Seitenkategorie: Anleitungen

Outlook für OpenPGP-Nutzung vorbereiten

Outlook für OpenPGP-Nutzung vorbereiten

Wie bereite ich Outlook für die OpenPGP-Nutzung vor?

Um mit Microsoft Outlook die Ende-zu-Ende-Verschlüsselung mittels OpenPGP nutzen zu können, bedarf es etwas Vorbereitung. Zunächst müssen Sie sicherstellen, dass das Paket Gpg4win installiert ist. Dieses stellt u.a. das Plugin GpgOL sowie die Schlüsselverwaltung Kleopatra für Outlook zur Verfügung, die als graphisches Frontend für das darunter liegende GnuPG-System fungiert, welches wiederum die bekannteste Implementierung des OpenPGP-Standards darstellt.

Um GpgOL bei Outlook zu aktivieren, öffnen Sie das Menü Datei und dann Com-Add-Ins verwalten. Die Einstellmöglichkeiten für GpgOL finden Sie in Outlook wie in folgender Abbildung markiert.

GpgOL bzw. das von GpgOL verwendete GnuPG-System sollten wie in den beiden folgenden Screenshots dargestellt konfiguriert werden.

Beim Eingabefeld NAME als voreingestellten Schlüssel benutzen kann man im Falle, dass Kleopatra mehrere gültige Schlüssel für die eigene Identität zur Verfügung hat, einen definierten Schlüssel als Voreinstellung durch Angabe dessen Schlüssel-Id festlegen.

Die Suche nach Schlüsseln im Web Key Directory (WKD) ist implizit aktiv, wenn Gpg4win in der Version 4 installiert ist. Hierzu ist keine weitere Einstellung erforderlich. Outlook/GpgOL findet beim Adressieren von Kommunikationspartnern aus der FAU über deren @fau.de-Adresse deren im FAU-Schlüsselverzeichnis hinterlegten Schlüssel dann automatisch über eine WKD-Abfrage. Analoges gilt auch für die Adressierung von E-Mail-Adressen aus Maildomains anderer E-Mail-Provider, sofern letztere ein WKD zur Verfügung stellen.

Mit Outlook OpenPGP-Schlüssel aus FAU-Schlüsselverzeichnis abrufen und E-Mail signiert/verschlüsselt versenden

Mit Outlook OpenPGP-Schlüssel aus FAU-Schlüsselverzeichnis abrufen und E-Mail signiert/verschlüsselt versenden

Wie rufe ich mit Outlook einen OpenPGP-Schlüssel aus dem FAU-Schlüsselverzeichnis ab?

Microsoft Outlook sucht nach entsprechender Einstellung des Plugins GpgOL beim Adressieren eines FAU-Mitglieds im Hintergrund automatisch per WKD-Protokoll nach einem OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis, sobald man die Empfängeradresse beim Verfassen einer E-Mail eingegeben hat und mit dem Cursor ins nächste Eingabefeld springt. Falls Sie die Option Neue Nachrichten per Voreinstellung verschlüsseln in der GpgOL-Konfiguration nicht aktiviert haben, müssen Sie beim Dialog Neue E-Mail zum Verfassen einer E-Mail die Verschlüsselung manuell aktivieren, indem Sie dort über das Menü Nachricht und dann in der Symbolleiste rechts auf das Symbol Absichern und danach auf Verschlüsseln klicken.

Wird ein Schlüssel gefunden, wird dieser im Hintergrund in die von Outlook verwendete Schlüsselverwaltung Kleopatra importiert. Dort kann er wie folgt angezeigt werden:

Wie versende ich die E-Mail digital signiert und verschlüsselt?

Beim obigen Verfassen-Dialog erscheint nach dem Klick auf die Schaltfläche Senden folgendes Fenster:

Hat Kleopatra mehrere gültige Schlüssel für den Empfänger, dann lässt sich über die Listenauswahl einer davon auswählen. Gleiches gilt für den eigenen geheimen Schlüssel. Voreingestellt ist hier der gemäß Einstellungen für das GnuPG-System, Eingabefeld NAME als voreingestellten Schlüssel benutzen angegebene Schlüssel. Weiterhin ist es sinnvoll, die E-Mail auch für sich selbst zu verschlüsseln, um sie nicht im Klartext im eigenen Postfach zu speichern.

Klickt man im obigen Fenster nun auf OK, dann wird die E-Mail (nach Abfrage der Passphrase) mit dem eigenen geheimen Schlüssel digital signiert, mit dem ausgewählten Empfängerschlüssel verschlüsselt und versandt. Benutzt der Empfänger ebenfalls Outlook/GpgOL, dann wird ihm die E-Mail wie folgt angezeigt, sofern er dem Schlüssel des Absenders absolut vertraut. Details zu diesem Schlüssel werden dem Empfänger durch Klick auf das rot markierte Schloss-Symbol angezeigt. Dabei sind die Vertrauens- bzw. Sicherheitsstufen bei GpgOL ein Maß für das Vertrauen in den Schlüssel des Kommunikationspartners. Stufe 4 (mit grün unterlegtem Stern-Symbol) wird bei eigenen Schlüsseln oder fremden Schlüsseln, deren Fingerabdruck man selbst überprüft hat, angezeigt. Aus einem WKD bezogene Schlüssel ohne zusätzliche Prüfung des Fingerabdrucks erhalten Stufe 2 (mit grün unterlegtem Haken-Symbol).

Bitte beachten Sie, dass Outlook/GpgOL die Betreffzeile unverschlüsselt lässt und diese daher keine schützenswerte Information enthalten sollte.

OpenPGP-Schlüsselpaar mit Kleopatra erzeugen

OpenPGP-Schlüsselpaar mit Kleopatra erzeugen

Wie erzeuge ich mit Kleopatra ein OpenPGP-Schlüsselpaar?

Microsoft Outlook/GpgOL verwendet die ebenfalls zum Paket Gpg4win gehörige Schlüsselverwaltung Kleopatra. Um damit ein neues OpenPGP-Schlüsselpaar zu erzeugen, gehen Sie wie folgt vor.

Rufen Sie in Kleopatra das Menü „Datei >> Neues Schlüsselpaar …“ auf.

Wählen Sie Persönliches OpenPGP-Schlüsselpaar erstellen und dann Weiter.

Geben Sie im folgenden Dialog Name und E-Mail-Adresse ein, für die das Schlüsselpaar erstellt werden soll. Setzen Sie den Haken bei Den generierten Schlüssel mit einer Passphrase schützen.

Klicken Sie dann auf Erweiterte Einstellungen. Wählen Sie in der Eingabemaske die Einstellungen wie im folgenden Screenshot dargestellt und klicken dann auf OK.

Geben Sie nun die Passphrase ein, mit welcher der geheime Schlüssel geschützt werden soll und bestätigen Sie diese durch eine nochmalige Eingabe. Wenn Sie auf Weiter klicken, wird das Schlüsselpaar erstellt.

Wählen Sie nun Sicherheitskopie Ihres Schlüsselpaares erstellen … und speichern Sie damit den geheimen Schlüssel auf einem externen Medium, welches Sie sicher verwahren müssen.

Den öffentlichen Schlüssel können Sie exportieren, indem Sie den Schlüssel markieren und mit der rechten Maustaste das Kontextmenü öffnen. Dort wählen Sie Exportieren … und speichern den Schlüssel ebenfalls in einer Datei ab.

Diesen Schlüssel können Sie nun an Ihre Kommunikationspartner verteilen, z.B. indem Sie ihn im FAU-Schlüsselverzeichnis veröffentlichen.

 

 

 

Mit Thunderbird OpenPGP-Schlüssel aus FAU-Schlüsselverzeichnis abrufen

Mit Thunderbird OpenPGP-Schlüssel aus FAU-Schlüsselverzeichnis abrufen

Wie rufe ich mit Thunderbird einen OpenPGP-Schlüssel aus dem FAU-Schlüsselverzeichnis ab?

Mit Thunderbird hat man mehrere Möglichkeiten, den OpenPGP-Schlüssel eines anderen FAU-Mitglieds, welches diesen im FAU-Schlüsselverzeichnis veröffentlicht hat, per WKD-Protokoll von dort abzurufen.

1) Über das Kontextmenü im Adressfeld einer E-Mail:

Dort wählen Sie den Menüpunkt OpenPGP-Schlüssel suchen aus und geben die vollständige E-Mail-Adresse des FAU-Mitglieds ins Eingabefeld ein.

Anmerkung: Dieser Menüpunkt steht ab Thunderbird-Version 102 nur dann zur Verfügung, wenn in der Thunderbird-Schlüsselverwaltung noch kein Schlüssel für die betreffende E-Mail-Adresse vorhanden ist.

2) Über das Menü Extras >> OpenPGP-Schlüssel verwalten >> Schlüsselserver >> Schlüssel online finden:

Im folgenden Dialogfeld geben Sie die vollständige E-Mail-Adresse des FAU-Mitglieds ein und bestätigen mit OK.

Damit wird zunächst im WKD nach einem Schlüssel für die eingegebene Adresse gesucht, und danach per VKS-Protokoll auf dem bei Thunderbird standardmäßig eingestellten Schlüsselserver keys.openpgp.org. Falls bei 1) oder 2) ein Schlüssel gefunden wird, sehen Sie folgendes Fenster, das Ihnen den Schlüssel zum Import in die Thunderbird-Schlüsselverwaltung anbietet:

Sie müssen den Schlüssel explizit auf Akzeptiert setzen, damit sie ihn zur Verschlüsselung verwenden können. Wenn Sie mit OK bestätigen, erscheint folgendes Fenster:

Für ein ausreichendes Maß an Sicherheit können Sie hier einfach auf OK klicken.

Falls Sie die Möglichkeit haben, Ihren Kommunikationspartner auf einem anderen Kanal (z.B. Telefon, persönliches Treffen) zu kontaktieren, können Sie für ein erhöhtes Maß an Sicherheit mit ihm den Fingerabdruck seines Schlüssels abgleichen. Dazu wählen Sie hier Details anzeigen und Schlüsselakzeptanz verwalten und nach erfolgreichem Abgleich des Fingerabdrucks im folgenden Fenster die Option ganz unten:

3a) Beim Verfassen einer E-Mail (Thunderbird bis Version 97)

Sie müssen die OpenPGP-Verschlüsselung wie im folgenden Screenshot dargestellt aktivieren.

Wenn Sie nun auf Senden klicken, erscheint zunächst ein Fenster mit einer Fehlermeldung, wenn für die adressierte Empfängerin in der Thunderbird-Schlüsselverwaltung noch kein Schlüssel vorhanden ist. Wenn Sie dieses wegklicken, sehen Sie folgendes Fenster:

Klicken Sie nun auf Schlüssel für gewählten Empfänger verwalten. Es erscheint ein weiteres Fenster:

Hier können Sie nun Neuen oder aktualisierten Schlüssel suchen auswählen. Wird im Schlüsselverzeichnis ein Schlüssel gefunden, erscheint der von oben bekannte Import-Dialog, andernfalls folgendes Fenster:

3b) Beim Verfassen einer E-Mail (Thunderbird ab Version 102, Dark Mode)

Wählen Sie aus der Menüleiste Nachricht >> Neue Nachricht oder aus der Hauptsymbolleiste Verfassen. Im sich öffnenden Fenster muss Verschlüsselung aktiviert und OpenPGP als Verschlüsselungsmethode ausgewählt werden, sofern nicht bereits voreingestellt. Geben Sie nun im Empfängerfeld die E-Mail-Adresse ein.

Wenn in der Thunderbird-Schlüsselverwaltung kein Schlüssel für den Empfänger gefunden wird, dann wird dies durch eine gelbe Unterlegung des Adressfeldes und ein Warnsymbol gekennzeichnet. Gleichzeitig erscheint unten eine entsprechende Statuszeile. Klicken Sie hier auf die Schaltfläche Beheben. Es öffnet sich der OpenPGP-Schlüsselassistent und bietet u.a. die Option Öffentliche Schlüssel online finden an. Wenn Sie diese Schaltfläche anklicken, wird im Web Key Directory (WKD) nach einem Schlüssel gesucht.

Wird dort ein Schlüssel gefunden, dann muss dieser erst noch akzeptiert werden, damit Sie ihn zur Verschlüsselung verwenden können. Dies können Sie über die Schaltfläche Beheben tun.

Nun wird Ihnen die Schlüssel-Id und der Fingerabdruck des gefundenen Schlüssels angezeigt. Wenn Sie den Schlüssel auswählen (Radio Button), dann können Sie ihn Annehmen.

Klicken Sie im folgenden Fenster auf Schlüssel anzeigen.

Für ein ausreichendes Maß an Sicherheit können Sie den Schlüssel einfach akzeptieren. (Ausreichend, weil der Schlüssel im WKD gefunden wurde, und der Schlüsselinhaber seine E-Mail-Adresse bestätigen musste, bevor der Schlüssel dort veröffentlicht wurde). Für ein erhöhtes Maß an Sicherheit können Sie den Fingerabdruck mit dem Empfänger über einen anderen Kanal (Telefon, persönliches Treffen etc.) abgleichen.

Nach Bestätigung mit OK können Sie Ihre E-Mail nun verschlüsselt an den Empfänger abschicken.

OpenPGP-Schlüsselpaar mit Thunderbird erzeugen

OpenPGP-Schlüsselpaar mit Thunderbird erzeugen

Wie erzeuge ich mit Thunderbird ein OpenPGP-Schlüsselpaar?

Um die Ende-zu-Ende-Verschlüsselung mit OpenPGP in Thunderbird verwenden zu können, müssen sich E-Mail-Nutzer:innen zunächst ein Schlüsselpaar generieren oder ein bereits vorhandenes Schlüsselpaar in Thunderbird importieren. Nachfolgend wird die Schlüsselerzeugung in der OpenPGP-Schlüsselverwaltung von Thunderbird beschrieben.

Öffnen Sie in der OpenPGP-Schlüsselverwaltung von Thunderbird den Schlüsselgenerator über folgende Menüpunkte:
Extras >> OpenPGP-Schlüssel verwalten >> Erzeugen >> Neues Schlüsselpaar

Verwenden Sie die Einstellungen wie im folgenden Screenshot dargestellt:

Nach der Erzeugung wird das Schlüsselpaar in der Schlüsselverwaltung fett gedruckt dargestellt:

Das neu erzeugte Schlüsselpaar kann man exportieren, wobei der geheime Schlüssel auf einem externen Medium gesichert und mit einer Passphrase geschützt werden sollte.

Der öffentliche Schlüssel lässt sich exportieren, indem man das Schlüsselpaar markiert und das Kontextmenü mit der rechten Maustaste öffnet:

Der öffentliche Schlüssel kann nun an Kommunikationspartner verteilt werden, z.B. indem man ihn im FAU-Schlüsselverzeichnis veröffentlicht. Der geheime Schlüssel muss sicher verwahrt werden.

Wichtiger Hinweis:

Bitte setzen Sie bei Thunderbird über Einstellungen >> Datenschutz und Sicherheit >> Hauptpasswort verwenden unbedingt ein Hauptpasswort, da andernfalls der geheime Schlüssel ungeschützt im Thunderbird-Profilverzeichnis abgelegt wird.

Zusatzinformation für fortgeschrittene OpenPGP-Nutzer:

Thunderbird bietet seit Version 78 für den geheimen Schlüssel leider nicht mehr den von Enigmail/GnuPG gewohnten Schutz durch eine Passphrase, die nach Ablauf einer einstellbaren Caching-Dauer immer wieder abgefragt wird. Vielmehr wird der Schlüssel nur durch das Hauptpasswort geschützt, das einmalig beim Starten von Thunderbird abgefragt wird. Mit dem Hauptpasswort wird ein automatisch generiertes Zufallspasswort symmetrisch verschlüsselt und im Profilverzeichnis in der Datei encrypted-openpgp-passphrase.txt  abgelegt. Mit dem Zufallspasswort werden u.a. alle in der Thunderbird-Schlüsselverwaltung vorhandenen geheimen OpenPGP-Schlüssel verschlüsselt in der Datei key4.db gespeichert.

Es besteht grundsätzlich die Möglichkeit, den geheimen Schlüssel mittels GnuPG statt mit der Thunderbird-Schlüsselverwaltung zu verwalten und damit erhöhte Sicherheitsanforderungen zu erfüllen (Konfig-Editor: mail.openpgp.allow_external_gnupg = true setzen). Den geheimen GnuPG-Schlüssel kann man dann über Konten-Einstellungen >> Ende-zu-Ende-Verschlüsselung >> OpenPGP >> Schlüssel hinzufügen über die Option Externen Schlüssel mittels GnuPG benutzen (z.B. von einer Smartcard) dem E-Mail-Konto zuordnen. Der zugehörige öffentliche Schlüssel muss allerdings in der Thunderbird-Schlüsselverwaltung vorhanden sein.

Bei Thunderbird (64 bit) unter Windows ist es zusätzlich erforderlich, die Umgebungsvariable PATH manuell anzupassen.

Unter Linux muss zusätzlich zu GnuPG die C-Bibliothek GPGME installiert werden.

Datenträger sicher löschen und entsorgen

Datenträger enthalten potenziell sensible Daten und sollten vor der Entsorgung immer gelöscht oder zerstört werden, damit die Daten nicht mit speziellen Werkzeugen wiederhergestellt werden können.
Sensible Daten können vielfältig sein und von Personaldaten über wissenschaftliche Forschungsergebnisse oder Medizindaten bis hin zu einfachen persönlichen Urlaubsfotos, E-Mails und Browserverläufen reichen. Werden die Daten nicht gezielt gelöscht, könnten sie auch von „eifrigen“ Laien mit entsprechenden frei verfügbaren Werkzeugen wiederhergestellt und missbraucht oder ungewollt im Internet veröffentlicht werden. Bei Forschungsergebnissen oder Betriebsinterna besteht eine erhöhte Wahrscheinlichkeit, dass erweiterter Aufwand in die Restauration von Daten investiert wird.

EINFACHES LÖSCHEN UNTER WINDOWS, LINUX ODER MAC ENTFERNT DIE DATEN NICHT KOMPLETT VON DER FESTPLATTE
Bei regulärem Löschen einer Datei, werden die belegten Sektoren auf Dateisystemebene als frei und neu beschreibbar markiert. Die Daten selbst bleiben aber erhalten, bis sie von neuen Daten überschrieben werden. Auch, wenn die Datenträger nach einer gängigen Methode verschlüsselt wurden, sollten sie nicht einfach entsorgt werden, da die Daten trotzdem noch vorhanden sind und es entweder mit ausreichendem Rechenaufwand oder durch künftige Entwicklungen möglich sein könnte, die Daten durch Dritte wieder zu entschlüsseln

BEI EINER ENTSORGUNG HILFT DIE „HOLZHAMMER“-METHODE
Für Medien, die ohnehin entsorgt werden, ist die Holzhammer-Methode oft die schnellste Variante. Dabei setzt man einen Schraubendreher an und durchschlägt das dünne Metallgehäuse mit einem Hammer mehrfach, um die HDD mechanisch zu zerstören. Noch besser geeignet ist eine Ständerbohrmaschine, mit der man das Gehäuse mehrfach durchbohrt. Hier ist zu beachten, dass die Datenträger nicht
immer die komplette Fläche des Gehäuses bedecken; die Daten sind aber erst dann zerstört, wenn wirklich die datentragenden Teilen durchbohrt werden.

Entsorgungen von Datenträgern erfolgen an der FAU immer über das Sachgebiet Umweltmanagement der Zentralen Universitätsverwaltung (ZUV). Einrichtungen, die häufig Datenträger
entsorgen müssen, können dort auch Behälter zur sicheren Datenträgervernichtung bestellen, die regelmäßig geleert werden. Externe Firmen kümmern sich dann um die vertraglich geregelte und fachgerechte Entsorgung. Ein vorheriges Löschen oder Zerstören des Datenträgers ist aber immer ratsam, wenn die Festplatte und somit die Daten den „Besitzer“ wechseln.

MAGNETISCHE FESTPLATTEN MIT NULLEN ÜBERSCHREIBEN
Hard-Disk-Drives (HDDs), also Festplattenlaufwerke, lassen sich relativ unkompliziert mit OpenSource-Software so lange mit Nullen überschreiben, bis die ursprünglichen Daten nicht mehr restaurierbar sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für ältere HDDs (<80 GB) die Daten siebenfach zu überschreiben. Bei modernen HDDs genügt es, die Daten bei normalem Schutzbedarf ein bis zweimal mit Nullen zu überschreiben. Das RRZE hat für diesen Zweck gute Erfahrungen mit Darik’s Boot and Nuke (DBAN) gemacht, das sich direkt von einem USB-Stick booten und ausführen lässt.

FLASH-SPEICHER SICHER LÖSCHEN
Mittlerweile haben in den meisten IT-Geräten Flash-Speicher HDDs ersetzt. Für diese Speichermedien gibt es bisher keinen Tipp zur Datenlöschung, der auf allen Betriebssystemen immer angewendet werden kann. Das mehrfache Überschreiben bei Flash-Speichern funktioniert nicht. Flash-Speicher (SSD, M2, USB-Stick, SD-Card) enthalten redundante Speicherblöcke, die der Ausfallsicherheit dienen. Sie verfügen außerdem über einen eigenen, intelligenten Controller zur Organisation der Daten, der dafür sorgt, dass bei jedem Schreibvorgang andere Zellen genutzt werden. Ein mehrfaches Überschreiben der Daten ist
daher keine Garantie dafür, dass auch alle Speicherblöcke überschrieben werden. Ein mechanisches „Durchbohren“ beschädigt ebenfalls nicht alle Speicherblöcke zuverlässig, wenn das Gehäuse nicht aufgeschraubt und überprüft wird,ob alle Speicherblöcke getroffen wurden.

Dennoch gibt es Möglichkeiten, auch Flash-Speicher zuverlässig zu löschen. Das BSI empfiehlt, hierfür den ATA-Befehl „Enhanced Security Erase“ zu nutzen. Dieser Befehl weist den Controller an alle
Speicherzellen zurückzusetzen. Um ein solches ATA Secure Erase auszuführen, gibt es verschiedene Methoden; die meisten IT-Fachmagazine empfehlen nur das jeweils spezifische Tool des Festplattenherstellers zu verwenden. Diese Software kann jedoch nur die herstellereigenen Datenträger sicher löschen und nicht die der anderen Hersteller. Für IT-Verantwortliche mitunter ein mühsames Unterfangen, denkt man an die Vielzahl an Anbietern auf dem Markt.

Abhilfe schafft der Secure Erase „hdparm“ unter Linux. Diese Variante ist herstellerunabhängig und sollte bei allen modernen Flash-Speichern funktionieren. Informieren Sie sich auf S. 8, wie Sie Daten auf Flash-Speichern mit SATA-Schnittstelle mit Hilfe von hdparm löschen.

Für die neueste Generation an Flash-Speichern, sogenannte NVMe-Datenträger mit PCI-Express-Schnittstelle, kann hdparm nicht genutzt werden. Hier gibt es vergleichbare Open-Source-Programme,
wie beispielsweise „nvme-cli“, die einen vergleichbaren Funktionsumfang bieten.

BITTE BEACHTEN SIE
Bevor Geräte, die nicht eindeutig defekt sind, entsorgt werden können, muss deren Verwendbarkeit in der FAU oder bei anderen Stellen des Freistaats Bayern überprüft werden.

Weiterführende Links:

SATA-Datenträger sicher löschen mit hdparm

Löschen von Flash-Speichern mit SATA-Schnittstelle mittels Linux (hdparm)

  1. Linux (z. B. Ubuntu) kann direkt von einem USB-Stick gestartet werden. Eine Installation des Betriebssystems
    ist nicht zwingend notwendig. Wichtig ist, dass der zu löschende Datenträger an einem SATA-Kabel des Rechners
    angeschlossen wurde. Es empfiehlt sich nur den zu löschenden Datenträger am System anzuschließen.
  2. Öffnen Sie ein Terminal-Fenster und geben sie folgenden Befehl ein: sudo hdparm -I /dev/sda
    • Die Ausgabe sollte in etwa so aussehen:
      Security:
      Master password revision code = 65534
      supported
      not enabled
      not locked
      not frozen
      not expired: security count
      supported: enhanced erase
      2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
      Der Datenträger sollte auf „not enabled, not locked, not frozen und not expired“ stehen.
  3. Der Datenträger darf nicht im Status „frozen“ sein, da der Vorgang sonst nicht ausgeführt werden kann.
    a. Um den „frozen“-Status aufzuheben, wird folgender Befehl verwendet: sudo systemctl suspend
    b. Überprüfen, ob der Befehl erfolgreich war: sudo hdparm -I /dev/sda
  4. Die Festplatte muss anschließend mit einem Passwort versehen werden:
    sudo hdparm --user-master u --security-set-pass [geheim] /dev/sda
  5. Erneut mit sudo hdparm -I /dev/sda prüfen, ob die Aktion erfolgreich war.
    • Die Ausgabe sollte so aussehen:
      Security:
      Master password revision code = 65534
      supported
      enabled
      not locked
      not frozen
      not expired: security count
      supported: enhanced erase
      Security level high
      2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
  6. Nun kann der Datenträger mit folgendem Befehl sicher gelöscht werden:
    sudo time hdparm --user-master u --security-erase [geheim] /dev/sda
    Folgende Ausgabe sollte angezeigt werden:
    security _ password: „geheim“
    /dev/sda:
    Issuing SECURITY _ ERASE command, password= „geheim“, user=user
    0.00user 0.00system 0:22.43elapsed 0%CPU (0avgtext+0avgdata 1868maxresident)k
    0inputs+0outputs (0major+79minor)pagefaults 0swaps
  7. Ein letztes Mal den Status des Datenträgers überprüfen:
    sudo hdparm -I /dev/sda

Wenn alles geklappt hat, erhalten Sie folgende Ausgabe:
Security:
Master password revision code = 65534
supported
not enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
Damit ist die Festplatte gelöscht und der Vorgang abgeschlossen

Adobe Acrobat Pro, Captivate und Creative Cloud auf Rechnern der FAU

Anleitungen für Adobe-Mietlizenzen

Die dienstliche Nutzung von lizenzpflichtigen Adobe-Produkten ist Beschäftigten an der FAU nur auf Dienstgeräten und nur in Verbindung mit einer persönlichen, durch das RRZE verwalteten Federated ID, möglich. Adobe erzwingt die Verwendung von personenbezogenen IDs.  Ohne personengebundene Lizenzierung können Adobe-Produkte nicht mehr verwendet werden.

Neu ab 08/2022:

Für Adobe Acrobat Professional hat die FAU eine Personal-Flatrate, sodass jeder, der die Software nutzen möchte, auch eine Lizenz selbstständig im IdM beantragen kann. Die Finanzierung erfolgt zentral über die Fakultäten, sodass die Einrichtungen keine Einzelbestellungen vornehmen müssen und die Einzelabrechnung der Lizenzen entfällt.

Die personengebundene Lizenz (NUL = named User License) ist für Beschäftigte der FAU direkt nutzbar, wenn die IT-Verantwortlichen die vom RRZE bereitgestellte Software (Anmeldung mit Kontaktpersonen-Kennung) auf den Dienstgeräten installiert haben.

Ebenso können CIP-Pools, Bibliotheken und Labore die gerätegebundene Lizenz (SDL = Shared Device License) nach Freischaltung durch das RRZE nutzen.

Wenn eine Adobe-Lizenz für Adobe Creative Cloud oder für Adobe Captivate benötigt wird, dann muss diese über die für die Einrichtung verantwortliche RRZE-Kontaktperson kostenpflichtig bestellt und auf die benutzende Person zugewiesen werden. Die aktuellen Preise sind der Preisliste zu entnehmen.

Weitere Informationen siehe FAQ – Adobe Creative Cloud.

In CIP-Pools können Studierende und Lehrende angebotene Adobe-Produkte kostenlos nutzen, wenn sie eine Adobe Federated ID gem. dieser Anleitung für sich erzeugt haben und die Software installiert ist. Über die Verfügbarkeit gibt das Betreuungspersonal vor Ort Auskunft.

Schritt für Schritt zur Adobe-Lizenz

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Einstellungen & Anträge – Cloud-Dienste wird die Adobe Federated ID angelegt. Es ist mit ca. 2 Stunden Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt ist und das Adobe Benutzerkonto angelegt sind.
  • Die Software muss auf dem aktuellen Stand installiert sein (Administrator, Software Center).

CIP-Pools: Über die Verfügbarkeit gibt das Betreuungspersonal vor Ort Auskunft.

  • Die Lizenz wurde von der RRZE-Kontaktperson zugewiesen. Ausnahme: nicht erforderlich für Adobe Acrobat, da FAU-weit unbegrenzt nutzbar
  • Diese Anleitung wurde befolgt (siehe auch weiteres Vorgehen für Benutzer:innen).

(Weitere) Adobe Lizenzen bestellen

  • als RRZE-Kontaktperson mit der IdM-Hauptkennung am Kundenportal anmelden
  • Kundennummer unter „Kunus wählen“ auswählen
  • unter „Software bestellen“  / Produkt suchen nach
    • Adobe CC / Artikel: labcda1n (nicht plattformspezifisch)
  • gewünschte Menge der Lizenzen und Laufzeit in Monaten eingeben
  • mit Klick auf „Bestellen“ abschließen

Adobe Abos verwalten

  • Sobald die Bestellung vom RRZE freigeschaltet ist, muss die RRZE-Kontaktperson  jede Person, die eine Lizenz (Abo) erhalten soll, im Portal zur Verwaltung von Named User-Lizenzen (NUL) eintragen.
  • Es kann einige Minuten dauern, bis die Lizenzen im Portal angezeigt werden.
  • RRZE-Kontaktpersonen haben mit der IdM-Hauptkennung automatisch Zugriff auf das Portal und müssen beim ersten Login nur bestätigen, dass sie diese Funktion übernehmen.
  • Weitere Hinweise sind in der Anleitung zum Lizenzverwaltungsportal zu finden
  • Portal zur Verwaltung von Named User-Lizenzen (NUL) öffnen

Ausnahme: Multi-User- bzw. Gerätelizenzen (SDL = Shared Device License) in CIP-Pools, Bibliotheken und Unterrichtsräumen

Bei Pool-Geräten mit Adobe CC Pro SDL reicht zur Nutzung die Zustimmung zur Datenübertragung an Cloud-Dienste durch den/die Benutzer:in, um sich per SSO anzumelden zu können. Es ist mit ca. 2 Stunden Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt und das Adobe Benutzerkonto angelegt sind. Erst dann sind Anmeldung und Zugang zum Programm möglich.

Sobald Sie sich abmelden, können die Anwendungen nicht mehr genutzt werden.

Wir sind verpflichtet, explizit auf die Lizenzbedingungen des Herstellers zu verweisen. Bei der Beantragung der Adobe Federated ID (siehe 1.) hat jeder/jede Benutzer:in diesen Lizenzbedingungen zugestimmt. Zum Nachlesen:

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Einstellungen & Anträge – Cloud-Dienste wird die Adobe Federated ID angelegt. Es ist mit ca. 2 Stunden Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt ist und das Adobe Benutzerkonto angelegt sind.
  • Die Software muss auf dem aktuellen Stand installiert sein (Administrator, Software Center).
  • Diese Anleitung wurde befolgt (siehe auch weiteres Vorgehen für Benutzer:innen).

Adobe Acrobat Pro DC

Wir sind verpflichtet, explizit auf die Lizenzbedingungen des Herstellers zu verweisen. Bei der Beantragung der Adobe Federated ID (siehe 1.) hat jeder/jede Benutzer:in diesen Lizenzbedingungen zugestimmt. Zum Nachlesen:

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Einstellungen & Anträge – Cloud-Dienste wird die Adobe Federated ID angelegt. Es ist mit ca. 2 Stunden Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt ist und das Adobe Benutzerkonto angelegt sind.
  • Die Software muss auf dem aktuellen Stand installiert sein (Administrator, Software Center).
  • die Lizenz wurde von der RRZE-Kontaktperson zugewiesen.
  • Diese Anleitung wurde befolgt (siehe auch weiteres Vorgehen für Benutzer:innen).

Wir sind verpflichtet, explizit auf die Lizenzbedingungen des Herstellers zu verweisen. Bei der Beantragung der Adobe Federated ID (siehe 1.) hat jeder/jede Benutzer:in diesen Lizenzbedingungen zugestimmt. Zum Nachlesen:

Vor dem Loslegen:

Anmeldung und Zugang zum Programm sind erst dann möglich, wenn:

  • Im IdM muss die „Zustimmung zur Datenübertragung an Cloud-Dienste“ für „Adobe“ gegeben werden, ansonsten ist keine Nutzung möglich. Erst nach der Zustimmung im IdM-Portal – Einstellungen & Anträge – Cloud-Dienste wird die Adobe Federated ID angelegt. Es ist mit ca. 2 Stunden Wartezeit zu rechnen, bis die Adobe Federated ID erzeugt ist und das Adobe Benutzerkonto angelegt sind.
  • Die Software muss auf dem aktuellen Stand installiert sein (Administrator, Software Center).
  • die Lizenz wurde von der RRZE-Kontaktperson zugewiesen.
  • Diese Anleitung wurde befolgt (siehe auch weiteres Vorgehen für Benutzer:innen).

Adobe Creative Cloud Pro

Anwendungen verwalten (Installieren / Deinstallieren)

Im Creative Cloud-Desktop ist eine Übersicht der installierten Anwendungen.

Auf vom RRZE per Windows Softwareverteilung oder FAUmac Self Service verwalteten Geräten können die benötigten Anwendungen selbständig installiert und Updates ausgeführt werden.

In den FAQ sind Hinweise zur Nutzung von Adobe Creative Cloud Pro zu finden.

Support für Software durch das RRZE

Adobe Acrobat Pro, Captivate und Creative Cloud auf Rechnern der FAU

Portal zur Verwaltung von Softwarelizenzen

Anleitung für RRZE-Kontaktpersonen

Für kostenpflichtig über die Software-Preisliste des RRZE bestellbare

  • Named User-Lizenzen (Software mit Clouddiensten) und
  • personenbezogene Lizenzen mit Home Use Key

erfolgt die Verwaltung der Lizenzen durch die RRZE-Kontaktpersonen.

Zugang zum Lizenzverwaltungsportal haben nur RRZE-Kontaktpersonen.

Vorschau auf die Lizenzverwaltung

Für Hilfe auf das Fragenzeichen (1) klicken.

Bei Bedarf kann nach

  • Kundennummer (2),
  • Produkt (3) oder
  • Personen gefiltert werden.

Neben Kundennummer (5) und Artikel (6) wird angezeigt, wie viele Nutzungsrechte (7) insgesamt für den Artikel verfügbar sind. Außerdem werden alle aktiven Nutzungsverträge nebst Laufzeitende angezeigt.

Auf das dunkelblaue Personensymbol (8) mit dem Pluszeichen klicken, um einer Person ein verfügbares Abo zuzuweisen.

Wenn keine freien Abos verfügbar sind, ist das Feld hellblau und nicht anwählbar (10). Weitere Lizenzen können im Kundenportal bestellt werden.

Auf das rote Personensymbol (9) mit dem Minuszeichen klicken, um eine Lizenz zu entziehen.

Die Daten im Feld IdM-Nutzer eingeben. Es kann nach IdM-Kennung, E-Mail oder Name gesucht werden (Autovervollständigung ist aktiv). Es sind die produktspezifischen Hinweise nach dem Hinzufügen zu beachten.

Einige Artikel benötigen die Zustimmung zu den Cloud-Nutzungsbestimmungen.

Wenn die Cloud-Nutzungsbestimmungen noch nicht akzeptiert sind, wird dies durch ein rotes X (11) rechts neben der E-Mail-Adresse angezeigt. Für jeden Hersteller muss die Zustimmung zur Datenübertragung an Cloud-Dienste einzeln erteilt werden, zum Beispiel für Microsoft oder für Adobe. Die Zustimmung erfolgt über den IdM SELF SERVICE. Erst danach werden das Benutzerkonto angelegt und das Abo zugewiesen.

Neben Kundennummer und Artikel (12) wird angezeigt, wie viele Nutzungsrechte insgesamt für den Artikel verfügbar sind. Außerdem werden alle aktiven Nutzungsverträge nebst Laufzeitende angezeigt.

Auf das dunkelblaue Personensymbol (8) mit dem Pluszeichen klicken, um einer Person ein verfügbares Abo zuzuweisen.

Unterjährig erfolgt die Änderung auf eine andere Person über das blaue Personensymbol (13), siehe auch „Zuweisung von personenbezogenen Lizenzen mit Home Use Key“.

UBLHK-Zuweisungen können nur am Ende der jeweiligen Lizenzlaufzeit (16) über das rote Personensymbol (15) entfernt werden.

Im Feld „IdM-Nutzer“ kann nach IdM-Kennung, E-Mail oder Name gesucht werden. (Autovervollständigung ist aktiv). Es sind die produktspezifischen Hinweise nach dem Hinzufügen zu beachten.

Nach Zuweisung kann die Lizenzinformation über das schwarze Augensymbol (14) angezeigt werden. Durch Klicken auf das blaue Klemmbrettsymbol (17) wird die Lizenzinformation in die Zwischenablage kopiert.

Im Feld „Neuer User“ kann nach IdM-Kennung, E-Mail oder Name gesucht werden. (Autovervollständigung ist aktiv). Es sind die produktspezifischen Hinweise nach dem Hinzufügen zu beachten.

Unterjährig erfolgt die Änderung auf eine andere Person über das blaue Personensymbol (13), siehe auch „Zuweisung von personenbezogenen Lizenzen mit Home Use Key“.

UBLHK-Zuweisungen können nur am Ende der jeweiligen Lizenzlaufzeit (16) über das rote Personensymbol (15) entfernt werden.

Support für Software durch das RRZE

Portal zur Verwaltung von Softwarelizenzen

Empfehlungen für SSH-Keys

An dieser Stelle werden Empfehlungen zur Nutzung von SSH-Keys angegeben.

SSH-Keys generieren

Mittlerweile gelten viele Algorithmen zur Schlüsselerstellung so z.B. RSA mit geringer Schlüssellänge oder DSA als unsicher. Der sicherste Algorithmus der heutzutage zur Genernierung von SSH-Keys verfügbar ist, ist ED25519. Das RRZE emfphielt die Nutzung dieses Algorithmus zur SSH-Key Generierung:

bash$ ssh-keygen -t ed25519 
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/username/.ssh/id_ed25519): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/username/.ssh/id_ed25519.
Your public key has been saved in /home/username/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:S7/10UOXix32PxaQq2PcH7o2lPzgtbdmnZ7UgWHrpY4 user@host
The key's randomart image is:
+--[ED25519 256]--+
|                 |
|                 |
|             o.  |
|            .o+ .|
|        S   .o+B.|
|       . o  .*B+B|
|        . o *+*=O|
|           Bo*.%*|
|          oEo+X+*|
+----[SHA256]-----+

Standardmäßig wird das Schlüsselpaar im .ssh Verzeichnis des Homes angelegt. Es sollte immer ein sicheres Passphrase (Kennwort) für einen Schlüssel angegeben werden. So kann sichergestellt werden, dass ein Angreifer den privaten Schlüssel nicht ohne das Kennwort nutzen kann. Der öffentliche Schlüssel wird an gleicher Stelle mit der Endung .pub angelegt.

SSH-Keys nutzen

Damit die Authentifizierung mittels SSH-Keys genutzt werden kann, muss der öffentliche Schlüssel auf dem gewünschten Host mittels ssh-copy-id kopiert werden.

bash$ ssh-copy-id user@host
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
Password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@host'"
and check to make sure that only the key(s) you wanted were added.

Für RRZE-Betreute Systeme können RRZE-Mitarbeiter SSH-Keys mittels einer SSH-Key Verwaltung im IdM Portal einpflegen. Diese Keys können dann auf Servern die am RRZE-Saltstack angebunden sind genutzt werden. Vorraussetzung hierfür ist allerdings dass keine NFS-Homes auf den jeweiligen Server benötigt werden.

SSH-Agent nutzen

Der SSH-Agent speichert einen einmal entsperrten Schlüssel zwischen, so dass nicht bei jeder Nutzung eines mit Passphrase gesicherten Schlüssels die Passphrase erneut eingegeben werden muss.

Damit das funktioniert muss der SSH-Agent am besten automatisch nach der Anmeldung gestartet werden und einige Umgebungsvariablen gesetzt werden. Zur Erhöhung der Sicherheit kann ein Timeout konfiguriert werden nach dem der jeweilige Schlüssel wieder aus dem Speicher des SSH-Agents gelöscht wird. Nach Ablauf des Timeouts muss man die Passwphrase also erneut eingeben, um den Key ein weiteres mal zu entsperren.

Um zu verhindern das der SSH-Agent mehrmals gestartet wird empfiehlt es sich zum Beispiel folgendes Script-Snippet in die ~/.bashrc einzufügen.

Bitte nicht „blind“ übernehmen. Vor allem auf Desktop-Installationen wird der SSH-Agent meist ohnehin schon automatisch gestartet.

# START: ssh-agent setup
SSH_ENV="$HOME/.ssh/environment"
SSH_TIMEOUT=3600

function start_agent {
    echo "Initialising new SSH agent..."
    /usr/bin/ssh-agent -t ${SSH_TIMEOUT} > "${SSH_ENV}"
    echo "succeeded"
    chmod 600 "${SSH_ENV}"
    source "${SSH_ENV}"
}

if [ -f "${SSH_ENV}" ]; then
    source "${SSH_ENV}"
    ps -ef | grep ${SSH_AGENT_PID} | grep ssh-agent > /dev/null || start_agent
else
    start_agent
fi
# END: ssh-agent setup