Zur Hauptnavigation springen [Alt]+[0] Zum Seiteninhalt springen [Alt]+[1]

Verschlüsselte Archive mit 7-Zip

Um was geht es da noch mal?

Wie bereits im Rahmen der Bedienung von 7-Zip beschrieben, können die Daten in einem Archiv auch verschlüsselt werden. Typische Einsatzszenarien sind:

  • Personenbezogene Daten sollen als E-Mail-Anhang übertragen werden
  • Sensible Daten, die nicht so häufig benötigt werden , sollen auf einem Datenträger gespeichert / archiviert werden, der auch Dritten zugänglich ist.
    Anmerkung: Für häufiger benötigte Daten sind komprimierte und verschlüsselte Archive absolut ungeeignet! Hierfür sind Werkzeuge wie VeraCrypt sinnvoll!
  • Prüfungs-Aufgaben sollen an Kolleg/innen auf einer CD versandt werden
  • ...

Im Fall von verschlüsselten Archiven erfolgt nicht nur eine Komprimierung der Daten, sondern auch eine Unkenntlichmachung dieser Daten. Diese Verschlüsselung kann nur mit Wissen des zugehörigen Passworts wieder rückgängig gemacht werden kann (symmetrische Verschlüsselung).

Im Rahmen von verschlüsselten Archiven sollten folgende Punkte berücksichtigt werden:

  1. Die Verschlüsselung unter Verwendung des Dateiformats ZIP ist nicht durchgehend standardisiert. Es kann zu Inkompatibiläten zwischen der Software beim Absender und beim Empfänger kommen.
     
  2. Beim Dateiformat ZIP kommt bei den meisten Anwendungen keine harte Verschlüsselung, sondern propietäre Standards zum Einsatz. Ob diese Verschlüsselungsmechanismen sicher sind ist nicht so tief geprüft wie bei dedizierten Verschlüsselungs-Algorithmen. Die Mechanismen sind definitiv gegen diverse Angriffsvarianten (z.B. Brute-Force-Angriffe) anfälliger.
     
  3. Dateinamen in einem Archiv sind oft auch schon sehr verräterisch. Die Autor/innen verwenden oft sprechende Dateinamen. So wird evtl. im Dateinamen einer Prüfungsaufgabe bereits sichtbar welches Wissen man für die Lösung benötigt. Oder der Dateinamen enthält seinerseits schon personenbezogene Daten - siehe dieses Beispiel ...
     
    Unverschlüsselte Dateinamen in einem Archiv

7-Zip bietet mit dem 7z-Archivformat eine Alternative die diese Schwachstellen vermeidet. Das 7z-Dateiformat ...

  • ... hat das Dateiformat auch bei verschlüsselten Archiven standardisiert
  • ... verwendet ausschließlich den harten, symmetrischen Verschlüsselungalgorithmus AES-256
  • ... bietet die Möglichkeit auch die Dateinamen per Verschlüsselung zu schützen

Erstellung eines sicheren, verschlüsselten 7z-Archivs unter Microsoft Windows

Neben dem bereits beschriebenen Erstellen eines 7z-Archivs sind dabei folgende Einstellungen vorzunehmen:

Verschlüsseltes 7z-Archiv erstellen

Nehmen Sie im Block "Verschlüsselung" folgende Einstellungen vor:

  1. Verwenden Sie ein sicheres Passwort ein. Sicher bedeutet ...
    • eine ausreichende Länge - derzeit (2014) mind. 12 Zeichen
    • verschiedene Zeichenklassen - typisch Groß- und Kleinschreibung, Zahlen, Sonderzeichen
       
  2. Wiederholen Sie das Passwort im zweiten Eingabefeld
     
  3. Aktivieren Sie die Verschlüsselung der Dateinamen

Ein deart veschlüsseltes Archiv zeigt beim Öffnen keinerlei Daten an. Es wird zuerst die Eingabe des Passworts verlangt.

Voll verschlüsseltes Archiv - erst das Passwort

Erstellung eines sicheren, verschlüsselten 7z-Archivs unter Unix/Linux

Für viele Plattformen aus dem Bereich Unix / Unix-Derivate / Linux steht das Software-Paket p7zip zur Verfügung. Es enhält u.a. das Kommandozeilen-Utility 7z . Mit diesem Utility können ebenfalls per Passwort verschlüsselte Archive erstellt werden. Das zugehörige Kommando lautet:

7z a -mhe=on -pmy_passwort archiv.7z ein-verzeichnis

Dieses Kommando fügt das Verzeichnis ' ein-verzeichnis ', incl. aller enthaltenen Dateien und weitrer Unterverzeichnisse, zum Archiv 'archiv.7z ' hinzu. Dabei werden die Header-Einträge des Archivs (Dateinamen) verschlüsselt. Das verwendete Passwort lautet ' my_passwort '.

Passwort-Übermittlung

Ein typisches Problem ist im Rahmen eines E-Mail-Anhangs die Übermittlung des Passworts vom Absender an den / die Empfänger. Das Passwort in die gleiche E-Mail zu schreiben, oder in eine später an die gleichen Personen gesandet E-Mail, ist natürlich nicht sinnig!

Es bieten sich insbesondere die folgenden Arten der Passwort-Übermittlung an:

  • Das Passwort wurden zwischen allen Beteiligten bereits im Vorfeld vereinbart. Eine elektronische Übermittlung ist damit obsolet.
     
  • Das Passwort wird über eine andere Technologie übertragen - z.B. per SMS, wenn das verschlüsselte Archiv per Mail übertragen wird. Hier existiert bei der heutigen Art von Geräten (Smartphones, 3G-Tablets) allerdings die Gefahr, dass sowohl das Archiv als auch SMS am selben Gerät ankommen. Deshalb ...
     
  • Telefonische Übermittlung per Sprache.