Nitrokey Storage - Verschlüsselte Volumen auf dem Mac

Hallo Community,
die Installation des Nitrokey App auf meinem Mac mit OS X El Capitain 10.11.6 habe ich glücklich hin bekommen, an die verschlüsselten und versteckten Volumen komme ich aber noch nicht heran.

  1. Wenn ich in der App auf “verschlüsseltes Volumen freischalten” klicke erscheint die Warnung: Das eingelegte Medium konnte von diesem Computer nicht gelesen werden". Auswahl: “Initialisieren” bringt mich zum Festplattendienstprogramm, der Reiter “Partitionieren” ist aber nicht aktiv. Muss ich hier etwas tun um die Fehlermeldung zu vermeiden?

Auch wenn ich auf “Ignorieren” gehe, wird das verschlüsselte Volumen frei geschaltet - aber wo finde ich das entsprechende Fenster? Auf dem Stick sehe ich immer nur die “offene” Abteilung…???

Danke für deine Tipps damit ich den Stick bald nutzen kann.

Hi,

ja, das ist etwas eventuell etwas tricky. Ich habe nur macOS Sierra, aber es sollte früher genauso sein: Wenn du ( nach der Frage nach Initialisierung) im Festplattendienst program bist, dann wirst du wahrscheinlich zwei Sticks sehen. Das eine ist der unverschlüsselte Stick mit 2GB größe. Das andere dann der Stick mit dem Rest des Storage Keys. Diesen musst du anwählen und löschen (ExFAT). Dabei wird eine Partitionstabelle angelegt.

Aber ehrlich gesagt glaube ich nicht dass NKStorage mit mehr als einer Partition als encrypted umgehen kann. Normal wird immer der erste Teil des NK mit 2GB FAT formatiert ( das ist so in der Firmware programmiert) und ein MBR angelegt.
der Rest des Sticks wird dann als eine Partition angelegt auf einem separaten Drive.
(Ich muss mal testen wie das unter andere OS ist, aber ich vermute ähnlich)

Wenn du das verschlüsselte Volumen z.B. in 3 OSX Partitionen teils, dann geht das zwar, aber die lassen sich später nicht mehr aktivieren :-(( NKStorage kommt IMHO nur mit FAT32 richtig klar

@Peacekeeper, danke für die Hilfe.

Bzgl. Partitionen: Der Nitrokey Storage kennt keine Dateisysteme und keine Partitionen sondern stellt lediglich einen Massenspeicher bereit. Wie der partitioniert oder genutzt wird, ist dem Gerät egal. Daher vermute ich, dass die Einschränkungen bzgl. Partitionen am Betriebssystem liegen.

Hi Jan,
gern geschehen. Ich verstehe auch, dass NK Storage “nur” einen Massenspeicher zur Verfügung stellt. Aber sollte nicht die App dann in der Lage zu sein, die Partitionen zu mounten ? Es funktioniert mit FAT(32) aber nicht mit OSX Journaled etc. Das kann ich mir wiederum nicht vorstellen, dass es an macOS liegen sollte. Aber ich lasse mich natürlich gerne eines bessern belehren :slight_smile:

Update: Ok, er mountet auch die OSX Journaled Partitions, wenn das Festplatten Programm nicht parallel offen ist. Das Festplattenprogramm wurde auch überarbeitet von Apple. Eventuell liegt’s daran, dass unter MBR/macOS keine weiteren Partitionen zu erstellen sind.

Hi Peacekeeper, hi Jan,
danke, dass wir das Thema hier bearbeiten können!

Über “Initialisieren” komme ich ins Festplattendienstprogramm. Hier finde ich

  1. Nitrokey Storage 2,15 GB (FAT) und
  2. Nitrokey Storage Media 13,78 GB “nicht initialisiert”

Kann es sein, dass ich dieses 2) erst noch mit meinem Betriebssystem oder einer heruntergeladenen App formatieren (initialisieren) muss? Ich kann es aber nicht anwählen und es zeigt an: Partitionstabelle: nicht unterstützt, S.M.A.R.T.-Status: nicht unterstützt, Anzahl der untergeordneten Partitionen: 0.

Und wie komme ich an die 13,78 GB Volumen heran. Wo tauchen die auf?

Danke für eure Antworten

Hallo @axellang, ja, Du musst erst die 13,78 GB partitionieren bzw. formatieren, bevor Du auf diese mit dem Betriebssystem (Finder) zugreifen kannst. Wie genau man das bei macOS macht, kann vielleicht @Peacekeeper erklären?

So mal schauen wie das mit den Bildern geht. Ich hab da mal was vorbereitet :wink:
43
Diese Meldung kommt wenn das verschlüsselte Laufwerk noch nicht initialisiert ist


Dann öffnet sich das Festplattendienstprogramm und zeigt zwei externe Medien mit gleichem Namen an. Das ohne einer Partition einfach anklicken und Löschen ( Partitionieren geht nicht im ersten Schritt )
39
Für nur eine möglichst kompatibel Partition ( mit Windows) würde ich die Einstellungen wählen und dann löschen drücken.Das endet dann so : ( Grüner Haken ist wichtig )
00

1 Like

Und hier noch eine Ergänzung wenn man den encrypteden Teil unbedingt unter macOS Partitionieren will:
Es geht NICHT mit MBR sondern nur mit GUID, und es geht NICHT mit FAT oder ExFAT


Plus ist im Festplattendienstprogramm einfach ausgegraut.
Nimmt man eine GUID Partitionstabelle und ein Journaled FS geht es nach dem löschen auch nicht gleich !

Der Trick ist nun einmal kurz die die mit “2” markierte Zeile anzuklicken und dann wieder die mit “1” markierte Zeile anzuklicken und schon läßt sich Partitionieren anwählen.

Der Rest geht dann wie gewohnt: Die erste erstellte Partition anwählen und das “+” wählen:

Ich hab mal zum Spaß 3 gemacht:

So, hope that helps
Schönen Abend auch …

2 Likes

Werter Peacekeeper, hallo Jan!

Dank der wunderbaren Erklärung mit Bildern konnte ich mein 13,78 GB Volume löschen und ich wählte wie oben vorgeschlagen als Name: Encrypted, Format: ExFAT und Schema: Master Boot Record. Das Löschen funktionierte und das Volume “Encrypted” erschien im Finder. Super - geschafft!

Ich packte einen Dateiordner mit einigen Fotos und ein Foto allein in den Ordner und öffnete das “versteckte Volumen” mit einem extra Passwort. Allerdings gab es hier kein weiteres Volume im Finder, aber unter “Encrypted” war der Ordner leer. Ebenfalls ein jpeg-Bild hinein gelegt, alles geschlossen, Stick heraus gezogen und dann wieder eingesteckt: Oh Schreck!

Das unter “verschlüsseltes Volumen” sich im Finder öffnende Volumen hieß nicht mehr “Encrypted” sondern “Untitled” und der gesicherte Ordner war verschwunden. Das einzelne Bild aber noch da.

Kann das damit zusammen hängen: “Um Datenverlust zu vermeiden, sollten Sie vor dem Fortfahren die Partitionen aushängen”? Was bedeutet das oder was muss ich da machen?

Wenn die verschlüsselten Daten nachher weg sind, ist der Stick tatsächlich unbrauchbar.

Danke für eure Antwort und bis später…

Hallo @axellang,

tatsächlich solltest du dir die Warnung, die Partition jeweils vorher zu unmounten zu Herzen nehmen. Wichtig ist vor allem auch zu wissen, dass das versteckte Volumen mitten im verschlüsselten Volumen liegt (je nach Konfiguration). Deshalb solltest du das verschlüsselte Volumen nach der Einrichtung auch nicht mehr als solches verwenden, sondern nur noch das/die versteckten Volumen. Bei Zugriff auf das “normale, verschlüsselte” Volumen werden sonst womöglich Informationen des versteckten überschrieben.

Deshalb: eine Partition einrichten, unverfängliche Daten raufspielen, aushängen und nicht mehr anfassen! Solltest du mehrere Partitionen eingerichtet haben, musst du beim Erstellen einer versteckten Partition entsprechend auch beachten, wo du diese anlegst (von bis Angabe beachten) und darfst dann nur noch die versteckten Volumen nutzen.

Ich würde auch empfehlen den automount von MacOS (so dieser denn aktiviert) zu deaktivieren. Das kann dir sonst in die Quere kommen und nerven, wenn du doch eigentlich nur noch das versteckte Volumen nutzen möchtest.

Liebe Grüße
Alex

Hmm, @axellang,

willst du verschlüsseltes Volumen und dann noch darin ein verstecktes Volumen machen ?
Ehrlich gesagt: unter macOS - lass es ! Ich habe mich eine ganze Weile mit den versteckten Volumen rumgeschlagen und bin der Meinung es funktioniert auf dem Mac nicht sauber.

Wie @nitroalex beschrieben hat bedeuten die versteckten Volumen, dass die verschlüsselten Volumen nicht mehr angefasst werden dürfen. Auch Spotlights darf da nichts mehr drauf machen ( mit den dot Dateien ) Die versteckten Volumen schreiben in ungenutzte Bereiche die Blöcke mit den Daten. Werden aber die nur verschlüsselten Volumen aktiviert, dann werden eventuell die versteckten Blöcke auch angefasst. Der Stick hat keine Ahnung wie Du deine Volumen formatiert hast. Er “handelt” nur Speicherblöcke. Teile der Firmware haben aber einen Bezug zu FAT bzw. FAT32. Auf dem Mac soll ExFAT eigentlich FAT32 darstellen. Der Stift hatte sich damals aber bei echtem FAT32 unter Debian/Ubuntu und Windows anders verhalten. Jetzt fragt mich aber nicht nach Details: ich hab’s bei mir einfach unter “Lass es sein” abgehakt.

Da ich persönlich auch keine Anwendung für die hidden Volumes habe, fass ich die Dinger nicht mehr an :smiley: Wenn die Nitro app nicht läuft, dann ist das encrypted Volume eh nicht sichtbar. Also wenn beim Homeland Security jemand den Stick findet und reinsteckt … so what !!! :sunglasses:

Das ärgerliche ist allerdings dass es nur die NitroApp gibt ( mit der QT Oberfläche ). Da würde ich mir echt noch ein cmd-line tool wünschen. Aber vielleicht gibt es das ja irgendwann mal … :thinking:

Das ärgerliche ist allerdings dass es nur die NitroApp gibt ( mit der QT Oberfläche ). Da würde ich mir echt noch ein cmd-line tool wünschen. Aber vielleicht gibt es das ja irgendwann mal … :thinking:

Jemand hat ein einfaches CLI Tool geschrieben, mit dem man zumindest das verschlüsselte Volumen sperren und entsperren können soll.

1 Like

Yepp ich erinnere mich. Allerdings ist das “Tool” nicht als Binary vorhanden und ich glaube er hat’s nur auf Linux probiert. Dann ist der Dialekt noch RUST, mit dem ganzen drumm herum. (Package Manager) . Ich bin mir nicht sicher ob es das für den Mac gibt ( wahrscheinlich über mac-ports - aber mein System ist produktiv, da will ich nicht viel rumspielen ).

[Update] Ich habe mal RUST installiert, etc. aber das Tool kompiliert nicht auf dem Mac. Es fehlt eine hidlib beim linken. RUST ist nicht meine Sprache weshalb ich mich mit dem Debug schwer tue.


cargo build --release
warning: package replacement is not used: https://github.com/rust-lang/crates.io-index#hid:0.4.0
Compiling nitrocli v0.1.0 (file:///nitrocli/nitrocli)
error: linking with cc failed: exit code: 1
|
= note: “cc” “-m64” “-L” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib” “/nitrocli/nitrocli/target/release/deps/nitrocli-e29bae10c035e61e.0.o” “-o” “/nitrocli/nitrocli/target/release/deps/nitrocli-e29bae10c035e61e” “-Wl,-dead_strip” “-nodefaultlibs” “-L” “/nitrocli/nitrocli/target/release/deps” “-L” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib” “-l” “c” “/nitrocli/nitrocli/target/release/deps/libhid-488dd42f7cb67d27.rlib” “/nitrocli/nitrocli/target/release/deps/libhidapi_sys-d6356264c78813c0.rlib” “/nitrocli/nitrocli/target/release/deps/liblibc-39e9fe8562e55f31.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libstd-438eba4cd7d88a45.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libpanic_unwind-00160610bfa2c7b4.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libunwind-88eece318c5ccb15.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/librand-646fe8114e6965a2.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libcollections-7d6da376f6405c93.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/liballoc-ab03bba0be78edaa.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/liballoc_jemalloc-3d46a711e5badb84.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/liblibc-31c7158cd96c571c.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libstd_unicode-a732f07ce6fa7392.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libcore-ee2a935baf6741f5.rlib” “/Users/peacekeeper/.rustup/toolchains/stable-x86_64-apple-darwin/lib/rustlib/x86_64-apple-darwin/lib/libcompiler_builtins-53f5ee584666574a.rlib” “-l” “hidapi” “-l” “System” “-l” “resolv” “-l” “pthread” “-l” “c” “-l” “m”
= note: ld: library not found for -lhidapi
clang: error: linker command failed with exit code 1 (use -v to see invocation)
error: aborting due to previous error(s)
error: Could not compile nitrocli.


Vielleicht kann der Erfinder was dazu sagen … Aber Ergo:

Insofern wäre eine Variante von NitroKey sicherlich wünschenswert.:sunglasses:

@Peacekeeper könntest Du bitte eine Issue Ticket bei dem tool in Github einstellen? Ich denke das wäre der richtige Weg um den Autor zu erreichen…

Done - mal sehen ob’s was wird. Saget ich schon “Ceterum censeo Carthaginem esse delendam” ?
Vielleicht gebt Ihr Euch ja einen Ruck :smiley: