Encryption Manager, Version 4.5.1

Hilfe

Funktionalität

Encryption Manager ist ein Dateimanager, der es erlaubt einfach und sicher mit vertraulichen Dateien zu arbeiten. Vertrauliche Dateien werden verschlüsselt (mit AES oder Twofish und 128 bit bzw. 256 bit Schlüsseln) auf der SD-Karte gehalten und bei Bedarf vor dem Anzeigen bzw. Bearbeiten automatisch entschlüsselt.

Basis für die Verschlüsselung ist ein Master-Passwort, das zum einen den Zugang zur App sperrt und zum anderen den für jede Datei zufällig generierten Schlüssel verschlüsselt aufbewahrt. Die Oberfläche orientiert sich stark an Favoriten-Listen: Die Dateien mit vertraulichen Daten sind direkt nach dem Login ohne umständliches Suchen verfügbar. Mit einem Klick kann eine Datei in den ursprünglichen Ordner auf der SD-Karte entschlüsselt werden (wird neu angelegt, falls nicht vorhanden) und wird danach sofort angezeigt. Nach dem Ende der Anzeige bzw. Bearbeitung kann die Datei wieder mit einem Klick verschlüsselt werden und die unverschlüsselte Arbeitskopie wird sicher entfernt.

Beim Entfernen wird die Datei mit zufälligen Daten auf der SD-Karte überschrieben, bevor sie gelöscht wird. D.h. sollte das Smart-Phone gestohlen oder verloren werden, können die vertraulichen Daten nicht mehr mit einem "Disk-Recovery-Tool" ausgelesen werden.

Neue Dateien mit Encryption Manager zu verwalten ist sehr einfach. Es gibt zwei grundsätzliche Methoden:

• Sie können aus jeder App, die eine Senden-Funktion hat, Encryption Manager als Ziel auswählen. Nach der Eingabe des Master-Passwortes kann die Datei verschlüsselt werden.
• In Encryption Manager selbst über das Menü Neu. Über eine Dateisuche werden alle nicht-verwalteten Dateien in einer Liste angezeigt. Für die Dateisuche kann ein Filter definiert werden. Der Filter wirkt auf Dateiendungen, z.B. .txt für Textdateien oder .xls für Excel-Dateien oder auf Ordnern, die ausgeschlossen werden können, z.B. solche die mit einem Punkt beginnen.

Unverschlüsselte Dateien lassen sich beim Beenden oder über das Menü "Alle verschlüsseln" wieder verschlüsseln. Wurde die unverschlüsselte Datei nicht geändert, so wird sie ohne Neuverschlüsselung sicher gelöscht.

Bedienung

Dateien und Ordner werden in Listen angezeigt. Ein einfacher Klick auf eine Datei öffnet das für die Dateiendung definierte Anzeigeprogramm. Ein einfacher Klick auf einen Ordner zeigt den Ordnerinhalt an. Ein längerer Druck auf einen Listeneintrag öffnet ein Kontext-Menü. Das ist vor allem wichtig, wenn Sie Dateien in die Verwaltung übernehmen oder herausnehmen möchten - diese Funktion ist nur über das Kontextmenü verfügbar.

Seit Version 2.70 gibt es einen Modus zur Mehrfachselektion. Bei Klick auf einen Eintrag wird dann die Datei nicht geöffnet, sondern nur selektiert (gelber Hintergrund). Die Operationen Ent- und Verschlüsseln lassen sich so auf alle selektierten Dateien anwenden. Wollen Sie bei sehr vielen Dateien einen Bereich auswählen, dann klicken Sie die erste Datei an und wählen im Kontextmenü der letzten Datei "Bereich auswählen".

Master-Passwort

Das Master-Passwort ist der zentrale Schutz mit dem alle Schlüssel zum Entschlüsseln der Dateien nochmals verschlüsselt sind. Alternativ zur Eingabe von Ziffern über die eingeblendete Telefontastatur können Sie auch ein Master-Passwort über das Textfeld eingeben. Obwohl die Anwendung nur eine Minimallänge von 6 Zeichen vorgibt, ist es sehr empfehlenswert ein längeres Master-Passwort zu nutzen (12 Zeichen oder mehr, wenn Sie nur Ziffern verwenden bzw. 10 Zeichen oder mehr bei Zeichen). Merken Sie sich das Master-Passwort gut. Ohne Master-Passwort ist kein Zugriff auf die Dateien mehr möglich.

Symbole

Die Symbole auf der rechten Seite der Liste der verwalteten Dateien zeigen den aktuellen Status der Datei an:

• Ist das Symbol grün, dann ist die Datei verschlüsselt.
• Ist das Symbol gelb, dann existiert eine unverschlüsselte Kopie der Datei. Die Kopie ist aber unverändert.
• Ist das Symbol rot, dann existiert eine unverschlüsselte Kopie der Datei, die geändert worden ist. D.h. Sie sollten die Datei über das Menü "Neu verschlüsseln" nochmal verschlüsseln, sodass die aktuelle geänderte Variante verschlüsselt ist.
• Ist das Symbol grau, dann existiert keine verschlüsselte Datei. Entweder wurde die Datei noch nicht verschlüsselt oder die verschlüsselte Datei wurde gelöscht.

Speicherung

Storage

Encryption Manager speichert seine Verwaltungsdaten (Dateiname, verschlüsselte Schlüssel, ...) in einer SQLite-Datenbank auf dem internen Smart-Phone-Speicher. Die verschlüsselten Dateien selbst werden wie die Originaldatei im Dateisystem in einem versteckten Ordner gespeichert und zwar pro Dateisystem. Seit Version 4.0 der App kann das Dateisystem einer Datei auch geändert werden. Die meisten Geräte haben genau ein solches Dateisystem für den internen Speicher. In älteren Android-Versionen war dies immer /mnt/sdcard, in neueren Versionen hängt es stark vom Gerät ab, wie der interne und externe Speicher benannt ist. Typische andere Pfade sind z.B.:

• /Removable/MicroSD : Externe SD-Karte auf Asus Transformer
• /mnt/sdcard/ext_sd : Externe SD-Karte auf einigen HTC Geräten
• /mnt/sdcard/external_sd : Externe SD-Karte auf Samsung Galaxy S2, Samsung Note 2
• /mnt/extSdCard : Externe SD-Karte auf Samsung Galaxy S3
• /mnt/external1 : Externe SD-Karte auf Motorola Xoom
• /mnt/sdcard-ext : Externe SD-Karte auf Motorola RAZR
• /mnt/usb_storage : USB-Speicher auf Acer Iconia
• /storage/emulated/0 : Interner Speicher bei den meistens Android4.4-Geräten
• /storage/extSdCard : Externe SD-Karte bei den meistens neueren Samsung-Geräten
• /mnt/ext_sdcard : Externe SD-Karte auf Nook HD

Innerhalb eines Dateisystems ist der versteckte Ordner entweder .encmanfull oder Android/data/com.giraone.encmanfull/encrypted (nur auf externen SD-Karten von Android 4.4 - Geräten wegen der eingeschränkten Rechte von nicht System-Apps!).

Senden Sie eine Email info@giraone.com sollte ihre SD-Karte nicht korrekt erkannt werden.

Bitte beachten Sie, dass Encryption Manager zwar Dateien auf entfernbaren SD-Karten oder USB-Sticks verschlüsseln kann, die App muss aber neu gestartet werden, wenn neuer Speicher angeschlossen oder entfernt wird.

Wichtiger Hinweis:Bitte versuchen Sie nicht die Dateien im versteckten Verzeichnis .encmanfull manuell zu verändern oder zu löschen!

Storage Access Framework unter Android 4 (KitKat) und 5 (Lollipop)

Seit Android 4 (KitKat) können Nicht-System-Apps wie Encryption Manager nicht mehr auf die externe SD-Karte schreiben, wie es noch vor Android 4 möglich war. Es ist nur noch möglich in ein einziges Verzeichns zu schreiben: das Daten-Verzeichnis der App. Bei Encryption Manager ist das

• Android/data/com.giraone.encmanfull in der Vollversion
• Android/data/com.giraone.encmanlite in der Lite-Version

Deshalb müssen Sie Dateien von der externen SD-Karte, die Sie verschlüsseln wollen beim ersten Mal manuell mit dem Datei-Manager von Android löschen! Seit Version 4.5.1 von Encryption Manager ist es wieder möglich Schreibrechte für den Zugriff auf die externe SD-Karte zu bekommen. Um dies zu ermöglichen nutzt Encryption Manager das sog. Storage Access Framework (SAF) von Android. Dies muss aber vom Benutzer explizit erlaubt werden. Wenn Sie mit Encryption Manager das erste Mal eine Datei auf der externen SD-Karte löschen oder schreiben wollen, müssen Sie in einem Bestätigungs-Dialog von SAF den obersten Ordner der externen SD-Karte auswählen und Encryption Manager den Zugriff erlauben. Encryption Manager wird sich dies merken und danach kann die App wieder wie vor Android 4 auf die SD-Karte schreiben und dort Dateien löschen. Wenn Sie Ihre Entscheidung dazu ändern möchten, nutzen Sie die korrespondierende Option im Einstellungs-Dialog der App.

Sichern / Wiederherstellen

Encryption Manager erzeugt für jede verschlüsselte Datei einen eigenen Schlüssel, der in der internen Datenbank gehalten wird. Wenn diese Datenbank gelöscht wird, z.B. bei einem System-Reset oder weil die App de-installiert wurde, dann können die verschlüsselten Dateien nicht mehr entschlüsselt werden! Um das zu Verhindern kann die App je Datei den Schlüssel und die zugehörigen Daten (Ordner, Pfad, Original-Datum, ...) zusätzlich im Dateisystem in einer sog. Schlüsseldatei sichern. Dies kann entweder manuell aus dem Backup-Dialog der App oder automatisch (hierfür gibt es eine Einstellung) erfolgen. Diese Schlüsseldateien werden wie die verschlüsselten Dateien im Sicherungsordner (typischerweise /mnt/sdcard/.encmanfull) gehalten.

Wenn ihre Encryption Manager Datenbank gelöscht wurde oder Sie ihre verschlüsselten Dateien von einem Gerät auf ein anderes übernehmen möchten, können Sie mit den verschlüsselten Dateien und den zugehörigen Schlüsseldateien die jeweiligen Einträge wieder herstellen. Beim Benutzen der Wiederherstellen-Funktion erkennt die App automatisch, ob es Backup-Dateien gibt, für die es keinen Datenbankeintrg gibt. Bitte wundern Sie sich nicht, wenn nach dem Benutzen von "Sichern" und "Wiederherstellen" die Meldung "Es wurden keine noch nicht verwalteten Dateien gefunden" kommt. Das bedeutet lediglich dass es für alle Dateien im Dateisystem schon einen Datenbankeintrag gibt und nichts "wiederhergestellt" werden muss.

Hinweise:

• Die Schlüsseldateien auf dem Smart-Phone selbst helfen Ihnen nicht, wenn der Speicher oder die SD-Karte selbst korrupt ist und nicht mehr gelesen werden kann. Um solche "Desaster" zu vermeiden, müssen Sie den Inhalt der .encmanfull-Ordner auf ein anderes Medium (PC, USB-Stick, Dropbox, Google-Drive) sichern. Im Desaster-Fall müssen Sie den Ordner zurückkopieren.
• Eine Wiederherstellung funktioniert nur, wenn Sie dabei das gleiche Master-Passwort verwenden das bei der Sicherung eingestellt war.

Arbeiten mit Bildern und Videos

Im Gegensatz zu anderen Dateien sind bei Bildern und Videos einige Dinge mehr zu beachten, wenn man vertrauliche Bilder und Videos geheim halten möchte. Der Grund dafür sind, die sogenannten "Thumbnails" - kleine Kopien der Bilder für die Anzeige in der "Galerie" (oder auch "Alben" genannt). Wenn ein Bild verschlüsselt und das Original gelöscht wird kann es trotzden noch in der Galerie zur Anzeige kommen, den dort wird die kleine Thumbnail-Kopie angezeigt.

Hinweis: Die Funktionalität der neuen Funktionen hängt sehr stark von der eingesetzten Galerie-App ab. Viele Android-Hersteller nutzen eigene Implementierungen, die nicht immer korrekt arbeiten. Zudem gibt es viele Image-Browser oder Diashow-Apps, die ihre eigenen Thumbnail-Kopien erzeugen. Encryption Manager kann diese Kopien beim Verschlüsseln nicht löschen!

Encryption Manager bietet die folgenden Funktionen um Sicherheit und Benutzbarkeit zu kombinieren:

• Es werden Standard-Thumbnails des Android-Media-Scanner in den Listenanzeigen von Bildern und Videos verwendet, wenn die Datei nicht verwaltet oder entschlüsselt ist.
• Die Nutzung von .nomedia Dateien wird unterstützt: Dies ist ein Android-Feature, dass verhindert, dass Thumbnails für Dateien erzeugt werden, die eine Datei mit dem Namen .nomedia enthalten.
• Aus der Ansicht "Gefilterte Dateien" können diese .nomedia Dateien auch erzeugt oder gelöscht werden.
• Wenn eine verwaltete Datei verschlüsselt und das Original gelöscht wird, wird der Media-Scanner informiert das Thumbnail auch zu löschen.
• Mit der Einstellung Thumbnails überschreiben wird das Thumbnail nicht vom Media-Scanner gelöscht, sondern von Encryption Manager überschrieben und dann gelöscht. Bei Fehlern mit Galerie-Apps muß diese Einstellung deaktiviert werden.
• Wenn eine verwaltete Datei entschlüsselt wird, wird der Media-Scanner informiert, das Thumbnail neu zu erzeugen.
• Wenn eine Datei umbenannt oder dupliziert wird, wird der Media-Scanner ebenso informiert zu synchronisieren.
• Für Situationen in denen die Galerie generell falsche oder zu wenig Bilder anzeigt (dies passiert häufig, wenn Bilder mit Dateimanagern verschoben oder gelöscht werden, gibt es ein "Rescan für Galerie" Menü, das einen Media-Rescan anstösst, der sonst während des Bootens durchgeführt wird.

Hinweis für Benutzer von HTC Smartphones:Leider liefert die HTC Gallery manchmal falsche Thumbnails. Bitte zeigen Sie Bilder an, bevor sie diese Löschen um sicher zu stellen, dass Sie nicht ein falsches Bild löschen!

Anti Recovery

Normalerweise werden Dateien beim Löschen durch eine App nicht tatsächlich gelöscht, es wird nur eine Referenz auf die Datei entfernt. Der Inhalt der Datei ist nach dem Löschen immer noch auf der SD-Karte oder dem internen Speicher vorhanden und kann mit File-Recovery-Tools, wie Recuva wiederhergestellt werden. Um zu verhindern, dass jemand der ihr Telefon findet oder stiehlt, dies durchführt, gibt es eine Funktion "Anti-File-Recovery" in Encryption Manager. In dieser Funktion können Sie einen Speicher (interner Speicher, externe SD-Karte, USB-Speicher) auswählen und Encryption Manager wird den gesamten noch freien Speicherplatz mit Zufallsdaten überschreiben. Damit ist auch der Inhalt der gelöschten Dateien überschrieben und kann nicht wiederhergestellt werden. Wichtig: Den gesamten freien Speicher zu überschreiben kann sehr lange dauern und während des Prozesses ist der freie Speicher für andere Apps oder das System selbst nicht verfügbar. Das kann in bestimmten Fällen zu Fehlern in anderen laufenden Apps oder im Android-System selbst führen. Deshalb können Sie definieren ob ein bestimmter Anteil des Speichers nicht überschrieben wird. Nachdem der Prozess beendet ist oder mit "Stop" beendet wurde, ist der gesamte freie Speicher wieder verfügbar. Wird der der Prozess mit "Pause" unterbrochen, bleibt der bis dahin überschrieben Speicher belegt. Falls im Fehlerfall nicht der gesamte Speicher frei gegeben wird, müssen Sie den Ordner ".encmanfull/_fill" löschen.

Verschlüsselungsalgorithmen

Encryption Manager bietet 3 Verschlüsselungsvarianten und 2 Schlüssellängen. Technische Details zu den einzelnen Algorithmen und Blockmodi (EBC bzw. CBC) können Sie in Wikipedia nachlesen.

• AES|128 : AES-Standardalgorithmus (Advanced Encryption Standard bzw. Rijndael-Algorithmus) mit 128 bit Schlüsseln und EBC Blockmodus. Der Algorithmus mit dieser Schlüssellänge und der EBC-Modus wird direkt vom Android-System bereitgestellt. Insbesondere der EBC-Modus hat jedoch bei bestimmten Dateiformaten (insbesondere Bilddateien) einen Sicherheitsnachteil, siehe http://de.wikipedia.org/wiki/Electronic_Code_Book_Mode.
• AES/CBC|256 : AES-Standardalgorithmus mit 256 bit Schlüsseln und CBC Blockmodus. Mit 256-bit Schlüsseln darf dieser Algorithmus auch für Dokumente der allerhöchsten Geheimhaltungstufe eingesetzt werden. In Kombination mit dem CBC-Modus ist dies derzeit die sicherste AES-Variante.
• Twofish/CBC|256 : Twofish ist der Nachfolger des Blowfish-Algorithmus und war einer der 5 besten Kandidaten im AES-Wettbewerb. Er gilt theoretisch als noch sicherer als AES/Rijndael und ist nur geringfügig langsamer als AES. Er ist nicht patentiert und wird in sehr vielen Open-Source-Projekten eingesetzt.

Wie sicher ist Encryption Manager?

Um diese Frage zu beantworten muss man die Szenarien betrachten, die auftreten können:

• 1a) Sie werden Opfer einer schadhaften App, die Zugriffsrechte für die SD-Karte und Internetzugriff hat.
• 1b) Sie werden Opfer einer schadhaften App mit Viren oder Trojanern, die die Android-Sicherheitsmaßnahmen umgeht, z.B. ähnlich der 50 Apps, die im Februar 2011 vom Google Market genommen wurden.
• 2) Jemand stiehlt ihre SD-Karte, aber nicht das Smart-Phone.
• 3) Jemand stiehlt ihr Smart-Phone mit der SD-Karte.

Hat der Angreifer nur Zugriff auf die SD-Karte (Szenario 1a und 2), dann benötigt er sehr viel Rechnerleistung und Jahre an Zeit um die verschlüsselten Dateien mit sog. "Brute-Force-Methoden" (Alle Schlüssel ausprobieren) zu entschlüsseln. Ein guter Artikel zum Thema "Brute-Force" steht in Wikipedia. Da jede Datei ihren eigenen zufällig generierten 128-bit bzw. 256-bit Schlüssel hat, der nicht vorhersagbar ist, ist es mit heutiger Technik unmöglich an die Daten zu kommen.

Hat der Angreifer Smart-Phone und SD-Karte, könnte er sich mit Root-Rechten Zugriff zur Datenbank verschaffen, die die Schlüssel der einzelnen Dateien enthält. In diesem Fall kommt es stark auf die Länge und Komplexität des gewählten Master-Passwortes an. Nutzen Sie möglichst keine einfachen Worte oder ableitbare Zahlenfolgen (Geburtsdatum oder ähnliches). Aber auch hier gilt, dass ein Passwort aus 12 oder mehr Ziffern bzw. 10 oder mehr Zeichen, das nicht in Wortlisten existiert, nur mit sehr viel Zeit und viel Rechnerleistung geknackt werden kann.

Filter definieren

Die Anwendung kommt mit einem vordefinierten Filtersatz, der die meisten Formate für Büroanwendungen berücksichtigt. Die vordefinierten Filter können nicht verändert, aber deaktiviert werden. Sie können sich jederzeit eigene Filter erstellen, dazu müssen Sie nur die Dateiendungen der Dateien kennen, die sie dargestellt haben möchten bzw. Ordnernamen, die Sie ausgeblendet haben möchten.

Beenden

Das BEENDEN-Menü von Encryption Manager beendet die App vollständig. Dies ist einstellbar, sollte jedoch immer gemacht werden, damit etwaige Schadsoftware keine Möglichkeit hat über Speicherdumps oder Speicher-Debugging die Sicherheit Ihrer Einträge zu gefährden, auch wenn die Anwendung nicht im Einsatz ist.

Inaktivität

Wenn die laufende Anwendung länger als 2 Minuten in den Hintergrund verschoben ist, wird bei der Wiederherstellung der Startbildschirm angezeigt, d.h. das Master-Passwort muß erneut eingegeben werden. Der Wert dieses Inaktivitäts-Timers ist über Einstellungen anpassbar.

Dank und Copyright

Diese Anwendung nutzt Open-Source Software des folgenden Projektes:

• The Legion of the Bouncy Castle (http://www.bouncycastle.org). Lizenzhinweise siehe http://www.bouncycastle.org/licence.html

Weiterentwicklung

Wenn Sie Verbesserungsvorschläge oder Probleme melden möchten, können Sie die Mailadresse info@giraone.com verwenden.

Online-Version dieser Hilfe

http://www.giraone.com/help/EncryptionManager/help-de.html

Haftung

Der Hersteller übernimmt keine Haftung für den Verlust von gespeicherten Daten. Bewahren Sie immer eine Kopie ihrer Dateien auf einem zweiten Medium (z.B. PC) auf.

Copyright giraone.com