Sicherheit

Sicherheit in der IT aus der Sicht eines Laien

Wichtige und vertrauliche Dokumente sollten vor dem Versand per Email vom Absender unbedingt verschlüsselt werden.
Das Passwort sollte dem Empfänger möglichst auf anderem Wege, zumindest aber in einer gesonderten Email mitgeteilt werden.

Wenn Sie eine verschlüsselte Datei erhalten, benötigen Sie zunächst
1. ein Programm, um die Daten wieder in das Originalformat zu bringen („entpacken“) und
2. das Passwort zum Entschlüsseln.

rar- oder zip-Dateien entpacken Sie am besten mit WinRAR. Falls das Programm noch nicht auf Ihrem Rechner installiert ist, können Sie es hier auf der offiziellen Homepage laden.
Hier wird der Downloadvorgang genauer erläutert.

Wählen Sie zwischen der 32- oder der 64-bit-Version. Falls Sie nicht sicher sind – die 32-bit-Version funktioniert mit jedem Windows-Rechner.

Installieren Sie das Programm. Die einzelnen Schritte werden erklärt; Sie brauchen an den Voreinstellungen nichts zu ändern.

Speichern Sie die verschlüsselte Datei in Ihrem Downloadordner ab. Anschließend öffnen Sie den Downloadordner, klicken mit der rechten Maustaste auf die verschlüsselte Datei und wählen „hier entpacken“ (siehe Abbildung). WinRAR wird Sie jetzt nach dem Passwort fragen. Sie müssen das Passwort genau so eingeben, wie es Ihnen genannt wurde – Groß- und Kleinschreibung sind wichtig.

Wenn das Passwort korrekt eingegeben wurde, schreibt WinRAR jetzt die Originaldatei in Ihren Downloadordner. Sie können sie dann mit den üblichen Programmen öffnen und bearbeiten.

Die verschlüsselte Datei können Sie anschließend löschen, denn Sie verfügen jetzt über das Original. Bedenken Sie aber, dass die Originaldatei nicht mehr passwortgeschützt ist und von jedermann mit Zugang zu Ihrem Rechner geöffnet werden kann.

hier entpacken

„Hier entpacken“

WinRAR dürfen Sie 40 Tage lang kostenlos testen. Der Test erfordert keine An- oder Abmeldung. Nach Ablauf des Testzeitraums sollten Sie eine Lizenz erwerben oder das Programm deinstallieren.

Wenn Sie nicht möchten, dass bereits beim Öffnen des Archivs Informationen zum Inhalt (Dateinamen, Erstelldatum, die Größe enthaltener Dateien u.s.w.) angezeigt werden, dann sollten Sie die Option „Dateinamen verschlüsseln“ im Passwort-Dialogfenster wählen.

Dateinamen verschlüsseln

Bitte klicken Sie auf das Bild, um es zu vergrössern


Ist „Dateinamen verschlüsseln“ gewählt, dann wird unmittelbar nach dem Öffnen des Archivs die Passwortabfrage eingeblendet und es lassen sich keinerlei Rückschlüsse auf die enthaltenen Dateien ziehen.

Wenn Sie weniger sensible Daten packen oder niemand sonst Zugriff auf Ihre Archive hat, kann es sinnvoll sein, die Dateinamen nicht zu verschlüsseln. Bei der Suche nach bestimmten Dateien in mehreren Archiven ersparen Sie sich dadurch die wiederholte Passworteingabe.

In diesem Video können Sie den Unterschied erkennen (Link öffnet ein neues Fenster): Im ersten Durchgang werden die Dateinamen nicht verschlüsselt, im zweiten Durchgang sind sie verschlüsselt.

Das Verschlüsseln der Dateinamen ist nicht als Standard festgelegt, aber das können Sie leicht ändern.

divider

Die WinRAR-Videos öffnen sich in einem neuen Fenster Ihres Browsers, damit sie etwas größer dargestellt werden können.

Das Verschlüsseln von Daten funktioniert genau so wie das Komprimieren – Sie müssen lediglich vorher ein Passwort festlegen.

Sie können WinRAR starten, den zu verschlüsselnden Ordner im Dateimanagement-Modus suchen, ihn wie gewohnt packen – davor aber das Passwort eingeben.
Hier sehen Sie in einem kurzen Videobeispiel, welche Schritte vorzunehmen sind:
Ordner verschlüsseln in WinRAR

Sie können den Ordner aber auch direkt aus Ihrem Windows-Dateimanager (über Rechtsklick / WinRAR / zum Archiv hinzufügen) verschlüsseln. Auch hier müssen Sie vor dem Bestätigen durch OK das Passwort festlegen.
Ordner verschlüsseln über das Kontextmenü

Im zweiten Video können Sie auch gleich die Bedeutung der Funktion „Dateinamen verschlüsseln“ kennenlernen. Beim ersten Packvorgang ist die Option nicht gewählt. Beim Öffnen des Archivs wird der Inhalt angezeigt und erst beim Entpacken nach dem Passwort gefragt.
Wenn Sie auch die Dateinamen verschlüsseln, wird bereits beim Öffnen des Archivs nach dem Passwort gefragt und der Archivinhalt bleibt im Verborgenen.

Die WinRAR-Videos öffnen sich in einem neuen Fenster Ihres Browsers, damit sie etwas größer dargestellt werden können.

Ein Anwender weist mich heute auf folgendes Problem hin:

WinRAR Dateinamen-Spoofing (Link zu YouTube)

Danach ist es möglich, Dateinamen innerhalb von zip-Archiven zu ändern und damit Dateiarten zu verschleiern.
rar-Archive sind nicht betroffen.

Wir haben die Programmierer informiert und werden die Antwort hier veröffentlichen.

divider

Hier die Antwort von Eugene Roshal (04.04.14):

According to our tests it is not present in all WinRAR 5.x versions
beginning from WinRAR 5.00 release.

Eugene

Und hier noch eine ausführlichere Stellungnahme von Eugene (nachgetragen am 22.04.2014):

WinRAR 4.20 is vulnerable to ZIP file name spoofing. Please upgrade to WinRAR 5.00 release or later, which are not vulnerable.

Description

As reported by http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html, it is possible to create a specially crafted ZIP archive, so WinRAR 4.11 and 4.20 will display one archived file name while browsing archive contents, but assign another name to unpacked file. It leads to possible security risks for WinRAR 4.x users.

We investigated this issue and found that all WinRAR 5.x versions beginning from WinRAR 5.00 release are not affected, so we recommend WinRAR 4.x users to upgrade. If you still need to use WinRAR 4.20 for some reason, avoid opening files directly from ZIP archives and carefully check names of unpacked files before opening them.

We noticed a claim that WinRAR 5.10 is vulnerable:
http://intelcrawler.com/news-15
http://intelcrawler.com/report_2603.pdf
copied by some news sites. We asked intelcrawler.com owners to provide a proof of this claim, but did not receive any response. According to our investigation, WinRAR 5.00, 5.01 and 5.10 do not have this issue.

Also both sites listed above mention that „WINRAR adds several properties of its own“ to ZIP format, which is not true. Data which they report as WinRAR specific property is a standard ZIP central directory record, mandatory for any valid ZIP archive.

RAR archives and archives of other formats are not affected by this vulnerability.

Nebenbei bemerkt:
Grundsätzlich sollten Dateierweiterungen vom Betriebssystem immer angezeigt werden. Damit wären viele aktuelle Sicherheitsprobleme aus der Welt.
Microsoft erklärt Ihnen hier, wie Sie die Dateierweiterungen in Windows anzeigen können. Danke!
Viel besser wäre es, diese Option wäre standardmäßig aktiviert.