Leider beherrscht Firefox im Gegensatz zu Google Chrome den FIDO U2F Authentifizierungsmechanismus noch nicht nativ. Wenn man sich mit seinem Yubikey via U2F bei Google, GitHub, Dropbox oder einem anderen unterstützten Dienst anmelden will, musste man bisher auf Chrome / Chromium ausweichen.
Heute morgen bin ich bei meinen Nachforschungen auf ein Firefox Plugin (»Github) gestoßen, das verspricht, U2F Unterstützung nachzurüsten. Tatsächlich wurde mein Yubikey damit auf der Yubico U2F Demo Seite problemlos erkannt – auch wenn mir noch die Warnung zur fehlenden Kompatibilität mit Firefox angezeigt wurde. Die Warnung bleibt bestehen, solange die Website erkennt, dass ich mit Firefox unterwegs bin. Schließlich unterstützt Firefox ja offiziell noch kein U2F.
Seit dem Bekanntwerden der flächendeckenden, verdachtslosen Überwachung durch die NSA und andere Geheimdienste gewinnt Verschlüsselung im Internet an Bedeutung. Vor allem die Kommunikation zwischen Browser und Webserver wird verstärkt gesichert, um privates privat zu halten. Eine solche SSL-Verschlüsselung kann auch für den eigenen Apache Server eingerichtet werden. Benötigt wird dafür das Apache Modul „ssl“:
Gestern habe ich in einem Beitrag zu Threema die These aufgestellt, dass nur offener Sourcecode vollkommenes Vertrauen in eine Applikation herstellen könne. Diese These wurde von einigen Lesern unterschrieben – andere waren aber auch kritisch: Open Source sei keine Garantie für Sicherheit.
Das hat mich dazu veranlasst, in meinem Kopf mal den „Reset“-Knopf zu drücken und das System „Threema“ neu zu bewerten – zunächst frei von persönlichen Idealvorstellungen. Die ideale Sicherheitsanwendung ist für mich nämlich quelloffen, damit ich oder andere eine Chance haben, die Sicherheit zu überprüfen. Das klingt zunächst plausibel, bringt aber auch Probleme mit sich, wie das Beispiel Threema ganz gut zeigt.
… korrekt müsste es eigentlich heißen: „Arch verschlüsselt installieren“, denn tatsächlich wird nur die Arch Installation (Root-, Swap- und Homepartition) verschlüsselt. Die /boot Partition und der Bootloader müssen von der Verschlüsselung befreit werden, denn die Initialsysteme müssen ja auch ohne Passwort starten können ;)
In der Realität sieht es dann so aus, dass man vor dem Start von Arch Linux nach einem Passwort gefragt wird, um die entsprechende root-Partition zu entschlüsseln. Erst, wenn das richtige Passwort eingegeben wurde und die Partition entschlüsselt werden kann, ist es möglich, sich ganz normal über Benutzernamen und Passwort einzuloggen.
Vor allem bei Notebooks oder anderen mobilen Geräten ist eine Festplattenverschlüsselung empfehlenswert. Wird das Gerät gestohlen, hat der Dieb keine Chance, an persönliche Daten oder die Inhalte des Rootverzeichnisses zu kommen. Mit den unverschlüsselten Partitionen für den Bootvorgang kann man absolut nichts anfangen. Sie sind völlig uninteressant.
Meine erstes Arch überhaupt habe ich gleich verschlüsselt installiert und bin dabei auf ein paar Schwierigkeiten gestoßen. Im Arch Linux gibt es natürlich Anleitungen für eine einfache Installation und eine verschlüsselte Festplatte, aber eine komplette Anleitung „aus einem Guss“ fehlt. Manche Stellen bleiben unklar. Dennoch habe die verschlüsselte Arch Installation über das Wiki zum Laufen bekommen und seitdem läuft es einwandfrei. Weil die Einrichtung für Arch-Anfänger evtl. nicht immer einfach ist, biete ich auf dieser Seite eine komplette Anleitung für die Installation an, sodass man sich das Recherchieren und Suchen im Arch Wiki sparen kann und lediglich diese Anleitung befolgen muss.
Weil ich schon mehrmals zu meinem Artikel „Android startet nicht mehr nach Verschlüsselung und neuer ROM – Lösung“ gefragt wurde, wie man sein Android Smartphone überhaupt verschlüsseln kann, will ich das hier kurz erklären. Ab Version 4.0 unterstützt Android das Verschlüsseln des Telefonspeichers (Die eventuell vorhandene externe SD Karte bleibt unverändert!). Die Verschlüsselung kann eine Stunde oder länger dauern. Bereits vorhandene Daten und Apps bleiben erhalten; dennoch macht es Sinn, vorher ein Backup von wichtigen Daten zu machen. Damit der Verschlüsselungsvorgang gestartet werden kann, muss der Akku aufgeladen und das Smartphone mit dem Ladegerät verbunden sein, sodass der Vorgang nicht wegen eines leeren Akkus unterbrochen wird – dann kommt es nämlich zu Datenverlust.
Den Menüpunkt zum Verschlüsseln findet ihr in den Einstellungen unter „Sicherheit“ => „Telefon verschlüsseln“.
Zu beachten ist noch, dass ein Entsperren des Smartphones nach der Verschlüsselung nur noch mit Passwort oder Pin möglich ist. Muster, Face Unlock und Wischen können nicht mehr genutzt werden, weil diese Authentifizierungsverfahren zu unsicher sind. Das würde die Verschlüsselung wenig sinnvoll machen.
Die Passwörter für Entsperren und die Verschlüsselung sind voneinander unabhängig. Letzteres wird beim Hochfahren des Smartphones eingegeben, das andere Passwort / Pin nur zum entsperren. Natürlich kann man beide Male auch dasselbe Passwort verwenden.
Die Passwörter zum Entschlüsselung und zum Entsperren des Bildschirms sind identisch. Bevor verschlüsselt werden kann, muss die Displaysperre auf „Passwort“ oder „Pin“ umgestellt werden.
Und wie gesagt: Eine externe SD Karte – sofern vorhanden – wird nicht verschlüsselt. Nur die /data Partition des Telefonspeichers, in dem sich die persönlichen Daten befinden.