Probleme bei nachträglicher Verschlüsselung

Bestehende unverschlüsselte Datenbanken können nachträglich nicht direkt verschlüsselt werden. Vielmehr muss eine “neue verschlüsselte Datenbank” erstellt werden, in die die Dateien zu importieren sind. Wie ich festgestellt habe, entstehen erhebliche Probleme, wenn mit Replikanten gearbeitet wird, da sich diese nicht in die neue verschlüsselte Datenbank importieren lassen.

  1. “Dupliziere” ich Dateien oder Ordner von der unverschlüsselten Datenbank per DT3 in die neue verschlüsselte, so funktioniert das nur, wenn sich unter den Dateien keine Replikanten befinden. Zumindest bei mir hat sich DT beim Kopier/Verschlüsselungsvorgang regelmässig aufgehängt. Nach einem Neustart waren oft sämtliche bereits importierten Dateien verschwunden, und ich musste wieder von vorn beginnen.

  2. Kopiere ich die Dateien per “Drag & Drop” in die neue verschlüsselte Datenbank (erst auf den Schreibtisch ziehen und von dort in die neue Datenbank), so werden Replikanten in normale Dateien umgewandelt und folgerichtig als “Duplikate” angezeigt. Logischerweise erhöht sich damit auch die Grösse der Datenbank. Das ist aber nicht im Sinne des Erfinders.

Nach stundenlangen vergeblichen Versuchen, auf diese Weise eine “verschlüsselte Datenbank” zu erstellen, in der sämtliche Replikaten erhalten bleiben, habe ich auf eine bei DT2 empfohlene Vorgehensweise zurückgegriffen: Per MacOS-System eine ganz normale verschlüsselte Sparsedatei erstellt und in diese die unverschlüsselte Datenbank kopiert. So blieben die Replikaten Replikanten, auch stürzte der Computer kein einziges Mal ab.

Hat jemand von euch Ähnliches festgestellt oder kann mir sagen, was ich falsch gemacht habe?

Sie beschreiben hier nichts Ungewöhnliches. Das Verhalten wird erwartet, da Sie keine Replikanten zwischen Datenbanken übertragen können.

(Übersetzt mit https://deepl.com)

Hallo do-it,
was für ein Zufall… Ich habe mich ebenfalls zur Zeit gerade mit dem Thema beschäftigt. Allerdings bin ich noch ziemlich am Anfang meiner Recherchen.
Ich möchte ebenfalls “einfach” nur eine nicht verschlüsselte Datenbank in DT3 in eine verschlüsselte Datenbank überführen. Da habe ich so erstmal nicht wirklich eine Lösungsmöglichkeit auf die Schnelle gefunden.
Ich war auch schon drauf und dran eine neue verschlüsselte DB zu erstellen und dann die Inhalte der einen DB in die verschlüsselte DB rüber zu kopieren.
Jetzt habe ich aber - im Gegensatz zu Dir - nur ganz vereinzelt Replikanten. Gut zu wissen, dass es damit Probleme geben kann. Somit kann ich mir vorher eine Liste machen und die dann kontrollieren.

habe ich auf eine bei DT2 empfohlene Vorgehensweise zurückgegriffen: Per MacOS-System eine ganz normale verschlüsselte Sparsedatei erstellt und in diese die unverschlüsselte Datenbank kopiert.

Den Absatz habe ich nicht wirklich verstanden. Warum kopierst Du die Sparsedatei in die unverschlüsselte Datenbank?

Gruß vom Rolf

Der Kopiervorgang in verschlüsselte Datenbanken ist deutlich langsamer, kann also bei größeren Datenbanken/Dateien durchaus eine Weile dauern. Wählen Sie doch bitte einmal Hilfe > Fehler melden bei gedrückter Alt-Taste und schicken die Email an cgrunenberg - at - devon-technologies.com - Danke!

Die Konvertierung einer bisherigen Datenbank in eine verschlüsselte Datenbank ist folgendermaßen möglich:

  1. Erzeugen Sie mit dem Disk Utility ein ausreichend großes, verschlüsseltes Sparse Image im HFS+ - Format (APFS ist nicht kompatibel zu älteren macOS-Versionen und nicht so zuverlässig unserer Erfahrung nach)

  2. Kopieren oder verschieben Sie die bisherige dtBase2-Datenbank in das Sparse Image

  3. Nachdem Sie das Sparse Image deaktiviert haben, ändern Sie die Endung zu .dtSparse

Anschließend können Sie diese verschlüsselte Datenbank mit DEVONthink einfach per Doppelklick im Finder öffnen.

1 Like

Es wäre schön, in der Bedienungsanleitung würde darauf hingewiesen. Das hätte mir einige Stunden vergebliche Mühe erspart. Ich arbeite intensiv mit Replikanten, nicht zuletzt, um die Datenbank möglichst schlank halten zu können. So bleibt mir also nur, DT-Datenbanken zu verschlüsseln, indem ich sie in ein verschlüsseltes Disk-Image (sparsebundle) kopiere. Bei DT2 war das die einzige Möglichkeit, Datenbanken zu verschlüsseln. Für Nutzer wie mich offenbar auch bei DT3.

Edit: cgrunenberg hat inzwischen DIE Lösung für Replikanten-Fans vorgeschlagen. Siehe vorangegangenen Post.

Hallo Haubentaucher, ich habe mich etwas undeutlich ausgedrückt, sorry. Gemeint ist: Ich erstelle ein verschlüsseltes Sparsebundle (mitwachsende Datei) mit dem Festplattenutility von MacOS und kopiere in sie die unverschlüsselte DT-Datenbank.

Danke, cgrunenberg, das ist interessant! Ich werde die Umbenennung von sparsebundle in dtSparse heute Abend ausprobieren. Das wäre für mich eine sehr gute Lösung!

Hallo cgrunenberg, das ist ein ganz heisser Tipp für Freunde der Replikanten :grinning: Ich habe es soeben ausprobiert, und es funktioniert wunderbar. Nochmals Danke für den Hinweis! (Wäre es nicht gut, der Vorschlag fände den Weg in die Devonthin-Hilfe? (Oder ist er bereits dort und von mir übersehen worden?)

1 Like

Danke für den Vorschlag, ich leite dies weiter.

Ich habe ein anderen Ansatz für eine verschlüsselte DT-Datenbank @do-it & @cgrunenberg.

Ich nutze zur Verschlüsselung meiner lokalen Daten, wie auch in der Cloud, die Software Boxcryptor.
Der Vorteil ist hier, das ich auf keine wachsendes Volumen achten muß. Auch wird der Name der Datenbank verschlüsselt.
Eine Synchronisation der verschlüsselten Datenbank (auch ohne aktivierter Boxcryptor App) erfolgt ebenfalls verschlüsselt im heimischen Netzwerk mit der App ChronoSync.

Ich habe mir mit der Software Keyboard Maestro ein Makro erstellt, dass mir das Entsperren der verschlüsselten Datenbank erleichtert und zusätzlich (bei deaktivierter 1Password App) mit dem Masterpasswort der 1Password App noch eine zusätzliche Sicherheit bietet.

Das Ganze funktioniert dann so:

  • Ich rufe (Tastatur) mir die verschlüsselte Datenbank (Enter) über die App Launchbar 6 auf.
  • Das Keyboard Maestro Makro wird ausgelöst und es erfolgt ein Autofill Login für 1Password. Sollte
    1Password gesperrt sein, dann pausiert das Makro, bis ich das Masterpasswort eingegeben habe.
  • Das Boxcryptor Volume wird aktiviert und die DT-Datenbank im Hintergrund entsperrt und in DT
    geöffnet.

Zur Sicherheit wird mir das Entsperren und Öffnen der verschlüsselten DT-Datenbank über eine Pushover Benachrichtigung auf macOS und allen iOS Devices angezeigt… man weiß ja nie :wink:

Hört sich jetzt umständlich an… in dem Video ist jedoch zu sehen, wie schnell das Ganze ausgeführt wird.

Damit entfällt auch der Popup Dialog bei jedem Start von DT, wenn man dann doch das integrierte Verschlüsseln einer Datenbank nutzt.

Hinweis: Die Speicherung einer DEVONthink Datenbank in Boxcryptor wird nicht unterstützt und stellt einen potentiellen Datenverlust dar, wenn dieser Ordner mit einem Cloud Service synchronisiert wird.

Ich würde hier sehr vorsichtig sein.

1 Like

Vielen Dank @BLUEFROG für Deinen Hinweis :+1:

Die im Video gezeigte verschlüsselte Datenbank liegt nur lokal auf dem Rechner und wird mit ChronoSync auf meinen anderen Rechner synchronisiert.
Ich habe bis jetzt keine Datenverluste bemerkt, werde aber darauf achten.

Die Dateien in der verschlüsselten Datenbank sind noch anderweitig (extern) gesichert. Wenn also etwas nicht synchronisiert wird oder verloren geht, bin ich abgesichert.

Gern geschehen! :slight_smile:

1 Like

Hallo @appleianer, deine Vorgehensweise ist ausgeklügelt und funktioniert offenbar auch ohne Probleme. Ich würde den Hinweis von @bluefrog aber trotzdem ernst nehmen. Ich habe meine Dateien auch lange Zeit mit Boxcryptor gesichert und feststellen müssen, dass es beim Synchronisieren von komplexen und umfangreichen Dateien (in meinem Fall Scrivener-Dateien) zu Datenverlusten kommen kann. Damals entstanden die Probleme vor allem bei Dateien mit langen, Sonderzeichen enthaltenden Namen, wie sie beim Speichern von Internetseiten entstehen können. Gut, das war vor zwei, drei Jahren, seither haben die Boxcryptor-Leute kräftig an ihrer grossartigen App gefeilt. Aber ich würde auch heute noch die Finger davon lassen.

Es ist mir nicht ganz klar, wo der Sicherheitsgewinn bei deinem Vorgehen liegt. Devonthink verschlüsselt auf bestmögliche Art, und beim Synchronisieren via einen sigstore in der Cloud werden die Dateien ebenfalls bestmöglich verschlüsselt. Wenn du verhindern willst, dass jemand Unbefugter die DT-Datenbank auf deinem Computer entschlüsseln und öffnen kann, genügt es ja, das Passwort NICHT in der Schlüsselbundverwaltung zu sichern.

Noch etwas. Verstehe ich es richtig: Du lässt Keyboard Maestro das Passwort für 1Password eingeben? Will heissen, das Passwort ist im Makro von Keyboard Maestro gespeichert? Hast du dir da nicht ein Sicherheitsleck geschaffen?

Bin gespannt auf deine Antwort.

Hallo @do-it, auch Dir vielen Dank für den Hinweis zur Verschlüsselung mit Boxcryptor.

Ich nutze neben Boxcryptor auch SimpleumSafe und Cryptomator für die Verschlüsselung meiner privaten Daten auf meinen Mac`s.
Bis jetzt hatte ich mit allen drei Programmen keinerlei Probleme. Werde das mit Boxcryptor allerdings jetzt sehr genau beobachten.

Ich verfahre mit der App Receipts (Datenbank) genauso wie mit meinem DEVONthink-Beispiel und auch dort hatte ich bisher keinerlei Probleme.

Du hast recht mit der internen Verschlüsselung von DEVONthink. Ich könnte mir dort den selben Workflow (entsperren), wie mit meinem Boxcryptor-Beispiel, erstellen.
Wenn ich jedoch die verschlüsselte Datenbank über den DT-Sync (macOS) synchronisiere, könnte theoretisch jemand über mein iPhone den deaktivierten Sync dieser verschlüsselten Datenbank aktivieren und so auf diese zugreifen.

Leider ist die verschlüsselte Datenbank in DTTGO nicht nochmal durch das gesonderte Verschlüsselungspasswort geschützt. Daher meine Entscheidung, die Verschlüsselung mit Boxcryptor durchzuführen.

Mein in Keyboard Maestro erstelltes Autofill Login für 1Password speichert selbst keine Passwörter. Diese werden auch nicht im macOS Schlüsselbund hinterlegt

In der Regel kopiert man das Passwort mit einem Shortcut oder über ein Mausklick in die Zwischenablage:

Damit man dieses (ohne Hektik) aus der Zwischenablage einfügen kann, sollte man das Löschen der Zwischenablage in den Einstellungen von 1Password nicht zu kurz ansetzen:

2020-01-11_16-53-15

Auch inspriet durch die iOS Autofill Login Aktionen von 1Password, habe ich mir überlegt, wie ich dass auch mit Apps auf dem Mac gestalten kann :thinking:

Also habe ich nicht’s anderes gemacht, wie die einzelnen Schritte (Cppy & Paste, Zwischenablage löschen) in ein AppleScript zu schreiben.

Hier das Script für das Entsperren mit meinem Benutzerkennwort in den Systemeinstellungen:

tell application "System Events" to tell process "1Password mini"
		keystroke "c" using {command down, shift down}
		delay 0.2
		tell application id "com.apple.SecurityAgent" to activate
		delay 0.2
		tell application "System Events"
			keystroke "v" using command down
			delay 0.5
			keystroke return
			delay 1
			tell application "Finder"
				set the clipboard to " "
			end tell
		end tell
	end tell

Der Vorteil ist hierbei, dass die Zwischenablage innerhalb einer Sekunde gelöscht wird

Auch war mir wichtig, dass beim Suchen und Öffnen des Passworteintrages in 1Password keiner auf vertrauliche Daten schauen kann, also ein Autofill Login in einem Bruchteil einer Sekunde.
Vergleichbar also wie unter iOS :wink:

In diesem Video mal ein Beispiel, welches mir beim Upgrade auf macOS Catalina sehr viel Zeit beim Erteilen der Sicherheitsberechtigungen eingespart hat:

Ich bekomme für jedes Autofill Login über das Keyboard Maestro Makro eine Pushover Benachrichtigung.
Sollte ich mal nicht derjenige vorm Mac sein, dann kann ich über einen Siri Shortcut einen FaceTime Snapshot am Mac auslösen und mir diesen wiederum als Pushover Benachrichtigung zuschicken.

Ich könnte dann mit einem weiteren Siri Shortcut von der Ferne aus meinen Mac und meine Tastatur sperren.

Hier mal ein Screenshot von dem gesamten Keyboard Maestro Makro welches Du jetzt im Video gesehen hast:

Wow! Vielen Dank, @appleianer, für deine ausführliche Antwort. Ich werde mir deine Ausführungen und Videos Morgen in aller Ruhe anschauen, habe aber schon jetzt den Verdacht, dass ich den einen oder anderen Kniff von dir klauen werde. :blush: Solltest du dich entschliessen, Boxcryptor aus deinem Workflow zu nehmen, so würde mich (und sicher noch andere Forumsteilnehmer) interessieren, wie deine neue Lösung aussieht.

Dass die Datenbank-Dateien in DTTG nicht extra verschlüsselt werden, sondern die iOS-eigene, nach dem Schliessen des iPhone zum Zug kommende Verschlüsselung verwendet wird, kann bei besonders schützenswerten Dateien wichtig werden (dazu zähle ich meine nicht). Aus dieser Sicht kann ich nachvollziehen, weshalb du ein Verschlüsselungsprogramm wie Boxcryptor dazwischenschaltest. Es müsste bei DT-Synchronisation einfach mit absoluter Zuverlässig fehlerfrei arbeiten …

Auf ein schönes Wochenende!

1 Like

Dein Wunsch ist mir Befehl @do-it :wink:

Ich gehe davon aus, dass Du auch Keyboard Maestro nutzt ?!
Ich kann Dir gerne das 1Password Autofill Login zum Entsperren einer verschlüsselten DT-Datenbank umschreiben.

Dir auch noch ein schönes Wochenende.

Danke, @appleianer, ich komme auf dein Angebot gerne später zurück. Ich weiss ja jetzt, wo ich dich finde. :slightly_smiling_face:

1 Like

Hier @do-it die Variante mit der verschlüsselten DT-Datenbank und meinem Keyboard Maestro - 1Password Autofill Login:

Die Keyboard Maestro Palette öffne ich über die Tatstur mit dem Shortcut ⌥ + Ä und starte das Entsperren mit dem Anfangsbuchstaben der Datenbank.

Bei dem ersten Entsperren arbeite ich mit einer Pushover Benachrichtigung und bei der 2-ten mit der iOS App Pushcut.
Der Vorteil bei dieser ist, dass ich in der Benachrichtigung mit einer Auswahl von mehreren Shortcuts arbeiten kann.
Der Nachteil ist, dass ich in der Benachrichtigung (noch) kein App Icon integrieren kann. soll aber laut Entwickler noch kommen.

@appleianer Danke vielmals für deine Informationen.

1 Like