- Free CompuSec
-
FREE CompuSec ist eine kostenlose Software zur transparenten Verschlüsselung von Festplatten und Wechseldatenträgern, die von der Firma CE-Infosys mit Sitz in Singapur und Deutschland entwickelt wird. Sie ist für Windows XP, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008 jeweils als 32Bit & 64Bit Version verfügbar. Neben der Festplattenverschlüsselung sind weitere Kryptographieprogramme im Paket enthalten, etwa für VoIP oder IP Netzwerkverschlüsselung.
Funktionsweise
FREE CompuSec verschlüsselt Sektor für Sektor die gesamte Festplatte, inklusive des Betriebssystems. Damit sind, im Gegensatz zu datei- oder containerbasierten Verschlüsselungsprogrammen, auch alle Daten des jeweiligen Betriebssystems, wie z. B. die Windows-Registrierungsdatenbank, Auslagerungsdatei bzw. Swap-Partition, Daten der Benutzerkonten und der Programmcode des Betriebssystem und installierten Programme, sowohl gegen unberechtigtes Auslesen als auch gegen Manipulation geschützt, solange niemand am System angemeldet ist. Gegen Trojaner und andere Malware, die während des regulären Betriebes ausgeführt werden, existiert systembedingt kein Schutz.
Wegen der Verschlüsselung kann das Betriebssystem ohne weitere Maßnahmen nicht geladen werden. Um den Computer zu booten, wird mittels Master Boot Record das Ver- bzw. Entschlüsselungsmodul geladen, das dem Betriebssystem eine unverschlüsselte Sicht auf die Daten gibt. Dazu muss sich der Nutzer mit Benutzername und Passwort anmelden, damit das Programm auf den durch das Benutzerpasswort verschlüsselten Festplattenschlüssel zugreifen kann (Pre-Boot Authentication bzw. PBA). Bei Unkenntnis der Anmeldeparameter nützt Diebstahl oder Ausbau der Festplatten nichts, um an die Daten zu gelangen.
Eine Manipulation der Pre-Boot Authentifizierung ist bei verschlüsselter Festplatte nicht möglich. Der Verschlüsselungs-Key liegt zufällig in einem beliebigen Speicherbereich auf der Festplatte. Für Zugriff und Freigabe dieses verschlüsselten Schlüssels ist die Eingabe des dazugehörigen Anmeldenamens und Passwortes (Pre-Boot Authentifizierung) erforderlich. Erst dann ermöglicht FREE CompuSec mit Hilfe das Schlüssels die verschlüsselten Sektoren in Klartext zu lesen und das Betriebssystem zu starten. Die Pre-Boot Authentifizierung ist Teil der FREE CompuSec Lösung und wird als eigenständiger, unverschlüsselter und lesbarer MBR (Master Boot Record) im System hinterlegt. Eine Veränderung des FREE CompuSec MBR wird kryptographisch geprüft und bewirkt eine Fehlermeldung nach dem Einschalten des Computers. Mit verändertem FREE CompuSec MBR ist, auch bei richtigem Anmeldenamen und Passwort, der Start des Systems nicht möglich. Alle sicherheitsrelevanten Informationen werden bei Installation von FREE CompuSec in einer Sicherheitsdatei "securityinfo.dat" gespeichert. Diese ist auf einem externen Datenträger sicher zu verwahren. Ein Zugriff auf den geschützten und verschlüsselten Rechner ist nur mit Hilfe dieser Sicherheitsdatei möglich. Dazu ist es notwendig einen zweiten Rechner mit genau der gleichen FREE CompuSec Version und der Sicherheitsdatei des geschützten Systems zu installieren. Somit haben beide Computer die gleichen Schlüsselinformationen und durch die Anbindung der geschützten Festplatte direkt an den Festplattencontroller des Zweitsystems ist ein Zugriff auf die verschlüsselten Informationen möglich. Es gibt bei FREE CompuSec keine Backdoor und auch keine Möglichkeit der Manipulation in einem verschlüsselten System. Weder Veränderung des MBR, noch Trojaner noch spezielle Programme zur Aufzeichnung der Tastatureingabe (letztere zwei funktionieren übrigens nur wenn das Betriebssystem bereits gestartet ist) können die Sicherheitslösung aushebeln. Wenn die Sicherheitsdatei nicht extern gesichert wurde und auf dem verschlüsselten Rechner liegt, kann auch der Hersteller nicht mehr helfen.
Funktionalität
Kurzüberblick
- Pre-Boot Zugriffskontrolle - Festplattenverschlüsselung mit 256Bit AES Algorithmus und 32Bit & 64Bit Betriebssystemen - CD/DVD Verschlüsselung für sichere Veröffentlichung und Austausch von Daten mit CDCrypt - Verschlüsselung von Disketten und Wechselmedien wie ZIP Laufwerken, USB Wechsellaufwerken oder Speichersticks - Verschlüsselung von einzelnen Dateien oder Daten für den Versand via E-Mail oder FTP mit DataCrypt - Verschlüsselung von Verzeichnissen & Unterverzeichnissen auf Serverlaufwerken mit SafeLan - Single-Sign-On mit Windows - Identity Management für Passwortverschlüsselung, Datenbankabfragen und Unterstützung von BioClick für sichere Übermittlungen basierend auf Fingerabdruckerkennung - Lokale Administration - [ClosedTalk] für sichere VoIP Kommunikation - Unterstützung von Tablet PCs - [DriveCrypt] für Containerverschlüsselung
Funktionalitäten im Detail
Single Sign On
FREE CompuSec speichert das System-Anmeldepasswort zusammen mit der Nutzer-ID und dem Domain-Namen in verschlüsselter Form und meldet den Nutzer automatisch am Betriebssystem an. Diese Funktion bietet mehr Komfort für den Anwender, da der Nutzer sich nur noch eine Nutzer-ID und ein Passwort merken muss. FREE CompuSec bietet auch die Möglichkeit der Tastatur- oder Bildschirmschonersperre, zum Schutz der vertraulichen Daten beim kurzfristigen verlassen des PCs.
Festplattenverschlüsselung
Die Festplattenverschlüsselung von FREE CompuSec nutzt den AES Algorithmus und schließt das Betriebssystem ein. Mehrere Betriebssysteme auf einem Computer werden unterstützt. Die Initialverschlüsselung wird direkt nach dem Login des Benutzers gestartet oder nach dem Login unter dem Betriebssystem (Hintergrundverschlüsselung). Die Hintergrundverschlüsselung ermöglicht dem Benutzer den Verschlüsselungsprozess zu unterbrechen und den Computer jederzeit herunterzufahren oder den Hibernation Modus zu nutzen. Sehr wichtig für Nutzer von mobilen Systemen ist die Unterstützung des Hibernation Modus von Windows Betriebssystemen. In diesem Modus werden die Inhalte des Arbeitsspeichers (RAM) verschlüsselt auf die Festplatte geschrieben. Beim Neustart werden nach der Pre-Boot Authentifizierung des Benutzers die RAM-Inhalte wieder von der verschlüsselten Hibernation Datei geladen.
Wechselmedienverschlüsselung, CD-ROM & DVD Verschlüsselung
Disketten, CD/DVD, und Wechselmedien wie z.B. USB Speichermodule und externe USB Festplatten können mit FREE CompuSec verschlüsselt werden. Die CD/DVD Verschlüsselung nutzt die CDCrypt Funktion, die intern oder extern über USB oder IDE angebundene CD/DVD Brenner unterstützt.
Dateiverschlüsselung für sicheren Austausch
Einzelne Dateien können mit DataCrypt verschlüsselt und per E-Mail, FTP etc. versandt werden. Zusätzlich ist es möglich die Dateien auf sicherem Wege auszutauschen. Dazu wird ein Public-Key Verfahren mit der Schlüsselgenerierung über elliptische Kurven benutzt. Mit der "Sealing" Technologie werden alle Strukturen im Header der verschlüsselten Dateien versteckt. Sealing erlaubt den Schutz der verschlüsselten Dateien im Internet.
Verschlüsselte Dateien und Verzeichnisse auf Servern
Mit SafeLAN können Dateien auf Netzlaufwerken automatisch und transparent für den Benutzer verschlüsselt werden. Nur der Nutzer mit einem autorisierten Zugangsschlüssel, hat Zugriff auf diese Dateien. Diese Funktion wird verwendet um Benutzertrennung auf Unternehmensservern auf kryptografischem Wege zu realisieren. Der Server-Administrator kann die Inhalte der verschlüsselten Dateien nicht lesen. SafeLAN unterstützt die Dateisysteme FAT, NTFS und Netzwerk Speichersysteme.
Verschlüsselte Sprachkommunikation
[ClosedTalk] ist die Komponente für die verschlüsselte Sprachübertragung zwischen zwei FREE CompuSec Nutzern. [ClosedTalk] verwendet die Soundkarte des PC’s. Die Anwahl des Gesprächspartners erfolgt mit über die E-Mail Adresse. [ClosedTalk] nutzt gesicherte Vermittlungsrechner im Internet zur gesicherten Vermittlung der Gespräche.
Containerverschlüsselung
Die Containerverschlüsselung [DriveCrypt] ist der Weg zum Schutz von sensitiven Daten ohne die Verschlüsselung der gesamten Festplatte. Dazu legt [DriveCrypt] eine große Datei auf der Festplatte an und verschlüsselt diese mit dem AES Algorithmus und 256 Bit Schlüssellänge. Diese Datei kann als weiteres Laufwerk verbunden werden. Alle Daten, die in dieses "Laufwerk" geschrieben werden, werden automatisch verschlüsselt. Die Zugriffskontrolle erfolgt über die Abfrage des Pre-Boot Passworts.
Identity Management
Ein universelles Passwortmanagement unterstützt PC und Internet basierende Anwendungen. Die Identität des Anwenders wird bei der FREE CompuSec Anmeldung einmalig festgestellt und dann auf Wunsch automatisiert anderen Anwendungen mitgeteilt. Es werden zusätzlich zertifikatsbasierte Anmeldeprozesse an Microsoft Domain Controllern, Lotus Notes, Novell und anderen Netzwerken unterstützt.
Installation
FREE CompuSec kann nur standalone ohne zentrale Verwaltung installiert und verwendet werden. Dazu wird eine Sicherheitsdatei (securityinfo.dat) angelegt, die alle Informationen enthält. Diese Datei ist auf einem externen Datenträger zu sichern und vom Nutzer sicher zu verwahren.
Einschränkungen
Der Verschlüsselungsalgorithmus kann nicht frei gewählt werden. Innerhalb der aktuellen Version 5.3 wird stets AES 256 bit eingesetzt[1], ältere Versionen verwendeten AES 128 bit. Auch ist keine partitionsweise Verschlüsselung möglich, sondern es wird stets eine gesamte Festplatte verschlüsselt.[2] Das setzt voraus, dass alle auf der Festplatte installierten Betriebssysteme zwangsläufig von Free CompuSec unterstützt werden müssen, da ansonsten kein Zugriff auf nicht unterstützte Systeme mehr möglich ist.
Die Benutzung des Programms ist kostenlos, aber es ist keine freie Software. Eine Überprüfung des Quellcodes auf Programmfehler oder Backdoors kann also nicht von jedermann vorgenommen werden. Im Gegensatz zu einigen kommerziellen Programmen aus dem Bereich der Festplattenverschlüsselung ist Free CompuSec auch nicht durch eine externe Instanz geprüft worden, z. B. anhand der Common Criteria. Damit lassen sich keinerlei Aussagen zur Sicherheit treffen und man ist auf die Vertrauenswürdigkeit des Herstellers angewiesen.
Siehe auch
Weblinks
Quellen
- ↑ Free CompuSec. 2010, abgerufen am 3. Juli 2010.
- ↑ FREE CompuSec® FAQ. 2010, abgerufen am 3. Juli 2010.
Wikimedia Foundation.
