Archive for Januar 2023

Sicher verschlüsseln in der (Sciebo/Nextcloud/Onedrive/DropBox) Cloud, auf Windows-Shares und auf der lokalen Platte mit Cryptomator


Alle kennen das Problem: Daten austauschen, die vielleicht personenbezogene oder gar besonders schützenswerte Daten enthalten oder einfach nicht für neugierige Augen gedacht sind.

Insbesondere wenn die Dateien groß sind, eignet sich E-Mail gar nicht dafür. Auf Cloudservern kann theoretisch immer der Betreiber die Inhalte sehen und bei den so beliebten Transferverzeichnissen als Windows-Shares kann die ganze Arbeitsgruppe draufschauen. Da kommt Cryptomator ins Spiel. Auch wenn die Download-Seite und Doku nur in Englisch verfügbar sind, ist das das GUI des Programms auch in Deutsch realisiert. Das Open Source (im Github kann man z.B. zur Doku beitragen) Tool Cryptomator verschlüsselt ähnlich wie kommerzielle Alternativen wie Boxcryptor (Boxcryptor ist nur für private Nutzung kostenlos) und Teamdrive (kommerziell und teuer) Daten in Verzeichnissen auf Cloudspeichern (Sciebo, Nextcloud {darüber sogar auf AWS S3 Buckets oder CEPH}, OneDrive) aber auch auf Windows-Shares oder lokalen Platten und USB-Wechseldatenträgern. Das Schöne daran: Das Tool ist für Windows, MacOS, Linux, Android und IOS verfügbar und kostet auch für kommerzielle Nutzung nichts. Unter Windows arbeitet es transparent im Dateimanager und hängt verschlüsselte Ordner nach Eingabe des Schlüssels als neuen Laufwerksbuchstaben ein. Der Betreiber des Cloud-Speichers oder ein Finder eines Wechseldatenträgers (USB-Stick) kommt nicht an die Daten. Microsoft ist aber leider bekannt dafür, dass verschlüsselte Container (um genau so etwas handelt es sich) in Azure in der Vergangenheit gerne mal gelöscht wurden. Für eine Datensicherung sollte man also (wie immer) trotzdem sorgen.
Scheinbar warnt auch neuerdings Ondrive vor Cryptomator-Dateien, weil es sie fälschlicherweise für das Werk eines Verschlüsselungstrojaners hält. Microsoft möchte die dort gespeicherten Daten möglicherweise auch für das Trainig von neuronalen Netzen (KI) verwenden. Diese Warnung kann man also getrost ignorieren.

Cryptomator funktioniert auch wunderbar mit Cloudspeichern, die schon als Verzeichnis in Windows bzw. Linux oder MacOS abgebildet sind, z.B. mit installiertem Sciebo- oder im Nextcloud-Client. Ebenso einfach ist es ein verschlüsseltes Verzeichnis auf dem Windows-Transfer-Share zu erzeugen.

Die oben erwähnten besonders schützenswerten Daten nach DSGVO dürfen übrigens möglicherweise auch verschlüsselt nicht in einer Cloud gespeichert werden. Im Zweifelsfall immer den zuständigen Datenschutzbeauftragten dazu befragen. Wenn das Passwort/der Schlüssel bekannt ist, kann man verteilt mit verschlüsselten Dateien in der Cloud arbeiten.

Aber Achtung: Verschlüsselt heißt hier: Die Daten sind sicher verschlüsselt und lassen sich ohne den Schlüssel nicht wiederherstellen!

Hier mal im Schnelldurchlauf einige Screenshots, aber die Bedienung ist eigentlich sehr intuitiv. So erstellt man ein verschlüsseltes Verzeichnis (in Cryptomator “Tresor” genannt):

2022-09-26 15_40_17-Cryptomator

2022-09-26 15_44_59-Tresor hinzufügen

Benennung ist egal, ich selber benutze aber keine Sonder- und Leerzeichen in Dateinamen (Zwinkern)

2022-09-26 15_48_44-Tresor hinzufügen

Dann wird nach einem Passwort gefragt, das man niemals vergessen sollte (alternativ kann man einen Widerherstellungsschlüssel speichern (default):

2022-09-26 16_03_48-Tresor hinzufügen

Jetzt ist Cryptomator einige Sekunden mit sich selbst beschäftigt.

Dann wird man gebeten das Passwort wieder einzugeben, damit der neu erzeugte Ordner entschlüsselt wird:

2022-09-26 16_04_41-CryptomatorDas Ganze funktioniert mit beliebigen Cloudspreicher, sofern sie transparent in das Dateisystem eingebunden werden.
Nach dem “Entsperren” habe ich ein neues Laufwerk D: wo ich geheime Dinge speichern kann. Wichtig die “Tresor”-Datei liegt weiterhin woanders und dort direkt darf nicht geschrieben werden:

Ordner1

Solange das Verzeichnis nicht wieder gesperrt wird komme ich (und alle Windows-Programme) da dran. Wenn ich wieder im Crytomator sperre (mit Klick auf “sperren”):

2022-09-26 16_13_47-Cryptomator

verschwindet das entschlüsselte Laufwerk D: und die Daten im Ursprungsverzeichnis in der Cloud oder auf dem Share sind so verschlüsselt, dass auch keine Dateinamen zu erkennen sind:

Ordner2Den Schlüssel bitte sicher aufbewahren (Zwinkern). Wenn weg, dann weg.

Allgemein, IT-Sicherheit, Open Source

Freitag, 20. Januar 2023

keine antwort

Okular – PDF-Dokumente datenschutzfreundlich anzeigen, annotieren und digital signieren mit freier Open Source-Software unter Windows und Linux


Aus aktuellem Anlass möchte ich hier ein wenig den freien PDF-Viewer Okular bewerben, der für viele Dinge im Büroalltag nutzbar ist, ohne das personenbezogene Daten bei Adobe für die Adobe-ID abgegeben werden müssen. Hintergrund ist, dass viele Hochschulen nun Verträge mit Adobe abgeschlossen haben, die zwingend eine Adobe-ID erfordern.  Ich selber benutze Okular bei der PDF-Forensik und als PDF-Viewer unter Ubuntu. Besonders gut ist die Unterstützung für digitale Unterschriften in Okular realisiert, was ist Zeiten von Homeoffice sehr praktisch ist. Die PDF-Signaturen sind kompatibel zu denen die wir einsetzen und die Bedienung bei der digitalen Unterschrift ist viel einfacher und weniger krude als beim Adobe-Acrobat.

Ich war ziemlich überrascht, als ich bei einer kurzen Recherche herausgefunden habe, dass dieses großartige Tool auch unter Windows verfügbar ist. Die ganz aktuelle Version von Okular unterstützt nun auch für Windows das Signieren, also das rechtssichere Unterschreiben von PDF-Dokumenten.

Einrichtung des Zertifikats für digitale Unterschriften:

Das persönliche Zertifikat muss einmal eingerichtet werden, was gut funktioniert, wenn bereits ein Firefox oder Thunderbird mit installiertem Zertifikat konfiguriert ist. Diese Erstkonfiguration wird unter „Einstellungen“-„Anzeigemodule einrichten“ –„PDF“ im Feld „Zertifikatsdatenbank“ vorgenommen.

Firefox oder Thunderbird muss zwingend auf dem Rechner installiert sein.Entweder für Firefox oder Thunderbird muss einmal ein persönliches Zertifikat eingerichtet werden.

Zertifikatseinrichtung mit Firefox: https://www.ssc-services.de/wp-content/uploads/2020/12/SSC-SWAN-Kurzanleitung-Zertifikat-Firefox-installieren_DE_20-10-01.pdf

Zertifikatseinrichtung mit Thunderbird: https://www.fh-aachen.de/hochschule/datenverarbeitungszentrale/sicherheit/nutzerzertifikate/nutzerzertifikat-importieren/firefox-thunderbird

Linux:

Okukar ist in den gängigen Linux-Distributionen einfach über den Paketmanager installierbar. Allerdings ist dann, je nach Distribution noch keine Version verfügbar, die auch PDF signieren kann. In diesem Fall schafft die Installation eines Flatpaks Abhilfe:

Beispiel Lubuntu/Ubuntu 20.4LTS:

sudo apt install flatpak

flatpak remote-add –if-not-exists flathub
https://flathub.org/repo/flathub.flatpakrepo

flatpak remote-add –if-not-exists kdeapps –from
https://distribute.kde.org/kdeapps.flatpakrepo

flatpak install kdeapps org.kde.okular

Windows:

Für Windows bekommt man die freie Software ganz einfach aus dem Windows-App-Store:

https://apps.microsoft.com/store/detail/okular/9N41MSQ1WNM8?hl=de-de&gl=de

Einrichtung des Zertifikats für digitale Unterschriften:

Das persönliche Zertifikat muss einmal eingerichtet werden, was gut funktioniert, wenn bereits ein Firefox oder Thunderbird mit installiertem Zertifikat konfiguriert ist. Diese Erstkonfiguration wird unter „Einstellungen“-„Anzeigemodule einrichten“ –„PDF“ im Feld „Zertifikatsdatenbank“ vorgenommen.

Für Firefox-Nutzer:

Das Zertifikat in einer Firefox Installation wird von Okular als Default automatisch gefunden, wenn nur ein Firefox-Profil vorliegt:

Okular_Okular einrichten_mit_firefox

 

Nur für Thunderbird-Nutzer:

Okular_Okular einrichten

(bei mir sind dort zwei Zertifikate zu sehen, da ich mehrere mit unterschiedlichen Zertifikatsketten besitze.)

Das Zertifikat in einer Firefox Installation wird automatisch gefunden, wenn nur ein Firefox-Profil vorliegt.

Falls nur ein Thunderbird benutzt wird, muss nur einmal in Okular unter „Einstellungen“- „ Anzeigemodule einrichten“ das Thunderbird-Profilverzeichnis manuell eingetragen werden:

Window: C:/Users/USERNAME/AppData/Roaming/Thunderbird/Profiles/*******.default-release

Bzw. Linux: ~/.thunderbird/*****.default-release

Nur die Windows-Version muss dann leider einmal neu gestartet werden, damit die Zertifikate sichtbar werden.

Unterschreiben geht dann sehr viel intuitiver als bei Adobe:

Um zu signieren wählt man einfach den Menuepunkt „Extras“-„Digital signieren“ aus, platziert dien Bereich für die Unterschrift aus und klickt ok. Dann öffnet sich ein Dialog zum Speichern des signierten Dokuments.

PDF-Dokumente erzeugen ohne Acrobat

Damit sind meines  Erachtens 90% aller PDF-Workflows an Hochschulen mit freier Software abzudecken. Wenn man PDFs ganz neu erzeugen muss, kann z.B. LibreOffice verwendet werden, oder man verwendet den in Windows mitgelieferten Microsoft Print to PDF-Treiber (Schnellinstallation „Windowstaste+R, optionalfeatures.exe eingeben und „Microsoft Print to PDF“ aktivieren) um PDFs aus Word und Co (dort “Drucken” und als Drucker “Microsoft Print to PDF” wählen) zu erzeugen. Oft ist das bereits konfiguriert, weshalb ich mich frage, wozu so viele Hochschulmitarbeiter einen immerhin kostenpfichtigen Acrobat benötigen.

Den nun überflüssigen Adobe Acrobat DC kann man dann getrost für alle Zeiten deinstallieren.

Allgemein, Datenschutz, Open Source

Freitag, 20. Januar 2023

keine antwort