CMRK-Key bestimmen.
Nähere Informationen zu ADK/CMRK unter Abschaffung
der "Privacy" bei PGP 5/6 und die Diskussion um GAK, CMRK, ARR,
MRK