Verschlüsselung am Mac für Dummies

Seitdem ich meine Daten immer häufiger in der Cloud (zB Dropbox) speichere und nicht zu denjenigen gehöre, die der Neudefinition von Datenschutz („Wir versprechen, dass wir keine Einsicht in Ihre Daten nehmen“) Vertrauen schenken, habe ich nach Möglichkeiten gesucht, meine Daten einfach und sicher verschlüsseln zu können. Wichtig war mir dabei, mit gängigen und weithin verfügbaren Mitteln zu arbeiten; zu hohe Komplexität oder aufwendige Verschlüsselungsverfahren erhöhen den Unsicherheitsfaktor, meine Daten später einmal nicht einsehen zu können.

Der einzig wirkliche Datenschutzhinweis

Ich bin kein Experte für die Verschlüsselung von Daten, sondern habe mir die hier angeführten Methoden aus diversen Online-Quellen, die sich mit dem Thema Datensicherheit und Datenschutz befassen, zusammengestellt. Ich empfehle jedem, der auf den Schutz und die Verschlüsselung seiner Daten angewiesen ist, sich regelmäßig über die aktuellsten Herausforderungen auf diesem Gebiet aus verschiedenen Quellen zu informieren, denn die Verschlüsselung von Daten und deren (vornehmlich ungewollte) Entschlüsselung sind ein fortwährender und sich immer weiter entwickelnder Prozess!

Gute Startpunkte dazu sind die Websites von Bruce Schneier, Steve Gibson und alles, was unter dem Sitchwort „CryptoParty“ online zu finden ist, zB cryptoparty.in. Ich habe hier auch einiges zum Thema geschrieben. Am besten, man sucht unter den folgenden Stichwörtern: datenschutz, verschlüsselung, passwort und sicherheit.

1. Das Festplatten-Dienstprogramm wird mit jedem Mac mitgeliefert und ist wohl die einfachste Form der einfachen und sicheren Verschlüsselung. Man kann mit dem Programm ein 128 oder 256 Bit-AES verschlüsseltes Festplatten-Image erstellen, in das man seine Daten kopiert. Fertig.
2. Ähnlich funktioniert auch die Verschlüsselung mit TrueCrypt, wobei hier deutlich mehr Optionen (AES, Serpent, Twofish und eine Kombination der drei) zur Verfügung stehen.

Wichtig vorab: Verschlüsselte Images, die mit dem Festplatten-Dienstprogramm erstellt wurden, können nur auf Macs wieder entschlüsselt und benutzt werden; Volumes, die mit TrueCrypt erstellt (und dementsprechend konfiguriert) wurden, können, da das Programm sowohl für Mac als auch für Windows und Linux erhältlich ist, auch auf allen drei Systemen benutzt werden!

Verschlüsselung mit dem Festplatten-Dienstprogramm

Hier eine einfach Anleitung, wie man seine Daten mit dem Festplatten-Dienstprogramm einfach, schnell, unkompliziert und – sofern das Passwort gut gewählt ist – sicher verschlüsseln kann. Das Festplatten-Dienstprogramm ist auf jedem Mac standardmäßig installiert.

• Festplattendienstprogramm starten. (Programme > Dienstprogramme).
• Ablage > Neues Image… > Leeres Image…
• Verschlüsselte Container erscheinen als Dateien, folglich benötigen sie irgendeinen Dateinamen.
• Der Name ist das, was man sieht, sobald ein verschlüsselter Container entschlüsselt wurde.
• Die Größe ist frei wählbar. (Der hier angegebene Wert stellt die maximale Größe dar, die dieses verschlüsselte Laufwerk erreichen kann, nicht die tatsächliche! Wenn Sie nur 100MB an Daten in das verschlüsselte Laufwerk speichern, dann ist es auch nur etwa 100MB groß, selbst wenn hier 3GB angegeben wurde!)
• Als Format belassen wir einfach „OS X Extended (Journaled)“.
• Unter Verschlüsselung wählen wir „256-Bit-AES-Verschlüsselung (sicherer, langsamer)“ aus.
• Im nun aufpoppenden Passwort-Eingabefenster sollte ein sicheres Passwort eingegeben werden.
• Als Partition kann „Einfach Partition – GUID-Partitionstabelle“ ausgewählt bleiben.
• Das Image-Format auf „Mitwachsendes Bundle-Image“ ändern.
• Sichern.

Das war’s. Nun können Sie sensible Daten bequem in das neu erstellte Image (es erscheint als neues Laufwerk) ablegen. Die Daten werden dort nur verschlüsselt abgespeichert!

Wenn Sie die Arbeit an den Daten beendet haben, ziehen Sie das Festplattensymbol Ihres verschlüsselten Laufwerks in den Papierkorb. Damit ist das Laufwerk geschlossen und – vorausgesetzt, das Kennwort wurde nicht im Schlüsselbund gespeichert – vor Zugriffen von Personen, die das Kennwort nicht kennen, geschützt. Wenn Sie Zugriff zu den im Festplatten-Image gespeicherten Daten benötigen, doppelklicken Sie auf das Festplattensymbol: Ihre Daten werden erst sicht- und bearbeitbar, wenn das korrekte Kennwort eingegeben wurde! Diese Methode ist sehr einfach und – sofern Apple keine Hintertüren eingebaut hat – sicher, aber leider nur für Mac-Benutzer interessant, da Windows mit Festplatten-Images (dmg-Dateien) nichts anfangen kann. Wer dennoch sowohl für Macs als auch für Windows- und Linux-Rechner kompatible verschlüsselte Images erstellen muss, dem sei TrueCrypt wärmstens empfohlen!

Verschlüsselung mit TrueCrypt

Während das Festplatten-Dienstprogramm mit jedem Mac-System ausgeliefert wird, muss man TrueCrypt zuerst herunterladen. Das Programm ist für Mac, Windows und Linux erhältlich. Schon beim Herunterladen fällt hier die erste Überlegung an: Es ist für den leicht paranoiden User unter Umständen ratsam, alle drei Versionen des Programms herunterzuladen, um – sollte die Website einmal nicht erreichbar sein – auf jeden Fall auf jedem System entschlüsseln zu können.

• Starten Sie TrueCrypt (Programme > TrueCrypt). Das Hauptprogrammfenster erscheint.
• Klicken Sie auf „Create Volume“ wie im Bild unten dargestellt.

• Der „TrueCrypt Volume Creation Wizard“ erscheint, mit dem man entweder ein verschlüsseltes Image erstellen oder eine ganze Partition oder gar Festplatte verschlüsseln kann. Wir wählen „Create an encrypted file container“ aus. Danach „Next“.
• Im nächsten Fenster kann man die Art des verschlüsselten Images bestimmten. Wir wählen „Standard TrueCrypt volume“ aus. Danach „Next“.
• Im nächsten Fenster fragt TrueCrypt nach einem Dateinamen und einem Speicherort für das verschlüsselte Image. Egal, wo das verschlüsselte Image letztlich gespeichert wird (online, USB-Stick, DVD, etc.), legen Sie es vorläufig auf einer Festplatte (lokal oder extern) ab und wählen Sie einen passenden Dateinamen; erst nachdem der Container mit Daten befüllt wurde, bewegen Sie ihn gegebenenfalls auf den USB-Stick oder die DVD! (Die unter „Format“ angeführte Endung „.tc“ ist optional.) Danach „Save“.

• Wieder zurück im „Volume Location“-Fenster klicken Sie auf „Next“.
• Im nächsten Fenster können Einstellungen für die Verschlüsselung vorgenommen werden. Um ein Äquivalent zum oben angeführten Beispiel mit dem Festplatten-Dienstprogramm zu demonstrieren, wählen Sie AES als Verschlüsselungs-Algorithmus aus. TrueCrypt bietet jedoch weitaus mehr Methoden sowohl zur Verschlüsselung als auch für das Hashing in den Auswahlfeldern an. AES ist sicher (Banken verwenden diesen Algorithmus…), Information und Bescheidwissen ist jedoch sicherer. Danach „Next“.

• Im nächsten Fenster fragt TrueCrypt nach der Größe des zu erstellenden, verschlüsselten Containers. Im Gegensatz zum mitwachsenden Bundle-Image, wie es im Festplatten-Dienstprogramm in meinem Beispiel zur Anwendung kommt, ist die in TrueCrypt angegeben Größe des Containers final: Wenn ich eine Größe von 2,5 GB angebe, werden auch sofort 2,5 GB verbraucht, egal wieviel Speicher ich mit meinen Dateien im Container belege! Danach „Next“.
• Sie werden nun zur Eingabe eines Passworts aufgefordert. Lesen Sie den Informationstext zu sicheren Passwörtern sorgfältig durch und geben Sie ein sicheres Passwort ein. (Für unsere Zwecke reicht das vorerst, die Sicherheit der Verschlüsselung kann aber durch Keyfiles noch deutlich erhöht werden!) Danach „Next“.

• Wählen Sie im nächsten Fenster das Dateisystem des verschlüsselten Containers aus. Wenn die Datei ausschließlich auf Macs geöffnet werden soll, wählen Sie „Mac OS Extended“, andernfalls „FAT“. Danach „Next“.
• Im nächsten Fenster sammelt TrueCrypt Zufallswerte, um den Container formatieren zu können. Wirklich zufällig ist kein Algorithmus, Bewegungen – wie die extern gesteurte Bewegung des Mauszeigers – jedoch schon. Bewegen Sie daher den Mauszeiger im angezeigten Fenster wahllos für mindestens 30 Sekunden umher. Danach „Format“.

• Das war’s, wenngleich es jetzt auch noch recht lang dauern kann, bis der verschlüsselte Container fertiggestellt ist. Bei ein paar MB ist die Sache in ein paar Sekunden erledigt, verschlüsselt man jedoch mehrere GB oder gar eine gesamte Festplatte, kann man die Wartezeit hier – je nach Größe und Verschlüsselungsalgorithmus – bisweilen in Tagen messen! Die Erfolgsmeldung danach quittieren wir mit „OK“, die „Volume Creation Wizard“ mit „Exit.“

Um den verschlüsselten Dateicontainer benutzen zu können, muss man ihn zuerst laden:

• Wählen Sie im Programmhauptfenster „Select File…“ und wählen die zuvor erstellte Datei aus. Klicken Sie anschließend auf „Mount“.
• Im Popup-Fenster geben Sie das gewählte Passwort ein. Danach „OK“.
• Der Container erscheint als Festplatten-Image und kann – ganz gleich wie ein im Festplatten-Dienstprogramm erstelltes Image – benutzt werden.
• Wenn Sie den Container wieder schließen möchten, klicken Sie im Programmhauptfenster auf den mit dem Container belegten Slot und anschließend auf „Dismount“.

Diese Methode ist weitaus komplizierter als das Verschlüsseln mittels Festplatten-Dienstprogramm, dafür aber sehr sicher und auf verschiedenen Plattformen benutzbar. Beide Methoden der Verschlüsselung sind sinnlos, wenn die gewählten Passwörter in einer Textdatei oder auf einem Zettel neben dem Rechner zu finden sind.