MeinungSicherheit

Verschlüsselung? Ja bitte! Aber mit Standard-Dateiformaten!

Warum zum Geier kein verschlüsseltes ZIP? Manchmal ist es einfach zum Heulen: Da will man von den Kollegen einfach nur eine verschlüsselte Textdatei bekommen und das ganze endet in jämmerlichem Schmierentheater, als müssten wir ein Sommerloch füllen. Es begann mit einem Verschlüsselungs-Tool wie es für Apple-Volk einfach nur typisch ist, wogte dann drei Stunden lang als Telegram-Diskussion und endete schließlich bei einem Passwort-Cloud-Service. Dabei wollte ich nur eine verschlüsselte Datei ...

Bei der Thematik geht es nicht nur um Verschlüsselung, genauso sind Office-Dateien oder Bilder betroffen. Aber Auslöser war nunmal dieser Crypt-Albtraum und das erwähnte Sowas-geht-nur-mit-Applern Tool bringt es auf den Punkt: Encrypto verschlüsselt Dateien mit AES und erstellt Dateien mit .encrypto-Endung. Dass das Tool null (wirklich: absolut gar keine) Optionen anbietet ist typisch Apple - warum auch den armen Nutzer mit Anpassungsmöglichkeiten drangsalieren. Aber ernsthaft: Supereinfache Verschlüsselung ist eine feine Sache - vor allem besser, als keine! Zwei Dinge sind hier aber nicht akzeptabel. Zum einen möchte ich bei Verschlüsselungswerkzeugen, dass sie jemand überprüft hat, jemand mit Ahnung, jemand, der neutral ist - derlei Evaluationen gibt es teils bei großen proprietären Business-Anwendungen und natürlich bei weit verbreiteten Open-Source-Projekten, bei denen der Quellcode eben offen liegt. Bei Dingern wie Encrypto bleibt Euch meist nichts anderes übrig, als einem eher kleinen, Euch tendenziell nicht bekannten Unternehmen blind zu vertrauen - und den Meinungen von Nutzern, von denen Ihr weder wisst, ob sie echt sind, noch ob sie überhaupt Ahnung haben. Aber das ist eigentlich ein anderes Thema, hier soll es ja um Dateiformate gehen.

Encrypto verschlüsselt mit AES 256 - das ist gut. Gehen wir einfach mal davon aus, dass AES sogar ordentlich implementiert wurde - dann haben wir tatsächlich gut verschlüsselte, sichere Dateien. Aber wie zum Geier soll ich diese öffnen? Klar, mit Encrypto. Nun hat aber kaum jemand Encrypto. Und soll ich jetzt tatsächlich Menschen Dateien schicken, die sie nur mit einem einzigen, nur mäßig vertrauenswürdigen Programm öffnen können? Natürlich nicht. Und da das selbst für manche, die es besser wissen sollten offenbar nicht so natürlich ist, nochmal: NEIN. Nicht, wenn es Formate gibt, die auf offenen Standards basieren. Und was fällt jedem sofort ein, wenn es um den Austausch von Dateien geht? Genau, das gute alte ZIP-Archiv.

Jeder kann ZIPs

Archive im ZIP-Format kann wohl jeder öffnen, zumal Windows, Linuxe und selbst Mac OS schon Werkzeuge dafür mitbringen. Vor allem aber gibt es Dutzende Tools für jedes System, die mit ZIPs zurecht kommen. Ein AES-verschlüsseltes ZIP dürfte niemandem Probleme bereiten. Nun, mir wurde gesagt ZIPs unter Mac OS seien "kacke" und problematisch - ich habe keinen Mac, halte diese Aussage aber dennoch für Humbug, und viele Screenshots im Netz vermitteln auch nicht wirklich den Eindruck, als wäre das Zippen am Mac irgendeine Art von Exkrement oder Raketenphysikfoo. Von mir aus kann man mir auch GPG-Dateien schicken. Der GNU Privacy Guard ist sicherlich eher etwas für technisch versiertere User, aber eben auch sehr universell: Ob Ihr mit Enigmail und Thunderbird E-Mails absichert, Dateien auf der Kommandozeile direkt mit GPG verschlüsselt oder Hilfsprogramme wie Gpg4Win (initiiert vom BSI) nutzt, am Ende kommen Dateien heraus, die sich auf jedem System mit einer riesigen Auswahl an Tools öffnen lassen.

standard-dateiformate
Wer es supereinfach liebt und ausschließlich für sich selbst verschlüsselt, ist mit Encrypto gut bedient.

Oder wie sieht es mit dem berühmten Lock-in-Effekt aus? Was ist, wenn Encrypto morgen dicht macht? Dann liegen Eure wichtigen Daten in Containern, die Ihr nur mit den original Encrypto öffnen könnt - also müsst Ihr Euch das Tool aus tendenziell nicht vertrauenswürdigen Quellen besorgen oder es frühzeitig selbst archivieren. Und selbst wenn: Wer weiß, ob das Tool auf dem Windows der Zukunft noch läuf! Ach, übrigens, eine winzige Kleinigkeit noch: Encrypto gibt es für Windows und Mac - unter Linux bleiben Daten erstmal wirrer Zeichenbrei.

Wenn Ihr für Euch selbst verschlüsselt, Herrgott noch mal, dann macht doch, was Ihr wollt. Aber meistens geht es beim Verschlüsseln nun einmal darum, Daten anderen sicher zur Verfügung zu stellen und da machen unbekannte und/oder proprietäre Dateiformate einfach keine gute Figur. Ich für meinen Teil lasse mir jedenfalls keine Programme aufdrücken, nur weil irgendwer meint, die für ihn persönlich einfachste Lösung forcieren zu müssen, nur weil es an Wissen rund um Interoperabilität und generellem Willen zur Einarbeitung fehlt (das ist regelrechter Digitalasozialismus). Oder anders gefragt: Was zum Geier spricht gegen verschlüsselte ZIPs?

standard-dateiformate
Die Lösung kann so einfach sein: ZIPs lassen sich verschlüsseln.

Jeder kann Office

Bei dem Thema werden immer wieder die gleichen Schlagwörter genannt, vor allem Office: Dateien im (MS-Office-) Format DOCX und so weiter sind verbreitet und ein offener Standard. Ich mag sie nicht, weil es in der Praxis doch immer wieder zu Inkompatibilitäten kommt, sie als Malware-Träger bekannt sind (Makro-Viren) und es technisch dann doch recht viel zu meckern gibt. Aber ich bin eben nicht wie früher tatsächlich auf MS Office angewiesen. Vorauszusetzen, dass jeder Mensch ein mehrere hundert Euro teures Office-Programm hat ist schlicht und ergreifend unverschämt. Auch verschlüsselte Office-Dateien waren mitten in der Diskussion mal eine angedachte Lösung, der Zugriff auf diese via NAS war wohl zu "frickelig" ;)

Vieleicht bin ich auch nur ein geschlagenes Kind: 96 hatte ich in eine Lehre in der Computer-Abteilung vom Saturn (damals waren Computer noch erklärungsbedürftig ...) angefangen und konnte kostenlos ein ansonsten recht teures Lotus-SmartSuite-Office abgreifen. Tolles Programm, bis die ganze Lotus-Geschichte versandete - Jahre später wollte ich nochmal auf die Dateien zugreifen, aber das verdammte Dateiformat war partout nicht mehr lesbar. Wieder ein, zwei Jahre später gab es dann zumindest mal einen Minimal-Betrachter von einem Privatmann. Und seitdem predige ich regelmäßig: Nutzt offene Dateiformate, dann finden sich immer mehrere Möglichkeiten, Dateien zu verarbeiten.

standard-dateiformate
Noch ein Client, noch ein Konto - aber immerhin keine Optionen. Auch Encryptr ist supereinfach.

Aber zurück zum Ursprungsproblem: Nach diversen Zwischen-"Lösungen" hat man sich dann auf den Passwort-Cloud-Service Encryptr "geeinigt" - schließlich sollte die gemeinsame Passwortliste auch kollaborationsmäßig genutzt werden. Ganz toll: Es muss wieder ein spezieller Client her, es ist eine dritte Partei beteiligt, es gibt keinen Export und somit keinen Import in Keepass oder sonst einem Passwortmanager und die Anbindung an den Browser ... ach, auch egal. Die verschlüsselte Datei wurde mir letztlich mir verschlüsseltem Telegram-Chat geschickt - solche gibt es leider nur in der Mobile-App, nicht in Web- oder Desktop-Client. Also muss die Datei vom Handy auf den Rechner. Also muss ich ein Kabel rauskramen, oder mir selbst eine verschlüsselte Mail schicken - so oder so: Mehr Aufwand als nötig. Nachdem ich lange genug gejammert habe, hatte ein Kollege wohl die Schnauze voll von meiner Wehleidigkeit und hat mir eine verschüsselte ZIP geschickt. Und siehe da: Alles war gut.

standard-dateiformate
Mit GPG lassen sich auch lassen sich auch Mails sicher verschlüsseln.

Und jetzt das Totschlagargument

Nochmal GPG. Mittels GPG werden wie gesagt auch verschlüsselte Mails versandt. Und was müsst Ihr dabei nicht tun? Dem Gegenüber ein Kennwort zukommen lassen! Und das geht auch auf Dateiebene: Ihr könnt im GPG-System statt mit einem Passwort mit dem öffentlichen Schlüssel des Empfängers verschlüsseln , einfach über Angabe seiner Mail-Adresse - und dieser, und nur dieser, kann dann mit seinem privaten, geheimen Schlüssel entschlüsseln. So kann ich mit einem Passwort, alles entschlüsseln, was mir Dritte schicken und die Problematik der Passwort-Weitergabe entfällt. Das einzige Problemchen: Das funktioniert natürlich nur, wenn das Gegenüber GPG-Schlüssel eingerichtet hat - UND nutzt, denn die anderen Tutonauten haben zwar Schlüssel, nutzen sie aber nicht, haben sie sogar vergessen ... Wie gesagt, GPG ist leider nicht so trivial wie etwa Encryptr - aber wenn Ihr nicht nur eine auf den ersten Blick einfache, sondern eine technisch ausgereifte Lösung mit vernünftigem Workflow sucht, dann beschäftigt Euch mit GPG. Das geht unter Windows übrigens nicht nur mit grafischen Tools wie Gpg4Win, sondern auch im Terminal. Wenn Ihre eine kurze Einführung haben wollt - googlen oder kommentieren, dann schreibe ich eine.

standard-dateiformate
Jaja, ich weiß ... Die böse Kommandozeile bietet aber dennoch schnelle, flexible Verschlüsselung auf Profi-Niveau.

P.S.: Verschlüsselte ZIPs lassen sich unter Windows sogar direkt aus dem Kontextemnü erstellen! P.P.S.: Damit Verschlüsselung tatsächlich sicher ist, braucht es natürlich immer ein gutes Passwort!

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

6 Kommentare

  1. Ich verstehe die Logik nach wie vor nicht, Mirco: Wenn man etwas verschlüsselt, will man doch gerade verhindern, dass es geöffnet wird. AUSSER vom Gegenüber. Da ist doch ein proprietäres Format geradezu Gold, weil der Angreifer erstmal rausfinden muss, womit der Kram überhaupt verschlüsselt wurde…? Außerdem ging es ja nur darum, den Kram sicher via Mail/Chat/sonstwas zu ÜBERTRAGEN, ohne eben auf superkomplizierte Lösungen wie GPG zu setzen. Verschlüsseln, übertragen, entschlüsseln, fertig.

    Aber egal: Wir haben’s ja jetzt ;)

    1. Und überhaupt GnuPG… da war doch was mit Apple Mail vor ein paar Jahren, dass die Software plötzlich nicht mehr ging und die tolle Open-Source-Community geschlagene zwei Jahre (!) gebraucht hat, um das zu aktualisieren. Derweil waren Mails nicht auf dem Mac lesbar, mit oder ohne GPG. Es ist ja schön, dass GPG sicher und offen ist – praxistauglich ist es bestenfalls für Freaks.

      EDIT: Den PG-Standard gibt’s jetzt seit 20 Jahren. Verbreitet ist er nach wie vor nicht. Woran das liegen mag, wirst Du wohl selbst beantworten können. Sicherheit ist eben auch einfache Benutzung – und da ist Encrypto nunmal weit vorne für filebasierte Verschlüsselung.

      1. Ja, Usability bei GPG ist nicht der Hit – liegt aber nicht an GPG, sondern am System mit öffentlichen/privaten Schlüsseln. Aber nur so kann ich Dir etwas verschlüsseltes schicken, ohne separat ein Passwort schicken zu müssen. Mit anderen Worten: Ich kann Fremden verschlüsselte Inhalte schicken!

    2. Security by Obscurity … ja ne is klar. Und ja, verschlüssel, verschicken, entschlüsseln fertig – aber dennoch brauche ich dafür ein Programm, das ich nicht will. Andere Formate erlauben jedem eines von vielen Programmen. Unterschied!

      1. Hergottnochmal … Für Encrypto gibt es 1 Programm. Für ZIP gibt es n Programme. Ich nix Encrypto. Wenn Du nix 7-Zip – nimm halt ein anderes. Ja ich weiß, „nimm ein anderes“ ist nicht das Ding der Apple-Welt, wo es friss oder stirb heißt. Aber hier geht es doch auch um Interoperabilität – und das heißt nicht mit internationalen Apple-Hipstern auf Apple-Geräten über Apple zu reden ;) Rede mit uns! Rede mit den Windowsern und den Linuxern – wir sind gar nicht so übel.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"