die raven homepage
No Big Brother / Seite 2
Kryptografische Programme

Für jede Person, die Zugriff auf den eigenen Rechner hat, sind alle dort gespeicherten Daten greifbar. Seien es verfasste Texte wie Briefe, Passwörter, die in einer Datei festgehalten werden, geschäftliche Informationen wie Abrechnungen oder Kontenverwaltungsdaten. Das gleiche gilt auch für Cracker, die über das Internet in den Rechner eindringen können, wenn dieser unzureichend geschützt ist.
Was für lokale Daten gilt, trifft auch auf alle E-Mails und andere textuellen Daten zu, die online ausgetauscht werden, denn alle Daten werden in lesbarer Klartextform übertragen und können deshalb durch Abfangangriffe mitgelesen werden.
Um lokale und online erfolgende Angriffe und Zugriffe zu verhindern, sollte man mit den folgenden Programmen und den darin implementierten Kryptografiealgorithmen E-Mails, lokale Dateien, Passwörter, Telefonate, Partitionen und Festplatten verschlüsseln. Im Internet kommt noch die Gefahr der Verfälschung übertragener Daten hinzu. Für diesen Zweck bieten einige der hier vorgestellten Programme Authentifizierungsmethoden über kryptografische Signaturalgorithmen an.

Linksammlungen und Archive
  • Wiretapped Kryptoarchiv
    Archiv mit allen bekannten Kryptoprogrammen
  • ZEDZ
    (ehemals REPLAY), populärer FTP Server mit grossem Angebot an krypto- und steganografischer wie sicherheitsrelevanter Software und Dokumentationen
  • Munitions
    Archiv mit kryptografischer Software für Linux.
Verschlüsselungslösungen für Dateien / Dateisysteme / Partitionen
  • PGP und GnuPG
    siehe nächste Sektion
  • Loop-AES/Cryptoloop
    Kernelmodul für Linux, mit dem man über das Loop Device AES-128 bis AES-256 verschlüsselte Containerdateien oder Partitionen erstellen kann.

    Anleitungen und Informationen:
    Pro-Linux
    Laufwerke verschlüsseln mit Loop-AES
    LinuxWiKi
    CryptoLoopDevice
    Philipp Letschert
    USB-Memory-Sticks verschlüsseln mit GNU/Linux
  • dm-crypt
    Mit den dm-crypt Tools, der bestehende Kernel 2.6 CryptoAPI und device-mapper werden bestehende Block Devices oder das Loop Device auf ein virtuelles dm-crypt Device gemappt und darüber verschlüsselt. Zur Verfügung stehen alle symmetrischen Algorithmen und Hashalgorithmen, die Bestandteil der CryptoAPI sind. dm-crypt wird Loop-AES/Cryptoloop ablösen.

    Anleitungen und Informationen:
  • Secure File System
    Festplattenverschlüsselungsprogramm, das ein Krypto Dateisystem implementiert.
  • Secure Device 1.4
    erzeugt mit IDEA verschlüsselte Partitionen über Gerätetreiber
  • Secure Drive 1.4 b
    SecureDrive ist ein 2.7K TSR, der bis zu 4 Partitionen und/oder 2 Floppys mit IDEA im CFB Modus verschlüsselt.
  • Safe Guard
    SafeGuard Easy erlaubt es dem Benutzer ausgewählte Berechtigungen zu erteilen (z.B. Abschalten der Diskettenverschlüsselung). Der Benutzer muss sich vor dem Start des Betriebssystems über eine Pre Boot Authentication anmelden, erst dann erhält er Zugriff auf z. B. mit IDEA oder Rijndael-256 verschlüsselte Festplatten oder Partitionen.
    SafeGuard wurde gemäß den Richtlinien der Common Criteria mit der Prüfstufe EAL3 zertifiziert.
  • SafeBoot
    bietet die gleichen Funktionen wie Safe Guard
  • HardEncrypt
    Open Source One-Time Pad Verschlüsselung unter Windows/MacOS/BeOS/Linux/FreeBSD.

    Bei OTP wird pro Datum, das verschlüsselt werden soll, ein einmaliger und zufälliger Schlüssel generiert, der sowohl dem Absender als auch dem Empfänger vorliegen muss. Es wird also nicht ein symmetrischer Schlüssel für alle Daten genommen.
    Die zuvor generierten OTP-Schlüssel müssen über einen absolut sicheren Kanal vorher an den Empfänger übergeben werden (d. h. persönliche Übermittlung), bevor verschlüsseltes Material ausgetauscht wird. OTP ist abhängig von einer Quelle wirklich-zufälliger Daten zur Schlüsselerzeugung und wird meistens nur von Regierungen und Organisationen in Hochsicherheitsbereichen eingesetzt ("verschlüsselte Telefonverbindungen über das Rote Telefon").
  • Blowfish Advanced CS
    ein deutsches Datei und Ordner Verschlüsselungsprogramm.
    Implementiert sind zur Zeit Rijndael (AES-256), Twofish (256-Bit/128-Bit Blockgröße), Serpent, Blowfish (448-Bit Keylänge), Triple-DES, PC1 [RC4] (160-Bit Keylänge), CAST, Cobra128, IDEA und MARS in Form der Kryptobibliothek CryptPak, in die mit Programmierkenntnissen in C weitere Algorithmen eingebaut werden können, die dann von BA CS automatisch erkannt werden, der Yarrow Zufallszahlengenerator und der SHA-1 Hashalgorithmus. Zur Datenkompression wird LZSS verwendet. Ausserdem ist ein Dateilöscher enthalten mit der Möglichkeit, Daten 1x, 3x oder 35x (nach Secure File System) zu überschreiben.
    Mit Serpent, Twofish und Rijndael enthält BA CS Algorithmen, die als die drei besten Algorithmen im Wettbewerb um den Advanced Encrytion Standard (AES) ermittelt wurden.

    Weitere Merkmale:
    • Umfangreiche Dateiauswahl (Explorer, Drag & Drop, Favoriten, ...)
    • Flexibles Löschen von freiem Speicherplatz
    • Komplette Integration in den Windows Explorer
    • Erweiterte innere Sicherheit (z. B. sicherer Speicher, indem der Windowscache umgangen wird)
    • Schnelle Umverschlüsselung von Dateien möglich
    • Unterstützung von Mehrfachverschlüsselung mit mehreren Schlüsseln
    • Netzwerkunterstützung
    • Erzeugung und Benutzung von Schlüsseldisks für portable Speichermedien
    Blowfish Advanced CS ist Freeware, der Sourcecode verfügbar.
    RC6-Treiber für Blowfish Advanved 97..
    Blowfish Advanced CS Kurzanleitung von Lasse Kolb
  • SecureTray Util
    Ein Tool, mit dessen Hilfe alle ScramDisk und E4M Funktionen per Mausklick über ein Trayicon verfügbar sind und PGPdisk & Bestcrypt aufgerufen werden können, integriert sich auch als Shellmenü.
    Außerdem sind eine Datei und Free Space Löschfunktion enthalten, die entweder intern oder über ein externes Programm ausgeführt wird.
    Desweiteren können mit SecureTray MD2, MD4, MD5, SHA, SHA-1, RIPEMD-128, RIPEMD-160, RIPEMD-256, RIPEMD-320 und GOST R 34.11-94 Hashwerte für Dateien erzeugt werden.
  • TrueCrypt
    Für Windows 2000 und XP zur Erstellung verschlüsselter Containerdateien, die als virtuelle Festplatte eingebunden werden oder zur Erstellung verschlüsselter Partitionen, USB Sticks und Floppys. TrueCrypt verwendet wahlweise AES-256, Blowfish-448, CAST, Triple-DES, RIPE-MD/160 oder SHA-1, basiert auf E4M 202a und ist Open Source. Verschlüsselte Containerdateien können auch unter Linux eingebunden werden.
  • BestCrypt
    verschlüsselt Daten in Containerdateien, die als virtuelle Partitionen gemountet werden und ist für Windows und Linux verfügbar.
    Eingesetzte Algorithmen: DES, CAST-128, IDEA, GOST-256, Blowfish-128/256/448, Twofish-256, Rijndael-256 und Triple-DES.
    Die Algorithmen liegen als Module vor. Bestehende Module können entfernt werden, genauso wie für andere Algorithmen neue Module mit dem BestCrypt Development Kit geschrieben werden können.
    Ein Beispiel ist das optional erhältliche IDEA Modul.
    Für die Zugangskontrolle per Passwort nutzt BestCrypt SHA-1 und bis zu 128 Zeichen lange Passwörter, außerdem bringt es ein (Swap)Dateilöschutility mit, um Daten auf sicherem Wege zu löschen.
    Alternative zu PGPdisk.
  • NCrypt
    GPL Open Source Programm für Linux und Windows zur symmetrischen Verschlüsselung einzelner Dateien mit TWOFISH, SERPENT oder RIJNDAEL (AES) und Löschen von Dateien nach Peter Gutmann oder DoD 5220.22-M per Kommandozeile.
  • Magic and Encrypted Magic Folders
    ein Programm zum Verstecken und Verschlüsseln von Ordnern.
  • CodedDrag
    eine Shellmenüerweiterung zur Verschlüsselung von Dateien im Explorer.
    Arbeitet mit dem Blowfish, Triple-DES und DES Algorithmus.
    Von der Universität Linz entwickelt
  • PC-Encrypt
    ein kleines Programm, um selbstextrahierende, mit Blowfish-448 im CBC Modus verschlüsselte Archive zu erstellen, die direkt mit PC-Encrypt per Mail versendet werden können.
    Zusätzlich integriert sich PC-Encrypt als Shellmenü.
  • Kremlin
    Kremlin benutzt die Algorithmen Blowfish, CAST-128, DES, RC4, Safer SK-128, NewDES sowie SHA-1 160-bit Hashes zur Verschlüsselung von Dateien, Verzeichnissen und E-Mails unter Windows und Mac OS.
    Zusätzlich beinhaltet Kremlin verschiedene Komponenten zum sicheren Löschen von Dateien.
    Kremlin liefert das SDK mit dem kompletten Source Code aus.
Verschlüsselungslösungen für IM / Chat / IRC / E-Mail / VoIP
  • GnuPG - The GNU Privacy Guard
    Ein freies Verschlüsselungsprogramm wie PGP nach dem OpenPGP Standard, aber ohne IDEA und RSA (können über Kryptomodule integriert werden), kompatibel zur DH/DSS Verschlüsselung von PGP 5/6, unterstützt ElGamal, DSA, 3DES, Blowfish, Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 und TIGER
    Hier finden Sie die GnuPG Anleitung
  • Freies und sicheres Instant Messaging mit Jabber und GnuPG/PGP
    Anleitung und Informationen zur Nutzung von Jabber als IM Client unter Linux oder Windows mit abgesicherter Kommunikation durch Verschlüsselung über OpenPGP (GnuPG) und SSL / TLS.
  • OTR (Off-the-Record Messaging)
    Kryptobibliothek von Ian Goldberg und Nikita Borisov, die ein eigenes Instant Messaging Protokoll implementiert, das über die libgcrypt Bibliothek AES, SHA1-HMAC, RSA und DSA Schlüssel mit dem Diffie-Hellmann Schlüsselaustauschprotokoll einsetzt, um die Verschlüsselung von Instant Messaging Nachrichten / Chats und die Authentitizät der Nachrichten / Chats während der Kommunikation zu gewährleisten.
    OTR ist dabei so angelegt, dass weder eine nachträgliche Entschlüsselung der Nachrichten noch eine beweiskräftige Zuordnung der Urheberschaft der Nachrichten weder von einem Angreifer noch von den Kommunikationspartnern selbst durchgeführt werden kann.
    OTR ist gegenwärtig (Stand: März 2005) in Form eines Plugins für den IM Client Gaim, einer Integration in den IM Client Adium für Mac und eines OTR Proxys für AIM/ICQ realisiert.
  • Zfone / ZRTP
    Verschlüsselungsprotokoll und -programm von Phil Zimmermann, Alan Johnston und Jon Callas für VoIP Softphone und Hardware Clients, die auf dem offenen SIP (Session Initiation Protocol) und RTP (Real-Time Transport Protocol) Standard basieren (im Gegensatz zum geschlossenen und propietären Skypeverfahren).

    Grundlage ist das ZRTP (Extensions to RTP for Diffie-Hellman Key Agreement for SRTP) Protokoll, mit dem per RTP und Diffie-Hellmann Schlüsselaustausch (mit 3072- / 4096-bit Schlüsseln) ein gemeinsamer Sessionkey (mit AES-128 / -256) zwischen den Kommunikationspartnern ausgehandelt wird. Anschließend wird mit dem Schlüssel eine verschlüsselte SRTP (Secure Real-time Transport Protocol) Verbindung aufgebaut.
    Zur Abwehr von Man-in- the-Middle Angriffen lesen sich die Kommunikationspartner gegenseitig kurze, alphanumerische Strings vor. Am Ende der Gespräche werden für Perfect Forward Secrecy die Schlüssel gelöscht.
  • SILC / SILCnet
    SILC ist die Abkürzung für "Secure Internet Live Conferencing". SILC ist ein eigenes Netzwerkprotokoll, dass kryptografische Verschlüsselung und Authentifizierung für Gruppenchats und Instant Messaging bietet. Die Netzwerkprotokollspezifikationen wurden der IETF zur Standardisierung eingereicht.

    An der Oberfläche, sprich in den SILC Clients, ähnelt SILC IRC, mit dem Unterschied, dass alle Datenpakete und Nachrichten immer verschlüsselt übertragen werden und sich zusätzlich Absender und Empfänger gegenseitig authentifizieren können. Dabei umfasst Absender / Empfänger den SILCnet Nutzer, die SILCnet Server, den Channel auf den SILCnet Servern und alle anderen SILCnet Nutzer. Ein weiterer Unterschied besteht in der SILCnet spezifischen Netzwerktopologie, die sich vom IRC Netz unterscheidet.
    Einen schnellen Überblick zu allen SILC Merkmalen bieten die Vortragsfolien zu SILC auf dem 6. Chemnitzer Linux Tag 2004.
    Für SILC gibt es eine Reihe von Clients für verschiedenste Plattformen:
  • Speak Freely
    Verschlüsselungsprogramm für IP-Telefonate mit AES, IDEA, Blowfish (mit unverschlüsseltem Text Chat) oder DES. GnuPG und PGP können integriert werden. Speak Freely Windows ist kompatibel zu Speak Freely für Linux/Unix und basiert auf einer Entwicklung von John Walker an der ETH Zürich. Die Linux Version enthält eine Tcl/Tk GUI.
  • Peekboo 2.0.1a [Direkter Download]
    ist ein freies Peer-to-Peer Chat & Message und Dateiverschlüsselungsprogramm mit folgenden Merkmalen:
    • Diffie-Hellman Key Exchange mit 2048-bit Modulus
    • symmetrische Algorithmen: CAST, Blowfish, RC4, RC5, RC6, Twofish und Rijndael.
    • jede Nachricht nutzt einen unabhängigen, symmetrischen Schlüssel, basierend auf dem Hash des shared Key und 128-bit SALT.
    • Sourcecode für 2.0.1a vorhanden.
Verschlüsselungslösungen für das Netzwerk

Während herkömmliche Verschlüsselungsprogramme nur dazu dienen, vorliegende Daten zu verschlüsseln, setzt SSH (Secure Shell) direkt am Verbindungskanal an. Per SSH wird ein verschlüsselter Kanal zum Verbindungsrechner aufgebaut, der eine Authentifizierung beider Enden (Client und Server) einschließt. Werden also z. B. FTP oder POP3 Passwörter genauso wie die abgerufenen Mails ansonsten im Klartext und ungeschützt übertragen, wird mit SSH zuerst eine gesicherte Verbindung zum Mailserver aufgebaut und dann erst die Daten (Passwörter, Mails) übermittelt. Das OpenSSH Paket bietet neben Programmen zur Erzeugung und zum Management von SSH-Keys den SSHD Server und den SFTP (SSH File Transfer Protocol) Server und die dazugehörigen Programme SCP (Secure Copy Protocol) und SFTP, die dem sicheren Transfer und Austausch von Dateien dienen und FTP ersetzen.
Die folgenden Applikationen sind grafische Tools zur Bedienung und Nutzung der SSH Komponenten.

  • Tera Term Pro
    Ein Terminal Emulationsprogramm mit SSH-Modul, um über SSH (Secure Shell) mit IDEA, Triple-DES oder Blowfish verschlüsselte Terminalverbindungen aufzubauen.
  • PuTTY
    Umfangreiche und freie SSH / Telnet Suite für Linux und Windows. Unterstützt SSH 1 und 2 Protokoll mit AES, Triple-DES, Blowfish und DES Verschlüsselung. Enthalten sind
    • PuTTY (der grafische Telnet und SSH Client selbst)
    • PSCP (SCP Client für die Kommandozeile)
    • PSFTP (SFTP Client für die Kommandozeile)
    • PuTTYtel (grafischer Client nur für Telnet)
    • Plink (ein SSH Verbindungstool für automatische SSH Verbindungen für die Kommandozeile)
    • Pageant (SSH Authentifizierungsagent für Windows)
    • PuTTYgen (Utility zur Erzeugung von RSA und DSA SSH Keys)
  • SecureCRT
    Terminalemulationsprogramm für Rlogin, Telnet, SSH 1, SSH2 Verbindungen unter der Voraussetzung, dass auf dem Gegenrechner ein SSH-Server läuft und man einen Telent/SSH Account erhält.
    unterstützte Funktionen:
    • Scripte mittels VBScript, JScript, PerlScript u. a.
    • SSH 1 mit Blowfish, Triple-DES, RC4 und DES Verschlüsselung und Password, RSA, TIS Server Authentifizierung
    • SSH 2 mit Twofish, Triple-DES und RC4 Verschlüsselung und Authentifizierung per MAC (Message Authentication Code) mit SHA-1 oder MD5 und Public-Key
    • Port Forwarding, so dass z. B. POP3 und SMTP Traffic zum Mailserver über verschlüsselte SSH Verbindungen laufen
    • Proxy, SOCKS4 und SOCKS5 Firewalls
  • WinSCP
    Open Source SCP Windowsclient für Datentransfers per SFTP/SSH.
  • SecPanel
    Tcl/Tk GUI für SSH und SCP Verbindungen, Keyerzeugung und -management, Verbindungsprofile.
  • SFTP-only SSH Server
    Anleitung zur Einrichtung eines OpenSSH Servers, über den Benutzer nur SFTP in ihrer Chroot Umgebung ausführen können. Außerdem werden zusätzliche Möglichkeiten des Loggens von SFTP Transaktionen eingerichtet und mittels Quota der Speicherplatzverbrauch der SFTP Benutzer beschränkt.
  • SCP und SFTP unter Linux & Windows
    Anleitung, wie Benutzer mittels der Anwendungen der OpenSSH und PuTTY Suite unter Linux und Windows SCP ("Secure Copy") und SFTP ("Secure File Transfer Program")Angebote nutzen können.
  • Schnelleinstieg WinSCP
    Tutorial für Windowsnutzer, um schnell und sicher den bekanntesten, grafischen SCP/SFTP Client unter Windows zu nutzen.
  • OpenVPN

    Mit Hilfe der Open Source / GPL OpenVPN Applikation können zwei Kommunikationsteilnehmer (z. B. zwei PCs oder zwei PCs zweier Netzwerke) über ein virtuelles, privates Netzwerk (VPN) verschlüsselt miteinander kommunizieren und Daten austauschen. Dazu wird eine zusätzliche, virtuelle Netzwerkschnittstelle auf beiden Seiten angelegt, über die ein verschlüsselter, meistens UDP basierter Tunnel zwischen beiden Parteien aufgebaut wird, nachdem sich einer der Partner als Client bei dem anderen Partner als Server authentifiziert hat und die Verschlüsselungsmodi ausgehandelt wurden. Dabei werden Zertifikate und SSL/TLS verwendet. Anschließend kann der gesamte Netzwerkverkehr verschiedener Applikationen in diesem Tunnel zwischen den beiden Partnern über eine unsichere Internet oder WLAN Anbindung verlaufen.

    Einen ersten Einstieg mit weiterführenden Links und Anleitungen gibt Wikipedia: OpenVPN.
Sonstige Verschlüsselungslösungen
  • md5-shasum
    Das Archiv ethält Programme zur Erzeugung von MD5, SHA1, SHA256 und SHA512 Dateiprüfsummen unter Windos. Benutzung wird in enthaltener readme.txt erklärt.
  • Password Safe
    ein freies Programm von Bruce Schneier zur Speicherung und Blowfishverschlüsselung vieler, verschiedener Passwörter über ein komfortables Administrationstool für Windows.
    Statt sich viele Passwörter merken zu müssen, bleibt es bei einem Password Safe Passwort.
    Der Sourcecode der Version 1.7 wurde von Bruce Schneier freigegeben.
  • MyPasswordSafe
    QT GUI Password Safe Programm für Linux zur Erzeugung und Administration von Password Safe Datenbanken.
  • KeePass
    Umfangreicher Password- und Dokumentmanager für Linux und Windows, der seine Datenbank mit AES-256 oder Twofish verschlüsselt. Für das Hashing der Passphrase verwendet KeePass SHA-256.
  • Revelation
    Password Manager für Gnome 2, der die Passwörter in einer Datei speichert, die mit AES-256 im CBC Modus verschlüsselt wird. Mit jedem Passwort kann man weitere Kontextinformationen (wie z. B. Benutzernamen, URLs, Beschreibungen) in verschiedenen Kategorien speichern, die auch der Organisation der Passwörter in einer grafischen Verzeichnisstruktur dienen. Außerdem können die Daten verschiedener Passwort Manager importiert und in verschiedene Formate exportiert werden. Revelation besitzt auch einen eingebauten Passwortgenerator für alphanumerische Passwörter bis zu einer Länge von 32 Zeichen.
  • APG (Automated Password Generator)
    Passphrase Generator für *nix und Windows mit eingebautem ANSI X9.17 RNG, zwei verschiedenen Algorithmen zur Generierung für Passphrases nach NIST FIPS-181 oder Passphrases mit zufälligen Zeichen und umfangreichen Konfigurationsmöglichkeiten.
Kryptografische Algorithmen
symmetrisch
Name Information
Rijndael (AES) Wikipedia: AES
Twofish Wikipedia: Twofish
Camellia Wikipedia: Camellia
Blowfish Wikipedia: Blowfish
Serpent Wikipedia: Serpent
IDEA Wikipedia: IDEA
CAST Wikipedia: CAST
Triple-DES Wikipedia: DES/3DES
RC6 Wikipedia: RC6
asymmetrisch
Name Information
RSA Wikipedia: RSA
Elgamal Wikipedia: Elgamal
ECC Wikipedia: ECC
Hash
Name Information
SHS/SHA Wikipedia: SHA
RIPE-MD Wikipedia: RIPEMD-160
MD5 Wikipedia: MD5
Tiger Wikipedia: Tiger
Whirlpool Wikipedia: Whirlpool
Eine gute deutschprachige Übersicht zu allen Algorithmen inklusive Quellcodedownload befindet sich auf TOP SECRET - Algorithmen
Steganografische Programme

Neben der reinen Verschlüsselung von Daten gibt es eine zweite Methode, um unauthorisierten Datenzugriff zu vermeiden - die Steganografie. Über steganografische Algorithmen ist es möglich, die Bits einer Datei zwischen den Bits einer Bild- oder Tondatei zu verstecken. Äusserlich betrachtet ergibt sich zwischen der Rohdatei und der steganografisch behandelten Bild- oder Tondatei bei guten steganografischen Programmen kein erkennbarer Unterschied. Es ist auch möglich, zuvor kryptografisch behandelte Daten anschliessend und zusätzlich steganografisch in einer zweiten Datei zu verbergen. Diesen Zwecken dienen die hier vorgestellten Programme.
Die Einschränkung bei der Steganografie besteht im Grad der Kenntnis über die verwendeten steganografischen Algorithmen auf Seiten des Angreifers. Kann er die Theorie rekonstruieren, ist es möglich, dass er die steganografische Verhüllung enttarnt. Deshalb sollte man sich nie alleine auf die Steganografie verlassen.

  • F5
    von Andreas Westfeld/TU-Dresen.
    auf Java basierendes Programm, das mit dem selbst entwickelten F5 Algorithmus Daten in BMP, GIF und JPEG Bildern einbettet.
    Zusätzliche Passwortverschlüsselung möglich.
    Java Quellcode verfügbar, GNU Public License.
    Siehe auch Steganografie mit F5, OutGuess und Steghide
  • BlindSide
    Freeware Kommandozeilenutility, das Daten in BMP Dateien einbettet.
    Zusätzliche Passwortverschlüsselung mit proprietärem Algorithmus möglich.
    Quellcode auf Anfrage verfügbar.
  • Steganography Tools (S-Tools) for Windows
    über "Drag and Drop" werden die Daten mittels IDEA, DES, Triple-DES oder MDC verschlüsselt in BMP-Grafikdateien oder WAV-Sounddateien versteckt.
  • Kryptografie und Steganografie
    von Burkhard Schröder
  • Steganografie-Software
    Liste aktueller (2001) Steganografiesoftware, von der C't zusammengestellt. Die Auflistung beruht auf dem C't Artikel "Unsichtbare Botschaften - Geheime Nachrichten sicher in Bild, Text und Ton verstecken" von A. Westfeld, C't 09/2001, S. 170
  • Wiretapped Steganography Archive
    Archiv mit allen bekannten Steganografieprogrammen
  • StegoArchive
    Informationen und Links zu steganografischen Programmen für jede Plattform
  • OutGuess
    Hier findet man Artikel zu Steganografie und Stegoanalyse und Informationen zum Steganografieprogramm OutGess von Niels Provos.
    Die originale OutGuess Site unter www.outguess.org hat Niels wegen dem DCMA Gesetz vorläufig vom Netz genommen.
    Siehe auch Steganografie mit F5, OutGuess und Steghide
  • Statistics sniff out secrets
    Artikel von TRN News/Kimberly Patch zur Forschungsarbeit Detecting Steganographic Messages in Digital Images von Hany Farid zur Analyse steganografisch behandelter Bilder mit MatLab.
Kryptografie und Steganografie
Digitale Signaturen und Zertifikate
File Wiping und Security Tools

Die normale Löschfunktion von Windows löscht nur den Verzeichniseintrag des Dateinamens, aber nicht den Inhalt einer Datei. Zusätzlich verbleiben Dateiinhalte in der Auslagerungsdatei, im ungenutzten Festlattenplatz und im freien Raum eines Dateiclusters.
Mit den folgenden Dateilösch- und überschreibprogrammen können Dateien teilweise bis zu 100 x mit pseudozufälligen Zeichen überschrieben und danach bis zum Erstellungsdatum gelöscht werden. Die Sicherungsmechanismen von Windows vor unberechtigtem lokalen Zugriff wie über Netzverbindungen sind nur als mangelhaft zu bezeichnen, um dem abzuhelfen, kann man PC Firewalls und Zugriffsschutzprogramme installieren

  • DBAN
    Mit Dariks Open Source / GPL Programm Boot and Nuke (DBAN) erstellt man zunächst eine Boot-Diskette oder -CD, von der man anschließend startet, um ganze Festplatten sicher zu löschen. Zu den Methoden, die DBAN verwendet zählen Quick, Canadian RCMP TSSIT OPS-II Standard, American DoD 5220-22.M Standard, Gutmann und PRNG Stream.
  • HDDerase
    DOS-Programm von Dr. Gordon F. Hughes vom Center for Magnetic Recording Research an der Universität von Kalifornien, das über eine bootfähige Diskette oder CD-R gestartet wird. HDDerase erlaubt das Ausführen des "Secure Erase Unit" und "Enhanced Secure Erase" Kommandos, die gemäß ATA ANSI Standard in der Firmware moderner PATA/SATA Festplatten (nach 2001 hergestellt) implementiert sind und als Löschmethoden für Festplatten in der Special Publication 800-88 - Guidelines for Media Sanitization des National Institute of Standards and Technology empfohlen werden.
    Während "Secure Erase" alle benutzten Bereiche der Festplatte mit binären Nullen überschreibt, wird die Festplatte und alle Blöcke, die aufgrund von neuen Zuordnungen als nicht mehr benutztbar gekennzeichnet sind über "Enhanced Secure Erase" mit vom Festplattenhersteller abgespeicherten Datenmustern überschrieben. HDDerase erlaubt auch das Löschen von "Host Protected Area (HPA)/Device Configuration Overlay (DCO) Sektorbereichen am Ende von Festplatten, in denen Software zur Festplattendiagnose und Datenwiederherstellung gespeichert sein kann und die normalerweise nicht durch den Benutzer adressierbar sind.
  • Eraser
    Mit dem Open Source / GPL Programm Eraser kann man Daten und freien Festplattenplatz über Drag and Drop, über das Explorer Kontextmenü, per Scheduler oder das Windowsinterface mit pseudo-zufälligen Daten bis zu 100x überschreiben und löschen lassen.
    Dabei folgt das Programm den Methoden in Peter Gutmanns Aufsatz "Secure Deletion of Data from Magnetic and Solid-State Memory" (der auch im Hilfetext enthalten ist). Eine weitere Methode entspricht dem NISPOM Standard US DoD 5220.22-M des US Verteidigungsministeriums.
Paketfilter (Personal Firewalls) und
Intrusion Detection

Im Internet werden alle Daten über Netzprotokolle wie TCP/IP, UDP und ICMP ausgetauscht. Zum Versand und Empfang der Daten werden vom Betriebssystem und den am Netzverkehr beteiligten Programmen Türen, die sogenannten Ports und Services bereitgestellt und geöffnet. Diese Eigenschaften nutzen Cracker oder Spione, um über die Ports und Services und mit Verwendung spezieller Hackprogramme und -scripts in fremde Rechner einzudringen oder Serverprogramme, sogenannte Trojan Horse Programme zu installieren, die verborgen dem Cracker bestimmte Ports und Services öffnen und ihn informieren, wenn ein bestimmter User online ist, um dann über Fernsteuerungsprogramme in den Rechner einzudringen, die Kontrolle zu übernehmen oder Viren einzuschleusen.
Windows 98 und Windows NT bringen von Hause aus keine Schutzmechanismen oder -programme mit, mit denen man die Ports und Services kontrollieren, d. h. ihre Nutzung selektiv verbieten oder erlauben könnte. Es gibt auch keine Warnmechanismen, die den Anwender auf illegale Einbruchsversuche hinweisen würde.
Deshalb setzt man Paketfilter (sogenannte Personal Firewalls) ein, die das Betriebssystem, die lokalen Daten und die Programme zum Internet hin abriegeln, indem nur solche ein- und ausgehenden Verbindungen, Ports und Services zugelassen werden, die erwünscht sind. In Abgrenzung dazu wird unter einer Firewall ein Geamtkonzept zur Abschottung und Regelung des Verkehrs zwischen den Maschinen eines internen Netzes und dem Internet verstanden, in dem Paketfilter nur einen Teil umfangreicher Massnahmen ausmachen.
Zusätzlich kann man noch Aufspürprogramme, die sogenannten Intrusion Detection Programme, einsetzen, die Einbruchsversuche erkennen, den Anwender warnen und versuchen den Ursprung des Einbruchversuchs zurückzuverfolgen (quasi wie die Fangschaltungen in der Telefoniewelt).

  • Linkblock
    Sammlung von Links zu Texten, die sich kritisch mit "Personal Firewalls" auseinander setzen, ihre Schwachstellen aufzeigen und Informationen bieten, wie man ein Windows 2K/XP System ohne "Personal Firewalls" absichert.
  • NT-Dienste sicher konfigurieren
    für Windows 2000 & XP

    Informative, übersichtliche und leicht verständliche Site, die genau erklärt, wie man über die Konfiguration der Dienste, der Benutzerrechte und unter Beachtung einiger Sicherheitstipps Windows 2000/XP gründlich absichert. Die Konfiguration kann entweder manuell mithilfe von Anleitungen und den darin enthaltenen Screenshots durchgeführt werden oder durch die beiden Tools SVC2KXP (Download über die Website) und WIN32SEC.
  • Windows Packet Capture Library
    WinPcap ist eine Architektur für Paketfiltering und Netzwerkanalyse (Sourcecode vorhanden).
    Beinhaltet sind ein Paketfilter auf Kernel-Ebene, eine low-level DLL (packet.dll) und eine high-level und systemunabhängige Library (wpcap.dll, basierend auf UNIX libpcap version 0.5).
    Der Paketfilter ist ein Gerätetreiber für Win 95/98/ME/NT/2000 mit dessen Hilfe Rohdaten von einer Netzwerkkarte aufgefangen und gefiltert werden können. Die packet.dll ist eine API, die OS unabhängig die Funktionen des Paketfiltertreibers anspricht. Die wpcap.dll exportiert ein Set von high-level Abfangbefehlen, die mit libpcap kompatibel sind. Die Funktionen erlauben undabhängig von der Netzwerkhardware und dem OS Pakete abzufangen.
  • Sysinternals TCPview und TDImon
    Zwei Freeware Tools, um grafisch den TCP und UDP Netzwerkverkehr und die dran beteiligten Prozesse und Applikationen zu beobachten bzw. zu überwachen.
  • Analyzer
    WinDump (Portierung von TCPdump)
    Tools, um alle Netzwerkpakete zu protokolieren.
  • Floke Integrity [Direkter Download]
    Tool zur Sicherung der Integrität von Dateien.
    Mit Floke können über Wizards zu Dateien (Dateitypen konfigurierbar) in einem Laufwerk plus aller Unterordner Hashwerte mittels SHA-1, RIPEMD-160 oder MD5 erzeugt und in einer Prüfdatei gespeichert werden. Über die nachträgliche Erstellung einer Reportdatei können so Veränderungen an bestehenden Dateien aufgespürt und neu hinzugefügte Dateien ermittelt werden.
    Floke orientiert sich an den Unix Tools AIDE (Advanced Intrusion Detection Environment) und TripWire.
Anti-Spyware Informationen & Programme

zum Aufspüren und Entfernen von Remote-Control und Trojaner-Modulen in Programmen, die ungefragt Informationen an den Hersteller oder Werbeträger übermitteln.

  • Ad-Aware
    scannt und entfernt Spywarekomponenten von der Festplatte und der Registry
[ Inhalt | Top | Zurück | Weiter ]