Privacy- und Sicherheitsaspekte
Dissertation "Privacy- und Sicherheitsaspekte in ubiquitären Umgebungen" als Buch und als PDF
Social media
Festplattenverschlüsselung - wann macht das Sinn?
Es gibt eine Reihe Argumente, wann sich das Verschlüsseln von Partitionen lohnt. Aus aktuellem Anlaß (das Kopieren von Laptopdaten ohne Verdachtsmoment bei der Paßkontrolle) versuche ich im Folgenden, einige Argumente zu sammeln.
Effekte der Verschlüsselung
Verschlüsselung bietet zwei Vorteile: Zum einen ist offensichtlich, daß die Daten nur noch mit Hilfe des Schlüssels lesbar sind. Zum anderen benutzen nahezu alle Verfahren zur Partitionsverschlüsselung Integritäts-Checks; deshalb ist ein unbemerktes Verändern der Daten ohne Kenntnis des Schlüssels nahezu unmöglich.
Auf der anderen Seite bedeutet die Verschlüsselung zusätzlichen Aufwand an Rechenzeit - die Verschlüsselung senkt die Performance bzw. erhöht bei Laptops den Stromverbrauch. Der Einsatz von Verschlüsselung bedeutet das Einziehen einer weiteren Softwareschicht zwischen Dateisystem und Plattenzugriff - Software kann fehler beinhalten, und ein Fehler an dieser Stelle ist wohl als besonders kritisch zu bewerten.
Bei welchen Daten lohnt sich Verschlüsselung?
Der offensichtlichste Einsatzzweck ist die Verschlüsselung einer Datenpartition. Sensible Daten wie Firmengeheimnisse werden so geschützt. Aber auch auf den ersten Blick weniger sensible Daten können für bestimmte Institutionen sehr interessant sein: Beispielsweise erlaubt der Mailfolder und das Adreßbuch einen tiefen Einblick in Gewohnheiten und soziale Strukturen des Besitzers.
Wird auf einem System mit sensiblen Daten gearbeitet, sollte auch die Swap-Partition verschlüsselt werden; ansonsten kann es passieren, daß sensible Daten bei Speicherknappheit aus dem RAM verdrängt werden und im Klartext auf der Swap-Partition landen.
Die letzte Kategorie ist die Systempartition (incl. Konfigurationsverzeichnisse). Hier liegen zwar keine individuellen Benutzerdaten, an sensiblen Informationen kann aber hier z.B. Schlüsselmaterial für VPN-Tunnel gespeichert sein. Interessant ist hier die Integritätseigenschaft der Verschlüsselung: Es ist auf diese Weise nicht möglich, eine Hintertür in das System einzuschleusen, die z.B. Paßwörter, etc. loggt.
Die Verschlüsselung der Systempartition erfordert allerdings zusätzlichen Aufwand, um den Bootvorgang zu ermöglichen: Zum Booten muß mindestens der Bootloader und der Kernel mit den Dateisystemtreibern (incl. Verschlüsselung) unverschlüsselt vorhanden sein. Um sicherzustellen, daß hier keine Veränderung vorgenommen werden kann, müssen diese Teile von einem Read-Only-Medium (z.B. Boot-CD) oder einem USB-Stick stammen.
Verschlüsselung bei Laptops
Wie der oben erwähnte Bericht deutlich macht, ist zumindest die Verschlüsselung der Datenpartition auch bei Privatpersonen dringend anzuraten. Geschäftsleute, die sich über Industriespionage Gedanken machen müssen, sollten den Aufwand der kompletten Verschlüsselung in Betracht ziehen - auch wenn dies einige Unbequemlichkeiten bedeutet (Booten vom USB-Stick, kein Suspend-to-Disk - jedenfalls meistens, siehe Kommentare unten).
Verschlüsselung bei Servern/Workstations
Das Verschlüsseln von Daten auf Servern oder Workstations kann durchaus Sinn machen! Meist reicht hier die Verschlüsselung der Datenpartition aus, jedoch sollte dies fallabhängig entschieden werden. Die folgenden beiden Szenarien zeigen, wann Verschlüsselung Vorteile bietet:
Festplatten-Garantiefall: Kommt es bei einer defekten Festplatte zu einem Garantieaustausch, muß üblicherweise das defekte Gerät zum Hersteller gesandt werden. In vielen Fällen steckt der Defekt jedoch nur in der Plattenlogik, nicht aber an der sensiblen Mechanik (Köpfe, Scheiben). In einem solchen Fall ist die Platte nach dem Austausch der Controller-Platine vollständig lesbar!
Selbst wenn der Austausch aufgrund einiger defekter Sektoren erfolgte und man die verbleibenden Daten per Software löschen konnte, bleibt das Restrisiko, daß diese Daten in einem entsprechenden Recovery-Labor (wie z.B. Kroll-Ontrack o.ä.) wiederhergestellt werden. Letzteres ist zwar teuer, aber wenn die Daten wertvoll genug sind...
Das "schwache Glied" muß hier nicht notwendigerweise beim Plattenhersteller oder Händler liegen: Platten, die einfach zu reparieren sind (z.B. Austausch des Controllers), werden (angeblich nach einem vollständigen Formatieren) von den Herstellern mit einem "refurbished"-Aufkleber versehen und für den Garantieaustausch verwendet: Die eigene defekte Platte wandert so in die Hände eines anderen Kunden mit Garantieaustausch.
Gebrauchtverkauf von Geräten: Auch hier gilt das Argument des Recovery-Labors; so könnten beispielsweise Konkurrenten einer Firma gebrauchte Hardware kaufen und anschließend versuchen, die Daten zu restaurieren.
Formatieren einer Platte überschreibt meist nur die Verzeichnisstruktur, und selbst wenn eine Platte komplett überschrieben wurde, ist es Speziallabors häufig möglich, Teile der Daten zu rekonstruieren.
Mißtrauen gegenüber einem Server Hoster: Es wurde ein Root-Server angemietet, jedoch besteht die Sorge, daß ein neugieriger Mitarbeiter des Hosters einen Blick auf die Festplatte wirft. Da man keinen direkten Zugriff auf die Hardware hat, ist hier keine vollständige Sicherheit möglich (auch eine serielle Konsole zum Eingeben eines Paßworts für das Root-Filesystem ist durch den Hoster abhörbar); jedoch sorgt eine verschlüsselte Datenpartition für eine erhebliche erste Hürde. Obendrein gelten dieselben Argumente wie beim Festplatten-Garantiefall.
Geeignete Software
Unter linuxoiden Systemen bietet die Kombination von dm-crypt und LUKS eine recht komfortable Möglichkeit, Partitionen zu verschlüsseln. Anleitungen für die verschiedensten Distributionen findet man problemlos im Netz (die Anleitung bei Gentoo hat mir besonders gut gefallen). Sowohl unter Windows als auch Linux funktioniert die Open-Source-Software Truecrypt. Die (ebenfalls freie) Software FreeOTFE habe ich selber noch nicht getestet; sie verspricht, unter Windows Zugriff auf dm-crypt-verschlüsselte Partitionen zu ermöglichen, und dies sogar ohne vorherige Installation der Software - ideal für das "mobile Büro" auf einem USB-Stick.
Fazit
Der Performanceverlust durch Verschlüsselung ist in Anbetracht der Risiken (und der Leistungsstärke aktueller CPUs) sicher zu verschmerzen. Insbesondere im Server- und Workstation-Bereich wird die Thematik allzu häufig vernachlässigt; die Schlagzeilen, daß von gebrauchten Geräten sensible Daten von Ämtern rekonstruiert wurden, dürften allenfalls die Spitze des Eisbergs sein.
RE: Festplattenverschlüsselung - wann macht das Sinn?
Hallo,
vielleicht habe ich den Artikel zu schnell überflogen und er ist ja auch schon etwas älter, ABER was soll die Geschichte mit "Festplatten-Garantiefall:"
und der Möglichkeit nach dem Austausch des Controllers die Platte wieder lesbar zu haben? Wer nutzt denn das Verschlüsselungsfeature von HDDs,
sofern man denn so eine Platte überhaupt haben sollte?
Wer Verschlüsselung nutzt, setzt ja wohl sinnvollerweise auf Software für WholeDisk- oder zumindest Container-Verschlüsselung mit PGP, Truecrypt,
BestCrypt und wie sie alle heißen.
Wenn es nur für EMails sein soll, ist ja mittlerweile auch alles bekannt.
Alles andere fände ich ziemlich unsinnig und fällt für mich in die Aussage "Ich habe ein Passwort für meinen Account, meine Daten sind sicher.". ;)
_
Ich wünsche Euch (und natürlich auch unserer Bundesregierung) noch viel Spaß mit Euren verschl=%D§v_W"+ Daten!
RE: Festplattenverschlüsselung - wann macht das Sinn?
Ich meinte auch nicht ein Verschlüsselungs-Feature des Plattencontrollers, sondern die von Dir erwähnte Whole-Disk-Encryption.
Es geht um ein Problem, das ich schon mal live miterlebt habe: Platte in einem stationären Server, physikalischer Zugriff war abgesichert, niemand dachte daran, daß es nötig sein könnte, die Platten zu verschlüsseln... bis eine der Platten sich verabschiedete. Innerhalb der Garantiezeit und dank RAID alles kein Drama - aber nun muß man eine Platte in fremde Hände geben; wegen der Art des Ausfalls gab es keine Möglichkeit mehr, die Daten irgendwie zu löschen. Wenn aber nur die Controller-Logik defekt ist, wäre es aber möglich, auf die Daten zuzugreifen.
Um einem solchen Dilemma aus dem Weg zu gehen, macht es u.U. auch bei stationären und gegen physikaisch gesicherten Servern Sinn, Whole-Disk-Encryption einzusetzen.
Festplattenverschlüsselung ist die einzig sichere Lösung
Um die Daten auf Notebooks oder anderen PC`s zu sichern ist lediglich die volle Verschlüsselung der Platte eine korrekte Lösung. Das Teilverschlüsseln bietet keinen ausreichenden Schutz da gerade Programme wie Office oft Temporäre Dateien auf dem Rechner hinterlassen obwohl die Datei selbst vielleicht im geschützten Container liegt.
Das Portal www.festplattenverschluesselung.de gibt hier auch noch mehr Informationen zum Thema
Suspend-to-Disk
Zumindest unter Linux schliessen sich Vollverschlüsselung und Suspend-to-Disk nicht aus.
Mit entsprechenden Init-Scripten auf dem Bootmedium kann auch mit einer verschlüsselten SWAP- und Systempartition Suspend-to-Disk betrieben werden.
suspend2
Richtig, ich sollte ergänzen "typischerweise kein Suspend-to-Disk" :)
Mit einer verschlüsselten Swap-Partition (in die das Speicherbild geschrieben wird) und einem für die Verschlüsselung vorbereiteten Startmedium sollte es klappen. Im Suspend2-Wiki ist ein entsprechendes Setup dokumentiert.
An dem Punkt muß ich aber zugeben, daß meine Experimentierfreude nicht weit genug reichte - ich habe es noch nicht selbst ausprobiert.
Debian macht es mit dem
Debian macht es mit dem Testing-Installer inzwischen out-of-the-box ohne das man was zusaetzliches konfigurieren muss.
Am besten dann auf das verschluesselte Device ein LVM legen und dort hinein swap und root, dann muss das Passwort beim Start nur einmal eingegeben werden. Selbst diese etwas wilde Verschachtelung unterstuetzt der Installer.