Geheimnisse und Verschlüsselungen

Die 'geheimen' Dinge des Lebens mit dem Newton verwalten

Ich werde alt. Und so kommt es, daß nun auch ich mir nicht mehr alles so leicht merken kann. Da ist z.B. die Liste aller kürzlich geänderten Passworte unserer Server, die Zuganscodes bestimmter Verfahren - und wie hieß meine Frau doch gleich? Wer bin ich? Was bin ich? Na ja, ihr kennt den Rest.

Deshalb hatte ich die glorreiche Idee, all die "geheimen" Dinge des Lebens dem Newton anzuvertrauen. Dazu gibt es grundsätzlich zwei Möglichkeiten:

Zum einen lassen sich die Daten über ein direkt dafür entwickeltes Programm verwalten. Zum anderen kann man all die geheimen Dinge im Notizbuch erfassen, den Text dann durch ein Verschlüsselungsprogramm unleserlich machen und den Inhalt zusätzlich verstecken. In beiden Fällen werden die Daten durch ein Passwort geschützt.

Die Horrorvorstellung: Stelle Dir vor, Dir wird Deine Tasche gestohlen, in der sich Deine Kreditkarte und Dein Newton befindet - und Du hast die PINs Deiner Kreditkarten dem Newton anvertraut. Wie sicher sind diese Daten jetzt? Gehört das Haus auf Mallorca noch Dir? Mußt Du den Porsche verkaufen, um die Schulden zu bezahlen? Und wie zum Henker bringst Du das Deinem Betreuer auf dem Sozialamt bei?

In meinen Augen ist es völlig egal, ob es für die Entschlüsselung der Daten "nur" eine Million oder einhundert Millionen Möglichkeiten gibt. Die Arbeit der Dekodierung macht sich sowieso keiner. Viel wichtiger ist, ob sich die Daten nicht doch über gemeine Tricks in kürzester Zeit auslesen lassen. Die Antwort darauf war zum Teil erschreckend ...

passKeep

"passKeep" (Version 1.53d / 15. Februar 1998) von "sine of the times" (http://www.sineware.com) ist ein kommerzielles Programm, um Passworte für Server und Programme, sowie PINs (das sind rein zahlenorientierte Passworte) für Geldkarten zu verwalten.

"passKeep" bietet die meiner Meinung nach komfortabelste Oberfläche der hier getesteten Programme an. Es ist übersichtlich aufgebaut und sehr einfach zu bedienen. Für die wichtigsten Informationen sind bereits entsprechende Felder vorgesehen. Zusätzlich kann man eine Textnotiz pro Eintrag hinterlegen. Das Ganze läßt sich über ein Passwort schützen. Eben einfach professionell.

Wichtig ist, das die Daten auch tatsächlich verschlüsselt werden (d.h., das sie über einen Soupeditor nicht in Klarschrift zu lesen sind). "passKeep" verschlüsselt aber nur die Felder, die ihm wichtig erscheinen. So wird z.B. in einem "Server"-Formular nur der Benutzername und das Passwort verschlüsselt (besser währe, wenn auch der Formularname (ist meistens gleich Servername), die IP-Adresse und vor allem auch die angehängte Notiz verschlüsselt werden würde ;-).

Leider machen auch Profis Fehler. So war es viel zu einfach herauszufinden, wo das Passwort hinterlegt wird. Nachdem ich es über einen Soupeditor schlicht und ergreifend gelöscht hatte, konnte ich auf die Daten ohne weiteres zugreifen. Das Ganze dauert nicht einmal 3 Minuten. Schade, wirklich schade. ;-(

Fazit: "passKeep" ist ein gut durchdachtes Programm, jedoch mit mäßigem Schutz vor illegalem Zugriff auf die geheimen Daten. Die PINs meiner Geldkarte und wichtige Zugangscodes würde ich diesem Programm nicht anvertrauen.

Geek Save

"Geek Save" (Version 1.02 / 27. Dezember 1998) von NEWTOPIA (http://newtopia.com) ist ein Freewareprogramm, mit dem man ebenfalls Passworte für Server und Programme, sowie PINs für Geldkarten verwalten kann.

Es ist zwar nicht ganz so umfangreich und komfortabel wie "passKeep", jedoch ist es für die tägliche Arbeit durchaus ausreichend. Und – es kostet nichts! ;-)

Nur leider sind die Sicherheitsmängel in diesem Programm noch viel größer als bei "passKeep". So ist es bei diesem Programm völlig belanglos, das sich die Passwortabfrage über einen nicht ganz legalen Weg deaktivieren läßt. Viel schlimmer ist, daß die Daten unverschlüsselt abgespeichert werden. Das heißt, daß wirklich jeder, der nur ein bißchen Ahnung vom Newtonsystem hat, ohne Probleme die PINs Deiner Geldkate, die Passworte Deiner Benutzerkennungen und die Zugangscodes Deiner Internetseiten, etc. auslesen kann!!!

Fazit: Dieses Programm ist gefährlich, gaukelt es doch einem eine Sicherheit vor, die es hier nicht einmal Ansatzweise gibt. Für die Erfassung brisanter Daten kann ich für die Verwendung von "Geek Save" nur eines empfehlen: Finger weg!

Nick's Fort Knox

"Nick's Fort Knox" (Version 1.2.2 / 21 Juni 1998) von Nick Müller (http://www.logictools.de) verwendet einen leeren Notizzettel für alle Arten der Erfassung – keine Formulare für die Verwaltung von Serveraccounts, Programmpassworten und PINs, keine Eingabefelder, keine Gliederung – nur ein leeres Notizblatt. Und was soll ich euch sagen: Es funktioniert.

Sicher, die Datenerfassung ist damit nicht ganz so komfortabel wie z.B. mit "passKeep", jedoch ist sie auch durch keine Formulare eingeschränkt. Dieses Notizblatt ist für alles offen. Man kann damit sogar Grafiken erfassen.

Interessant ist auch die Notizblock-Importfunktion. Damit lassen sich allerdings nur "normale" Notizen (inklusive Grafiken) importieren, jedoch keine Gliederungen, etc.

Ich vermag zwar das nicht Maß der Dinge zu sein, aber zumindest mir gelang es nicht, das Programm zu überlisten und schnell mal einen Blick auf die unverschlüsselten Daten zu werfen.

Fazit: Diesem Programm würde ich ohne zu zögern meine "geheimen" Daten anvertrauen - jedoch nicht der Sharewareversion: Sie läßt nämlich nur einen einstelligen PIN als Passwort zu (Scherzkeks!).

Private Access

"Private Access" (Version 2.1 / 24 September 1997) von Bob Patin (kein Link verfügbar) arbeitet ähnlich wie "Nick’s Fort Knox", jedoch kann das Erfassungsformular keine Grafiken darstellen. Eine Import-Funktion fehlt leider auch und die Bedienung ist sehr gewöhnungsbedürftig.

Trotzdem wurde dieses Programm im NEWTONVILLE (http://inficad.pdacentral.com/newtonville/newtsystem_security.html) mit 5 von 5 Punkten (Äpfeln) besser bewertet als "Nick’s Fort Nnox" (4,5 von 5 Punkten).

Den Grund dafür liefert die Beschreibung:

"Man muß unbedingt das richtige Passwort eingeben, um an die Daten zu gelangen. Es gibt keine andere Möglichkeit. Über 10.000.000 Passwortkombinationen!!! Alle Daten, inklusive des Passwortes, sind verschlüsselt niemand kann sie mit einem Soupeditor lesen."

Alles in allem ein Programm, daß einem das Gefühl gibt, die Daten sind hier wirklich, wirklich sicher. Na, das wollen wir doch mal testen ...

Während der ersten Versuche kam Freude auf - das Programm hielt tatsächlich stand. Doch dann ging es ans Eingemachte: seine eigene, durch ein elend langes Passwort geschützte Datenbank (DB umbenennen, Programm - jetzt mit zurückgesetztem Passwort ("0") - starten, Leereinträge mit neuem Passwort ("0") sichern, Programm verlassen, die DB-Einträge zurückspielen, Programm erneut starten – Passwort ist noch immer "0" – dann die geheimen Einträge in aller Ruhe ansehen). Wenn man erst einmal weiß, wo man welche Veränderung vornehmen muß, dauert es keine 5 Minuten, um den Passwortschutz zu umgehen. Und wenn die Daten nicht einmal mehr dekodieren werden müssen, um sie zu lesen, wo bleibt da der Spaß? ;-(

Fazit: Hier wird wieder einmal gezeigt, daß man nur stark genug auf den Putz hauen muß, um überall gut bewertet zu werden. Das geht jedoch nur so lange gut, bis einer auf die Idee kommt, die versprochene Integrität zu testen.

Secret

"Secret" (Version 2.1.4 / 23 November 1998) vom Softwarebüro Müller (http://www.sbm.nu) ist eine kommerzielle, leicht zu bedienende Erweiterung des Notizblocks, um darin enthaltene Daten zu verschlüsseln und zu verstecken. Die Demo ist für 30 Tage lauffähig.

Für die Verschlüsselung der Daten muß man in den entsprechenden Notizen über ihre Eigenschaften (Briefsymbol) das Flag "schützten" auswählen. Drückt man dann auf das Hauptschloß (Symbolleiste unten) und wählt "Verschließen", so werden alle diese Notizen aus dem Notizblock entfernt. Das heißt, daß sie aus der Datenbank des Notizblocks richtig gelöscht werden! NICHTS deutet auf ihre Existenz hin. Kein Titel, kein Platzhalter, sie sind schlicht und ergreifend nicht mehr vorhanden.

"Secret" bewahrt diese Notizen in einer eigenen Datenbank in verschlüsselter Form auf (das bedeutet, daß die Notizen auch dann versteckt bleiben, wenn man das Programm "Secret" wieder entfernt!).

Drückt man im Notizblock auf das Hauptschloß, um es zu "öffnen", so werden nach Eingabe eines Passwortes die geschützten Notizen wieder in den Notizblock zurückgeschrieben.

Da das eingegebene Passwort in den Verschlüsselungsalgorithmus mit einfließt, sind jegliche Versuche die Passwortabfrage zu überlisten zwecklos (Soup entleeren, das Schloß [jetzt ohne Passwort] "öffnen", Passwort ändern, Entries aus der Soupkopie zurückspielen nichts hilft. Die Erweiterung erkennt beim Dekodieren automatisch, daß das Passwort nicht zu den verschlüsselten Notizen paßt). Wirklich gut.

Die Einschränkung der Arbeitsweise von "Secret" bringt auch nichts, da man es für die Entschlüsselung der Daten auf jeden Fall braucht. So ist es zwar sehr leicht möglich, das Passwort für das Sicherungsverfahren zu manipulieren, jedoch müssen die Daten ja zuvor erst einmal wiederhergestellt werden. Und das geht eben nicht ohne das Originalpasswort! Somit sehe ich keine Möglichkeit ohne großen (wahrscheinlich sogar extrem großen) Aufwand an die unverschlüsselten Daten heranzukommen.

Hinweis: "Secret" und "Secret Names" (eine Erweiterung mit der man nach dem selben Prinzip Karteikarten aus der Adressverwaltung schützen kann) werden noch immer supportet.

Fazit: Dieses Programm ist für mich in Sachen Notizverschlüsselung die erste Wahl, zumal die zu schützenden Notizen zusätzlich versteckt werden.

SuperNotepad

"SuperNotepad" (Version 1.87) von "Stand Alone at" (www.standalone.com) ist ein besonderer "Leckerbissen" in Sachen Notizbearbeitung. Die Verschlüsselung der Notizen ist nämlich nur eines von sehr vielen zusätzlichen Funktionen, mit denen "SuperNotepad" den Notizblock so richtig aufpäppelt.

Um eine Notiz vor neugierigen Blicken zu schützen, wählt man aus dem Briefsymbol einfach den Menüpunkt "Encrypt" aus und weist ihr ein Passwort zu. Es wird nur der Notizinhalt, nicht jedoch der Notiztitel verschlüsselt und versteckt. Man kann den Titel aber für den Zeitraum der Sperre ebenfalls ändern (er wird dann nach der Freischaltung wieder zurückgesetzt).

Hinweis: Auch wenn für die Passworteingabe nur Zahlen angeboten werden vergeßt es. Ein Doppelklick genügt, und die alphanumerische Tastatur erscheint ;-)

Es ist mir auch hier nicht gelungen, ohne die Passworteingabe auf die Daten zuzugreifen (man müßte schon ein geeignetes Formular entwickeln, um die Daten anzeigen zu können - und selbst dann ist es mehr als fraglich, ob man in der Lage ist, die Daten ohne weiteres zu entschlüsseln).

Ob es sich bei der Verschlüsselungsroutine um eine simple Binärverschiebung handelt, oder ob ihr die Zyklen des im Newton integrierten, bipolaren Plasmainjektors oder gar die tranzsexuellen Mondphasen zu Grunde liegen wer weiß? Die Notizen werden auf jeden Fall verschlüsselt und erfüllen somit meine höchst eigenen Sicherheitskriterien. Anders als bei "secret" ist das Programm aber nicht in der Lage, die Notizen vollständig zu verstecken (der Titel und damit ein Hinweis auf die "geheime" Notiz bleibt bestehen).

Fazit: Alles in allem ein klasse Programm nicht nur wegen der Notizverschlüsselung. Kann ich jedem nur empfehlen!

Hinweis: In der Bewertung geht es nur um den Aspekt der Verwaltung geheimer Daten mit Hilfe des SuperNotepads. Alle zusätzlichen Funktionen dieses Programmes fließen nicht in die Wertung mit ein.

DinoCrypt

"DinoCrypt" von DINOWARE ist ebenfalls ein kommerzielles Programm. Es beschreitet allerdings einen etwas anderen Weg, um die "geheimen" Daten vor neugierigen Blicken zu schützen:

Hier wird die zu schützende Notiz nicht mit einem Passwort gesperrt und der Inhalt versteckt. Vielmehr wird der markierte Text der Notiz vor den Augen des Anwenders verschlüsselt. Das soll angeblich nicht nur im Notizblock funktionieren.

Leider habe ich dieses Programm bei mir nicht zum laufen gebracht. ;-( Deshalb auch keine Bewertung. Preis: $15.

NDcrypt

"NDcrypt" (Version 2.0 / 01. Juni 1996) von Geert Jadoul arbeitet nach dem gleichen Prinzip, jedoch werden hier nur komplette Notizen vor den Augen des Anwenders verschlüsselt. Zu sehen sind danach nur noch Zahlen und eine Art Bemerkung.

So wird aus dem Text

"Das ist ein Test"

eine verschlüsselte Botschaft in Form von

"<PsWd> Kommentar
237031283576549841034198715656789716798413217
635468841567981365789746543516476843134343515
987156"

Entschlüsseln kann man das ganze Wirrwarr nur mit dem Programm "NDcrypt" und der dazugehörigen PIN.

Mal abgesehen davon, daß dieses Programm nur in der Lage ist, einfache Notizen zu verschlüsseln (also keine Checklisten, Gliederungen, etc.), hat es nach einigen Versuchen auch noch meine streng geheime Botschaft "Das ist ein Test" in "B_q[]gqr[]cg|[]Rcqr" verwandelt. Wer nicht fließend Hieroglyphisch lesen (und vor allem auch verstehen) kann, der sollte dem Programm keine wichtigen Daten anvertrauen, denn dieses Mißgeschick ließ sich nicht mehr Rückgängig machen.

Fazit: Alles in allem hat mich "NDcrypt" nicht vom Hocker gehauen. Deshalb versuche ich gar nicht erst, den Passwortschutz zu umgehen. Da hier das Passwort in die Verschlüsselungsroutine mit einfließt, glaube ich ehrlich gesagt auch nicht, das es mir ineiner angemessenen Zeit gelingen würde ;-)

Der gebürtige Paranoid, der vor jeder Eingabe seines Passwortes die eigenen Spiegelbilder mit Tüchern verhängt, könnte nach diesem Artikel etwas verunsichert sein: Der Newton als Träger geheimer Informationen? Niemals! Nicht nach diesem Artikel. Die geheimen Informationen sind dem Massagepad ja verhältnismäßig leicht zu entnehmen!

Falsch, denn die Aussage "verhältnismäßig leicht" deutet schließlich auf einen Vergleich hin – im Verhältnis zu wen oder was? Einem PC? Nach meiner Einschätzung kann jeder durchschnittliche PC-Anwender mit einem Internetzugang mindestens 50% aller passwortgeschützen Informationen auf seinem PC selber "knacken" er muß es nur versuchen. Weitere 25% werden von den PC-Profis vereinnahmt. Für die restlichen 25% braucht man Spezialisten, die sich jedoch an ca. 5% noch immer "die Zähne ausbeißen". So gesehen sind heute nicht einmal 5% aller Passwortschutzprogramme wirklich sicher. Morgen kann es für eben diese Programme schon ganz anders aussehen.

Eine einfache Rechnung: Fast jeder ist ein PC-Anwender und es gibt unter ihnen verdammt viele Profis – aber wer kennt sich schon mit einem Newton aus? Wer von denen weiß, was ein Soup ist, wie man Entries bearbeitet, Slots manipuliert und wie zum Henker umgeht man die Passwortabfrage eines Newtonprogrammes?

Und genau aus diesem Grund sind die Daten im Newton wirklich gut aufgehoben.

Wem das nicht reicht, gebe ich noch ein paar Tips, wie sich die brisanten Daten noch besser schützen lassen:

Regel Nr. 1: Egal welches Programm Du zum Schutz Deiner geheimen Daten verwendest, nehme niemals die selbe PIN, mit der Du auch Deinen Newton geschützt hast (gemeint ist z.B. die Passwortabfrage beim Einschalten, etc.). Wenn jemand unerlaubt auf die Daten Deines Newton zugreifen kann, dann kennt er das Passwort wahrscheinlich schon (es läßt sich auch leicht herausfinden z.B. mit dem Programm "Battering Ram Pro", welches man über eine Speicherkarte einfach im gesperrten Newton aktivieren kann).

Regel Nr. 2: Es sollte möglichst vermieden werden, dem Eindringling auf das Vorhandensein geheimer Daten überhaupt erst hinzuweisen. Wenn Du also ein Programm wie z.B. "PassKeep" verwendest, dann verstecke es einfach (indem Du z.B. "passKeep" in "Zeitzone MEZ" umbenennst, ihm ein unauffälliges Speichericon zuweist und es im Ordner "Speicher" ablegst). Die Tools, die Du dafür benötigst, findest Du z.B. bei den "SBM:Utilities" vom Softwarebüro Müller. Eine kurze Beschreibung, wie man mit den Utilities umgeht, findest Du bei den Artikeln im netwton-lifestyle.de.

Regel Nr. 3: Jedes Programm hat seine Schwachstellen. Aus diesem Grund kann man seine Daten nur mehr oder weniger gut, jedoch niemals Hundertprozentig schützen. Deshalb:

Verschlüssele Deine wichtigsten Daten nach Deinem eigenen System und trage sie dann in verschlüsselter Form in das Programm ein. Hier ist ein Verschlüsselungssystem, welches man sich extrem leicht merken kann und das dennoch schwer zu knacken ist:

Die PIN

"1256"

die zu einer Geldkarte gehört, soll verschlüsselt im Newton hinterlegt werden. Dazu benötigt man z.B. eine alte Telefonnummer, Schlüsselnummer oder ähnliches. Eine Nummer, die Du auswendig kennen solltest, die aber schon Jahrelang nicht mehr verwendet wird und die auch nicht im privaten Telefonbuch stehen darf. Hier wird als Beispiel die Telefonnummer

5 3 9 7 1 0 4 3

genommen. Die Zahlen die nicht in dieser Nummer vorkommen sind

2 6 8

Diese hängt man der Telefonnummer einfach an. Die Zahlen die sich daraus ergeben sind

5 3 9 7 1 0 4 3 - 2 6 8

Die zu verschlüsselnde PIN lautet ursprünglich "1256". Die "1" steht in der o.g. Zahl an fünfter stelle, die "2" steht an neunter Stelle, die "5" an erster Stelle und die "6" an zehnter Stelle. Die verschlüsselte Nummer lautet also "5.9.1.10". Diese kann man getrost im Newton eintragen und mit dem Programm schützten. Knackt jemand das Programm, so kann er mit den Daten noch immer nichts anfangen.

Kritik und Kommentare an Ronald Ramlow