Knox – eine TrueCrypt-Alternative
Vor kurzem gab es im Internet allerlei Aufregung, da die Entwicklung der beliebten Sicherheitssoftware TrueCrypt unerwartet mit dem Hinweis, dass das Programm nicht sicher sei, eingestellt. Seitdem gibt es viele Vermutungen zu den Hintergründen, doch einen genauen Grund kennt bisher niemand.
[youtube http://youtu.be/sI1_gi7C6Zo]
Was ist TrueCrypt?
TrueCrypt ist (oder war) eine Open Source Software, mit der man verschlüsselte Container anlegen konnte. In diesen wurden dann Dateien sicher verschlüsselt gespeichert. TrueCrypt unterstützt dabei verschiedene Techniken, von eher schwachen bis eher starken Verschlüsselungen und auch ein paar extras wie verstecke Container.
Nun, da die Entwicklung vom Team eingestellt wurde und man auf der Webseite darauf hingewiesen wird, dass die Software unsicher sei, sind sich viele Nutzer unschlüssig darüber, ob und welche Alternativen sie nutzen sollen. Denn wer z.B. seine Kundendaten sicher speichern möchte, für den kommt eine veraltete oder als unsicher geltende Anwendung nicht in Frage.
Alternativen?
Für Windows empfehlen die Macher von TrueCrypt das von Haus aus mitgelieferte BitLocker und bei Linux solle man auf eine der On-Board-Verschlüsselungsprogramme zurückgreifen. Für Mac OS X könne man verschlüsselte DMGs mit dem Festplattendienstprogramm erstellen.
Während letzteres durchaus eine Alternative darstellt, hat es zwei Probleme, die viele Menschen stört:
- Muss man zur Verwaltung der Container auf den Finder zurückgreifen, es gibt keine interne Verwaltungsmethode für Container
- Kann man im Mount-Dialog, also beim Öffnen eines Disk Images, das Passwort nicht aus der Zwischenablage einfügen. Das führt dazu, dass viele Nutzer einfache Passwörter verwenden oder diese in ihrer Passwortverwaltung sichtbar machen und abtippen – beides keine sichere Möglichkeit.
Knox
Vom Team von AgileBits, den Entwicklern der Passwortverwaltung 1Password, die wir hier bereits vorgestellt haben, kommt eine Software namens Knox, die zumindest für Nutzer von OS X eine brauchbare Alternative darstellen könnte.
Die Software basiert auf der FileVault-Technologie, benutzt also eine sichere und von Haus aus mitgelieferte Technik von OS X. Doch Knox kann noch mehr als man mit DMGs alleine machen könnte.
Allgemeines
Die Software nistet sich in der Menüleiste ein und lässt sich von dort aus bedinen.
Man kann dort neue Container anlegen, Backups erstellen oder einspielen und auf die Optionen zugreifen. Natürlich ist es dort auch möglich, die Software zu beenden.
Container anlegen
Das Erstellen von Containern ist denkbar einfach. Man wählt den Punkt aus dem Menü und gibt einen Namen sowie ein Passwort ein.
Man hat dort auch die Möglichkeit, das Passwort direkt im Keychain zu sichern, um es nicht mehr eingeben zu müssen.
Schließlich kann man noch den Typen auswählen: entweder man erstellt einen neuen, der dann in Form einer Datei auf dem eigenen Rechner liegt oder formatiert ein Gerät (z.B. einen USB-Stick) als Container.
Im unteren Bereich findet man erweiterte Einstellungen. Neben dem Speichertort und der Kompatiblität kann dort auch die Verschlüsselungsstärke eingestellt werden. Dazu ist zu sagen:
Je mehr Bit, desto sicherer aber auch langsamer ist die Verschlüsselung.
Auch interessant ist der Hinweis bezüglich Spotlight: Container können indexiert werden, der Index aber wird in dem Container gespeichert; ist der Container geschlossen, kann auch nicht auf eine Dateiliste zugegriffen werden.
Noch ein Hinweis zur Containergröße: je mehr Daten man speichert, desto größer wird der Container. Im Dialog kann man die maximale Größe einstellen.
Container verwalten
In den Einstellungen findet man den Reiter Vaults. Dort sind alle Container mit deren Größe gelistet und können umbenannt, verschoben oder gelöscht werden. Es ist auch möglich, das Passwort zu ändern oder den Container zu komprimieren.
Gespeichert werden die Container per default im Ordner Knox
in den Dokumenten. Von dort aus kann man die Container auch mit einem Doppelklick öffnen.
Backups erstellen
In den Optionen kann man die Backups für die Container regeln. Dabei gibt es verschiedene Zeit- und Backupeinstellungen, als Ziel kann eine lokale Festplatte, eine Netzwerkdisk, ein iPod oder iDisk gewählt werden.
Darüber hinaus findet man dort ebenfalls die Optionen zum Backupen und Wiederherstellen.
Container benutzen
Nachdem ein Container erstellt wurde, erscheint er zum einen in der Liste in den Einstellungen und im Knox-Menü, zum anderen wird er direkt gemountet. Er ist aus dem Finder heraus wie ein USB-Stick oder eine externe Festplatte erreichbar.
Man kann nun einfach per Drag’n’Drop Dateien und Ordner in den Container verschieben oder löschen.
Auswerfen
Um einen Container auszuwerfen, also sicher zu verschließen, clickt man entweder auf dessen Namen im Knox-Menü oder wirft ihn über den Finder aus – wie man es von anderen Geräten kennt.
Nach dem Auswerfen sind die Dateien nicht mehr zugänglich, er muss erst wieder mit der Eingabe des Passworts geöffnet werden.
Weiteres
Im Moment gibt es keine 1Password-Integration. Laut einem Support-Dokument überlegt man aber, diese zu implementieren, sodass man dann die Passwörter nicht mal mehr in die Zwischenablage kopieren müsste, also noch einen Sicherheitsgewinn hat.
Ursprünglich von einer finnischen Firma entwickelt, wurde Knox von AgileBits intern ein über längere Zeit selbst eingesetzt und schließlich aufgekauft, um 1Password zu erweitern.
Container werden nicht automatisch geschlossen. Das hätte zur Folge, dass bei noch geöffneten Dateien entweder das Schließen abgebrochen werden oder die Datien unter Zwang geschlossen werden müssten, was zu Datenverlust führen würde.
Fazit
Mit Knox haben Nutzer von OS X eine gute Möglichkeit gefunden, ihre Dateien sicher (und bequem) zu speichern. Im Gegensatz zu TrueCrypt haben wir hier allerdings keine plattformübergreifende Speichermöglichkeit; die Daten können nur auf einem Mac wieder geöffnet werden.
Installation
Knox ist nicht im AppStore verfügbar. Die Software kann aber von der AgileBits Webseite heruntergeladen werden. Wie auch bei 1Password kann Knox erst einmal 30 Tage ausprobiert werden.
Danksagung
Wir bedanken uns bei AgileBits für die Bereitstellung der Software.
Vielen dank für den tollen Artikel und die ausführliche Information. Die Informationen sind ziemlich hilfreich.
Gruß Anna
toller Beitrag. Allerdings hast du geschrieben, das Knox auf FileVault basiert. FileVault2 ist knackbar.
Im Apple Store habe ich jemanden darauf angesprochen. Ich wurde zum Store-Leiter weitergeschickt.
Seine Antwort war kurz und knapp: Behörden haben dementsprechende Forensik Software um FileVault2 zu knacken.
Eine Forensik Software, die auch vom BKA genutzt wird, knackt FileVault2 in unter einer Stunde. Knox etwa auch?
Hier der Link zu der Forensik Software: https://www.passware.com/kit-forensic/
TrueCrypt wird übrigens weiterentwickelt. Nennt sich neuerdings VeraCrypt und ist auch für Mac OS geeignet.
Vielleicht könntest du ja mal ein Tutorial über VeraCrypt herausbringen.
Hallo Daniel, wollte schon den Download starten, habe dann aber gesehen, dass das Programm offensichtlich seit zwei Jahren nicht mehr weiterentwickelt oder gepflegt wird (Version 2.2.0 3 changes Published 2012-09-13). Außerdem ist die Kompatibilität mit Mac osx Tiger angegeben. Ich denke ein nicht gepflegtes Verschlüsselungsprogramm kann doch aktuell nicht wirklich empfholen werden – oder?
Von der Optik und Funktionalität würde ich es sofort nutzen.
Kannst du meine Bedenken zustreuen oder bestätigen?
Gruß Skip
Hallo Skip,
vielen Dank für deine Aufmerksamkeit. In der Tat wurde das Programm seit längerem nicht mehr angefasst, aber ich erwarte, dass dort in naher Zukunft noch etwas passieren wird – eine 1Password-Integration wäre ja super!
Ich kann dir Knox dennoch empfehlen. Es ist kompatibel zu Mavericks (unter Yosemite habe ich es noch nicht getestet, gehe aber auch von Kompatibilität aus) und funktioniert fehlerfrei.
Bitte beachte auch, dass es sich bei Knox um einen Aufsatz für intern vorhandene Technologie handelt. Der eigentliche kryptographische Teil wird nicht von Agilebits sondern von Apple entwickelt und gepflegt und wird von dort aus Updates unterliegen. Die Existenzberechtigung für Knox folgt aus – in meinen Augen – umständlichen Handhabung von verschlüsselten DMGs in OS X.
Daher sollte Knox solange kompatibel sein, solange Apple die Schnittstelle zur DMG-Verwaltung nicht ändert und trotz aktuell spärlicher öffentlicher Entwicklungsaktivität Sicherheit bieten.
Grüße
Daniel
Hallo Daniel,
Knox hört sich wirklich gut an. Aber eine Frage habe ich, die du mir vielleicht beantworten kannst.
Hat man einen Truecrypt Container in der Dropbox abgelegt und Änderungen vorgenommen, so wurde nur der geänderte Teil übertragen. Ist dies bei Knox Containern auch so? Wäre nämlich nicht so gut, wenn bei großen Containern trotz einer kleinen Änderung immer der komplette Container neu übertragen würde.
Hallo Peter,
deine Sorge um die Übertragung großer Dateien kann ich verstehen.
TrueCrypt selber ist unabhängig von jeglicher Cloud-Software, das Übertragen von geänderten Daten (Delta sync) ist also ein (sehr sinnvolles) Feature von Dropbox.
Das heißt, dass das auch für Knox funktionieren sollte.
In Abhängigkeit von Faktoren, über die ich keine Auskunft machen kann, kann es natürlich zu Ausnahmen kommen. Ich würde dir empfehlen, einfach mal einen Test mit einem kleinen Container zu machen.
Grüße
Daniel
Sicher eine Interessante Alternative. Nur gerade dieses Extra, wie verstecke Container sind offensichtlich nicht Inbegriffen. Vielleicht hat ja jemand eine Idee, ob es doch noch ein anderes Programm gibt, welches diese Extra beinhaltet.
Hallo Frank,
bitte sei gewarnt, dass das kleine tool TCHunt Hidden Volumes aufspüren kann.
Eine Liste von Alternativen inklusive Feature-Vergleich findest du schön übersichtlich in der Wikipedia.
Grüße
Daniel
Vielen Dank für den tollen Artikel.
Wie sieht es mit weiteren Alternativen aus, wie z.B. Boxcrypter?
Hallo Bernd,
Natürlich gibt es neben Knox noch weitere Alternativen. Für welche man sich am Ende entscheidet, hängt wohl am meisten vom Einsatzszenario ab.
Der Fokus von Boxcrypter liegt auf der Verschlüsselung von Cloud-Inhalten, während Knox mehr dieses Container-Prinzip verfolgt. Wenn du Daten bequem online sicher speichern möchtest, wird ersteres besser geeignet sein.
Grüße
Daniel