ubuntuusers.de

Hallo,

seit längerer Zeit benutze ich Dropbox und Co. Seit kurzem lege ich dort auch halb-vertrauliche Daten ab - bisher in einer Office-Tabelle mit Kennwort. Gestern habe dann den Wiki-Artikel über Verschlüsselung mit TrueCrypt in der Dropbox gelesen.

Da stellte sich für mich plötzliche die Frage, ob ein Passwort-Schutz für Office-Files überhaupt Sinn macht. Wenn der Quelltext eines Programms wie OpenOffice oder LibreOffice offen liegt, dürfte es ja programmier-technisch kein Problem sein, die Passwort-Abfrage beim Öffnen eines Files einfach zu umgehen. Oder wird die Datei mit dem Kennwort gar verschlüsselt? Ein Passwort macht doch wirklich NUR bei Verschlüsselung Sinn. Oder liege ich da falsch?

Bin gespannt auf Eure Antworten.

Gruß und danke schon mal.

Das hängt von der Anwendung ab. OpenOffice - und damit mit ziemlicher Sicherheit Libreoffice auch, verschlüsseln die Dokumente wenn du die mit einem Passwort schützt. Siehe:

http://de.openoffice.info/viewtopic.php?f=3&t=15627
http://www.velocityreviews.com/forums/t221048-help-forgot-password-of-my-openoffice-doc.html (englisch)

Die Sicherheit deiner Daten hängen also von der Qualität deines Passwortes ab. Die Passwortabfrage kann somit auch bei Abänderung des Quelltextes der OfficeSuite nicht umgangen werden.

Anders sieht es aus wenn Programme abhängig vom Passwort Funktionen einschränken. Der Adobe Reader macht das meines Wissens nach so - man möge mich korrigieren. Dort gibt es ja die Möglichkeit das man eine PDF "nicht ausdrucken, nichts kopieren, etc." kann. Das läuft wohl nur über Statuswerte in der PDF. Sobald ich die PDF entschlüsselt habe (mit dem Passwort) kann ich mit dem passenden Reader tun und lassen was ich will. Ich hatte das mal bei einer PDF von meiner Hochschule. Der Adobe Reader weigerte sich das auszudrucken weil die PDF entsprechend eingestellt war. Evince war das ziemlich egal.

Das nenne ich mal wieder eine prompte Antwort.

Vielen Dank für die Ausführungen. Falls Interesse besteht, können wir hier ja mal sammeln, welche Passwörter

A. einen "richtigen" Schutz durch tatsächliche Verschlüsselung darstellen oder

B. nur eine Einschränkung darstellen, die von der jeweiligen Anwendung abhängig ist

Ich gehe bspw. davon aus, dass eine eine "geschützte" Tabelle (LibreOffice-Funktion Extras ⇒ Dokument schützen) zu B gehört, ein Passwortschutz zum Öffnen einer pdf dagegen zu A. Richtig? Damit wäre betont, dass nicht nur die Länge des Passworts und die Anwendung entscheidend sind, sondern auch und gerade DAS, was sich hinter dem Passwortschutz genau verbirgt ⇒ Verschlüsselung oder nicht.

Nach meinem Kenntnisstand ist es umgekehrt pdf → B, OpenOffice → A.

Allerdings gibt es hier ein weiteres Risiko dessen man sich bewusst sein sollte: Nehmen wir mal an, dass ein Programm beim Setzen eines Passwortes tatsächlich die gesamte Datei verschlüsselt. Soweit so gut - der neugierige kleine Bruder, der WG-Mitbewohner oder der Kollege der in der Mittagspause mal 10 min Zeit hat sind somit ausgesperrt. Wenn du deine Dateien aber irgendwo hochlädst, besteht das Risiko, dass jemand unbemerkt Kopien deiner Dateien anfertigt und danach alle Zeit der Welt hat um sich Zugang zu verschaffen. Das Risiko hierfür musst du selbst einschätzen; bei dem Backup deiner Diplomarbeit eher vernachlässigbar, bei Firmendokumenten je nach Branche durchaus realistisch. An diesem Punkt kommt die Qualität der eingesetzten Verschlüsselung bzw. deren Implementierung ins Spiel, d.h.nach welchem Verfahren wird verschlüsselt und wird dieses auch korrekt umgesetzt?.

Bei einer gut dokumentierten, vielfach eingesetzten und seit Jahren etablierten Open Source-Verschlüsselungssoftware wie z.B. Truecrypt würde ich davon ausgehen, dass sie sicher ist. Einerseits haben da mit der Materie vertraute Kryptographen und Programmierer dran gearbeitet bzw. geprüft, andererseits ist Truecrypt weit verbreitet und Berichte über erfolgreiche Angriffe würden sich bei einer hohen Nutzerzahl noch eher finden, als wenn ohnehin nur eine Hand voll Nutzer das Programm einsetzen. Bei einem Programm, bei dem jemand der sonst mit Kryptographie nichts am Hut hat und (überspitzt ausgedrückt) als Hobby-Programmierer mal so zwischendurch als Gimmick eine Verschlüsselungsoption einbaut, wäre ich da deutlich vorsichtiger 😉.

Falls dir Truecrypt für deinen Zweck nicht gefällt, würde ich für einzelne Dateien GPG empfehlen.

Letztlich ist es a) eine Frage des eigenen Bedrohungsszenarios und b) wem man eher vertraut (Die wenigsten haben die Zeit und das Wissen den Quellcode aller ihrer sicherheitsrelevanten Software zu sichten und auch hinreihcend gut zu verstehen um etwaige Probleme zuverlässig erkennen zu können).

Hey, Ihr seid klasse. Ich setze den Fred mal auf gelöst. Weitere Erläuterungen, Ideen, Links usw. sind ja trotzdem willkommen.