Hochsicherer portabler Speicher - Teil 2: InterLock auf Armory

Hochsicherer portabler Speicher - Teil 2

InterLock auf Armory

Andrea Covello
von Andrea Covello
Lesezeit: 12 Minuten

Nachdem wir die Grundinstallation im ersten Teil dieser Artikelserie besprochen haben, wollten wir uns mit der Konfiguration des Secure Storage der InterLock-Software auf dem USB Armory auseinandersetzen.

Initiale Konfiguration

Als erstes müssen wir uns mit dem Webinterface von InterLock verbinden.

Schritt Beschreibung Abbildung
Authentisierung Gehen Sie mit Ihrem Webbrowser auf folgende Adresse: https://10.0.0.1:4430
Standardmässig findet sich ein Volume mit dem Namen armory, das mit dem Passwort interlock entschlüsselt werden kann.
Erster Login Einmal entschlüsselt kann über die Webschnittstelle von InterLock zugegriffen werden. Hier können sämtliche Dateizugriffe und administrativen Anpassungen erfolgen…
Passwortwechsel …und die erste administrative Tätigkeit sollte die Änderung des Passworts zur Verschlüsselung des Volumes sein. Dies geschieht, indem rechts oben auf change geklickt wird.

Das GUI ist in zwei Bereiche unterteilt: Auf der linken Seite finden sich die Möglichkeiten des Dateiexplorer und auf der rechten Seite zeigen sich die Zugriffs- und Aktionsprotokolle, wodurch eine Validierung der Tätigkeiten vorgenommen werden kann.

Auf der Login-Seite fällt der Hinweis auf, dass Passwörter noch ihrer Nutzung ungültig werden (dispose of the password after use). Dieses Feature erlaubt die Einrichtung eines Einmalpassworts, um auf die verschlüsselten Daten mittels nicht-vertrauenswürdigen Geräten zuzugreifen (z.B. in einem Internet-Café). Um von dieser Funktion Gebrauch machen zu können, muss über add eines oder mehrere Passwörter erstellt werden. Die verbrauchten Passwörter müssen dann in der entsprechenden Passwortliste berücksichtigt werden. Wählen Sie password change und klicken Sie auf add anstatt auf change. Wählen Sie den volume name, vergeben Sie ein gültiges volume password sowie ein new (disposal) password. Danach sollte die folgende Meldung im Log-Fenster angezeigt werden:

Perforimng LUKS key action luksAddKey
Ähnlich wird verfahren, wenn ein Passwort nach seiner Nutzung entfernt werden soll:
Perforimng LUKS key action luksRemoveKey

Hinweis: Diese Anpassungen benötigen 10-20 Sekunden, bis sie wirksam werden. Bitte haben Sie etwas Geduld.

Dateizugriffe

Jetzt schauen wir uns die Möglichkeiten der Dateizugriffe auf dem GUI an.

Schritt Beschreibung Abbildung
Dateimenu An dieser Stelle werden die Dateizugriffe im Rahmen des Volumes möglich. Neben den grundlegenden Zugriffen können auch erweiterte Zugriffe in Bezug auf Verschlüsselung und Signierung durchgeführt werden.
Neues Verzeichnis Wir wollen nun ein neues Verzeichnis erstellen, um darin Dateien abzulegen und auf Dateiebene zu verschlüsseln. Als erstes wird oben rechts auf das Icon New directory geklickt…
Datei hochladen …jetzt kann die Datei ausgewählt werden (in unserem Fall ein Keepass DB File), indem oben rechts auf das Icon Upload file geklickt wird. Während des Hochladens der Datei kann der Vorgang rechts innerhalb von Uploads verfolgt werden.
Dateizugriffe Nachdem der Upload durchgeführt wurde, kann die Datei ausgewählt und über einen Rechtsklick das Optionsmenu angezeigt werden. Selbstverständlich kann die Datei auch wieder als Download bezogen werden.
Dateiverschlüsselung Wählen Sie im Kontextmenu Encrypt und selektieren Sie den Verschlüsselungsalgorithmus (openPGP oder AES-256-OFB). Für openPGP muss ein PGP-Schlüssel bereitstelen (zuvor importiert oder durch Armory generiert); für AES reicht die Angabe einer Passphrase. Zusätzlich kann ausgewählt werden, dass nach dem Verschlüsseln die Originaldatei gewiped wird und nicht mehr rekonstruiert werden kann.
Dateientschlüsselung Das Entschlüsseln der Datei erfolgt in gleicher Weise, indem auf Decrypt geklickt und die Passphrase eingegeben wird.

Schlüssel Operationen

Schritt Beschreibung Abbildung
Neuer Schlüssel für Verschlüsselung Um einen neuen openPGP Key auf Armory zu generieren, muss der Knopf Generate im GUI angeklickt werden.
Generierung eines openPGP Key Gehen Sie zu Current Activity, um den Erstellungsprozess zu sehen…
openPGP Key Store Der neue openPGP Schlüssel wird unter VOLUME/keys/pgp/ in den Bereichen public und private abgelegt.
openPGP Key Info Die Informationen zu einem Key werden durch die Auswahl Key Info im Menu für Dateioperationen angezeigt.
openPGP Public Key Um den öffentlichen Schlüssel des generierten Schlüsselpaares einzusehen, muss sich ins public Verzeichnis begeben und dort view im Menu für Dateioperationen angeklickt werden…
openPGP Public Key …nun werden die Details des öffentlichen Schlüssels dargestellt.
Dateien signieren Das openPGP-Zertifikat kann herangezogen werden, um Dateien zu signieren. Hierzu muss lediglich Sign und der entsprechende openPGP-Key ausgewählt werden.

Token Operations

Schritt Beschreibung Abbildung
Aufsetzen eines One Time Password (OTP) Token Ein spezielles Feature, das im Zusammenhang mit InterLock zum Einsatz kommen kann, ist die Nutzung von Software Token. Damit diese genutzt werden können, muss ein TOTP Key Certificate importiert werden. Zu diesem Zweck muss import Certificate ausgewählt und dann TOTP anstelle von openPGP selektiert werden. Danach kann Armory als OTP-Token herangezogen werden.

Sicherheitsüberprüfung

Nun wollen wir eine grundlegende Prüfung der Sicherheit des Armory vornehmen. Hierzu werden wir einen Scan mit der quelloffenen Lösung nmap durchführen. Die Resultate sehen in diesem Sinne wie folgt aus:

$ sudo nmap -p U:9,53,111,123,139,2049,T:1-65535 -A 10.0.0.1

Starting Nmap 7.12 ( https://nmap.org ) at 2016-07-26 15:56 CEST Nmap scan report for 10.0.0.1 Host is up (0.00070s latency). Not shown: 65533 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh Dropbear sshd 2016.73 (protocol 2.0) 4430/tcp open ssl/rsqlserver? | ssl-cert: Subject: commonName=10.0.0.1/organizationName=INTERLOCK | Not valid before: 2015-10-13T10:00:01 |_Not valid after: 2020-10-13T10:00:01 1 service unrecognized despite returning data.

MAC Address: E6:4B:CB:xx:yy:zz (Unknown) Device type: general purpose Running: Linux 3.X|4.X

OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 OS details: Linux 3.2 – 4.4 Network Distance: 1 hop Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE HOP RTT ADDRESS 1 0.70 ms 10.0.0.1

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ Nmap done: 1 IP address (1 host up) scanned in 202.40 seconds

Fazit

Es wurde gezeigt, dass ein hochsicherer portabler Speicher eingerichtet werden kann, indem die verschiedenen quelloffenen und altbewährten Technologien herangezogen werden. USB Armory kann jedoch noch einiges mehr, denn es lässt sich für weitere Einsatzzwecke mit hohen Sicherheitsanforderungen vorbereiten:

An dieser Stelle möchte ich meine Anerkennung an Andrea Barisani von Inverse Path für sein ausgezeichnetes Projekt zum Ausdruck bringen. Der vorliegende Artikel soll damit ein Beitrag dazu sein, den Cyberspace zu einem etwas sichereren Ort zu machen … Und Sie sind herzlich eingeladen, daran teilzuhaben.

Über den Autor

Andrea Covello

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.

Links

Haben Sie Interesse an einem Penetration Test?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv