Was bedeutet in diesem Fall Verschlüsselung? Man hat nicht immer die Möglichkeit, sich unterwegs auf einem Netzwerkspeicher anzumelden, um Office-Dateien oder andere Dateien dort abzulegen. Natürlich möchte man auch nicht immer einen öffentlichen Cloud-Speicher verwenden, aber man möchte seine Daten trotzdem irgendwie unterwegs sichern. In solchen Fällen kann man einen USB-Stick oder eine tragbare Festplatte verwenden, aber man kann die Daten auch lokal verschlüsseln, was man bei Verwendung eines externen Datenträgers ebenfalls tun sollte. Anschließend kann man die verschlüsselten Daten an ein E-Mail-Postfach senden, das nicht öffentlich bekannt ist. Ja, das ist mal eine andere Herangehensweise von mir.
Warum ein E-Mail-Postfach? Die Übertragung von Dokumenten erfordert oft nur minimale Internetbandbreite, was es ideal für die Nutzung unterwegs macht, insbesondere wenn man nur den Hotspot des Smartphones zur Verfügung hat. Da normale Dokumente außerdem nur wenig Speicherplatz benötigen, bietet sich ein E-Mail-Postfach als praktische Lösung an. Ein weiterer Vorteil ist die einfache Zugänglichkeit. Wenn man das Dokument später im Büro oder zu Hause verwenden möchte, muss man es lediglich aus dem Postfach herunterladen. Darüber hinaus bieten E-Mail-Server und -Dienste während der Übertragung eine bestimmte Verschlüsselung, die eine sichere Verbindung zum Speicher gewährleistet. Wenn man das Postfach ausschließlich für den Zweck der Zwischenspeicherung nutzt, ist das Sicherheitsrisiko minimal.
Soweit die Theorie. In der Praxis stellt sich jedoch bereits bei der Verschlüsselung der Dateien die Frage, wie man dies am besten angeht. Zwei Möglichkeiten kamen für mich in Frage (letzten Endes verwende ich beide Ansätze).
Der erste Ansatz wäre, die Dokumentenverschlüsselungen einer Office Suite zu verwenden. Dieser Ansatz ist recht praktisch, da er mit wenigen Klicks erledigt ist. Man aktiviert einfach die Verschlüsselung und sendet das Dokument an das Postfach. Viele Office Suiten ermöglichen die Entschlüsselung, so dass ich zu Hause keine großen Probleme habe, das Dokument weiter zu bearbeiten.
Der Nachteil dieses Ansatzes ist jedoch, dass es nur Office-Dokumente mit einer ausreichenden Verschlüsselung schützt, die dann auch im Microsoft DOCX-Format oder den für die Office Suite spezifischen Dateiformaten gespeichert werden. Das Synology Office verfügt zum Beispiel über eine eigene Verschlüsselung, aber verweigert sich beim Entschlüsseln externer verschlüsselter Dokumente. Mit dem Erstellen in „Softmaker Office“ auf Linux und dem späteren Weiterarbeiten im „Apple Office“ auf MacOS funktioniert es dafür umso besser. Verschlüsselt man das DOCX Dokument, dann ist dieses noch als entsprechendes Dokument erkennbar, aber der eigentliche Inhalt ist verschlüsselt. Man findet zudem Infos zur Verschlüsselung im Dokument, z.Bsp.: „keyBits="256" hashSize="64" cipherAlgorithm="AES" cipherChaining="ChainingModeCBC" hashAlgorithm=„SHA512“" In diesem Fall wäre es „AES256CBC mit SHA512“. Für einen guten Schutz sollte man den Schreib und den Lesezugriff per Verschlüsselung mit einem starken Passwort schützen, s.h. nicht Otto oder Passwort oder ähnliche Kreationen verwenden.
Eine weitere Möglichkeit wäre, ein spezielles Programm für die Verschlüsselung zu verwenden. Unter Linux wäre das natürlich OpenSSL. OpenSSL ist Open Source und auch auf MacOS und mit ein bisschen Aufwand sogar auf Windows 11 verfügbar. Mit OpenSSL lassen sich Dateien mit sehr hohen Sicherheitsstandards verschlüsseln. Ich erstelle also meine Datei und verwende dann OpenSSL im Terminal, um die Datei z. B. mit AES256 und Base64 Codierung zu verschlüsseln. Das wäre bereits eine ziemlich starke Verschlüsselung, wenn das Passwort nicht zu leicht zu erraten ist. Die verschlüsselte Datei sende ich dann einfach an das Postfach und fertig! Kein Zertifikats-Wirrwarr oder ähnliche Sachen während der Verschlüsselung der Datei. Einfach nur solide Verschlüsselung. OpenSSL unterstützt auch andere Verschlüsselungen und von daher hat man die freie Auswahl.
Der Befehl für eine AES256CTR Verschlüsselung mit Base64 könnte wie folgend aussehen. Es sollte damit etwas sicherer sein als die oben erwähnte. „Sicher“ ist dabei relativ zu sehen; AES256 ist auf jeden Fall ein empfohlener Standard für Dokumente und schwer zu knacken (unter Umständen liegt man bereits unter der Erde, wenn es gelingen sollte..). Das Problem bei dieser Verschlüsselungsform sind primär die „Wörterbuchangriffe“, das Erraten des Passwortes, die immer mehr an Bedeutung gewinnen. Der Befehl zum Verschlüsseln:
„openssl enc -aes-256-ctr -pbkdf2 -a -in <die Datei> -out <Name der Datei nach Verschlüsselung>“
Zum Entschlüsseln:
„openssl enc -aes-256-ctr -pbkdf2 -d -a -in <die verschlüsselte Datei> -out <Datei nach Entschlüsselung>
Jetzt muss man aber nochmal auf die Verbindung zum EMail Speicher zurückkommen. Heutzutage sollte kein EMail Anbieter oder Dienst eine unverschlüsselte Verbindung akzeptieren. Es gibt für den Versand aktuell zwei Standards. Der erste Standard ist SMTPS mit „TLS“. Das ist eine sichere Lösung, wenn kein zu altes „TLS“ verwendet wird. Schaut in meinen Security Blog! Einige Anbieter verwenden „TLS 1.2“, speziell Anbieter für kleine bis größere Webseiten mit EMail Diensten. „TLS 1.3“ wäre der bessere Ansatz, wie es Google anbietet. „TLS 1.2“ ist noch irgendwo akzeptabel, aber kritische Kommunikation sollte man mittlerweile mit „TLS 1.3“ absichern. Auf keinen Fall unter „TLS 1.2“ gehen! Verwendet man einen Email Dienst über den Webbrowser, dann muss man sich im Normalfall keine Sorgen um die Verschlüsselung der Verbindung machen, weil die Verwendung von „HTTPS“ die Vorgabe ist. Aber auch beim „HTTPS“ gibt es tatsächlich noch Unterschiede beim „TLS“. Ich habe im Security Blog erklärt, wie man die Verschlüsselung einsehen kann. Der „Mozilla Firefox“ Webbrowser zeigt die Webverschlüsselung übrigens sehr übersichtlich an. Der Apple „Safari“ weniger gut.
Das SMTPS für den Versand mit „TLS“ sollte nicht mit „STARTTLS“ verwechselt werden. „STARTTLS“ ist eine alternative Methode zur Sicherung von E-Mail-Verbindungen, hat aber Sicherheitsnachteile. Beim „STARTTLS“ wird die Verbindung zunächst unverschlüsselt aufgebaut und erst durch den vom E-Mail-Programm gesendeten „STARTTLS“-Befehl in eine verschlüsselte „TLS“-Verbindung umgewandelt. Während dies in bestimmten Szenarien akzeptabel sein mag, ist es nicht für alle geeignet. „STARTTLS“ ist zwar noch immer weit verbreitet, hat aber diese Nachteile.
Ein weiterer wichtiger Aspekt sind die „Mail Ports“ auf dem Server. In meinem Security Blog habe ich über Port 587 geschrieben, der immer noch gültig ist, aber allmählich durch Port 465 ersetzt wird (ich muss das im Blog noch aktualisieren). Port 465 wird jedoch noch nicht von allen E-Mail-Programmen als Standard verwendet. Sogar Apples „Apple Mail“ verwendet noch 587, aber das kann manuell geändert werden.
Interessant sind auch die Mailserver-Konfigurationen. Es kann sein, dass Port 465 geöffnet ist, aber nur für „STARTTLS“ und Port 587 ausschließlich für „TLS“, wie z. B. bei Google. Auch hier muss man vorsichtig sein. Es sieht jedoch so aus, als würde sich Port 465 in den nächsten Jahren (oder Monaten) für „TLS“ durchsetzen.
Aber welchen E-Mail-Client sollte man verwenden, um E-Mails abzurufen? Wenn man direkt aus einer lokal installierten Office Suite versenden möchte, gibt diese den E-Mail-Client vor bzw. ist diese nur mit wenigen Programmen kompatibel. „Thunderbird“ ist unter Linux eine gute Wahl. Für Profis gibt es noch „mailx“ (für die anderen Profis). „mailx“ ist ein kleines Programm, das per Befehl im Terminal E-Mails versendet. Dieses kann man auch mit Skripten kombinieren, ABER das Programm ist etwas älter und unterstützt zum Beispiel nur „STARTTLS“. Ansonsten bringt jede Linux-Distribution reichlich Programme mit für das Versenden von E-Mails. Oder man meldet sich einfach bei einem E-Mail-Anbieter im Internet an und versendet über den Webbrowser. Das lässt sich allerdings nicht mit jeder Office Suite verknüpfen, weil oft Webseiten „Cookies“ gesetzt werden müssen usw. oder es nicht unterstützt wird.
###www.router-it.de;5.2025###
www
##
