Festplattenverschlüsselung

Festplattenverschlüsselung

Festplattenverschlüsselung bezeichnet das Verschlüsseln einer gesamten Festplatte oder einzelner Partitionen, um den unbefugten Zugriff auf sensible Daten zu verhindern.

Inhaltsverzeichnis

Methoden

Eine Festplattenverschlüsselung kann für die gesamte Festplatte oder einzelne Partitionen durchgeführt werden. Jedoch müssen die zum Booten benötigten Daten unverschlüsselt auf der Festplatte vorhanden sein oder durch einen speziellen Bootmanager entschlüsselt werden. Zur Nutzung der Daten wird eine Autorisierung des Nutzers durchgeführt (Pre-Boot Authentication), die zumeist mittels eines Passworts stattfindet. Alternativ oder ergänzend ist auch die Hardware-unterstützte Authentisierung mittels Security-Token oder Chipkarten möglich.

Die Verschlüsselung kann auch durch die Hardware durchgeführt oder unterstützt werden (etwa durch TPM oder Festplatten mit Spezial-Firmware). Metaphorisch gesprochen ist die Verschlüsselung wie die Tür eines Hauses. Die Tür kann beispielsweise aus Holz oder Stahl sein. Übertragen auf die mobilen Festplatten würde das bedeuten, dass zum Beispiel eine einfache XOR-Verknüpfung oder eine Verschlüsselung nach AES (Advanced Encryption Standard) mit unterschiedlichen Schlüssellängen und Blockmodi verwendet werden kann. Die Wahl einer passenden Verschlüsselung entscheidet über die Grundlage zum Erreichen eines höchsten Maßes an Datensicherheit. Für höchste Anforderungen an die Datensicherheit empfiehlt das Bundesamt für Sicherheit in der Informationstechnik, die AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit im CBC-Modus (Cipher Block Chaining Mode) zu verwenden.

Angriffsmöglichkeiten

Angreifer, die eine verschlüsselte Festplatte ausspähen wollen, versuchen meist, auf verschiedenste Art und Weise das Passwort zu erlangen.

Dazu können folgende Methoden eingesetzt werden:

Eine weitere Schwachstelle von Festplattenverschlüsselung ist, dass sie keinen Schutz bietet, wenn der Rechner gebootet und mit einem Netzwerk verbunden ist. Dann kann im Prinzip lokal am Rechner oder über das Netzwerk auf den Festplatteninhalt zugegriffen werden. Eine Festplattenverschlüsselung schützt somit nur bei Verlust oder Diebstahl, nicht jedoch im laufenden Betrieb. Der Einsatz einer Festplattenverschlüsselung ist daher in solchen Fällen (z. B. zum Schutz eines Fileservers) nur bedingt sinnvoll. Auch ist eine Festplattenverschlüsselung nicht geeignet, arbeitsgruppenweiten Zugriff auf verschlüsselte Daten zu gewährleisten. Hier empfehlen sich Alternativen wie Datei- und Ordnerverschlüsselungen.

Software

Programme zur Festplattenverschlüsselung gibt es für fast jedes Betriebssystem. Bei einigen sind diese bereits integriert. So besitzt Windows seit Windows 2000 das verschlüsselte Dateisystem EFS für NTFS-Laufwerke, welches für die Verschlüsselung von Verzeichnissen und Dateien eingesetzt werden kann. Es ist in Microsoft Windows 2000, 2003, XP (Professional), Windows Vista (Business, Ultimate) und Windows 7 integriert. Seit Vista existiert zusätzlich das Programm BitLocker von Microsoft, welches ausschließlich in bestimmten Editionen von Windows Vista und Windows 7 sowie Windows Server 2008 integriert ist. Während EFS auf Ebene einzelner Benutzer verschlüsselt und nicht dafür geeignet ist, das Betriebssystem selber zu verschlüsseln, ist BitLocker unabhängig vom jeweiligen Benutzer auch in der Lage, das Betriebssystem selber zu verschlüsseln, hierbei wird entweder ein Schlüssel in einem TPM-Chip oder ein externer Schlüssel in Form eines USB-Speichers verwendet.

Unter Linux sind Loop-AES und dm-crypt weit verbreitet, Mac OS X bringt FileVault mit.

Für alle anderen Betriebssysteme gibt es ebenfalls eine Vielzahl von Programmen zur Komplettverschlüsselung.

Auch gibt es mehrere, teilweise auch interoperable Lösungen für ein transparentes Verschlüsseln von virtuellen Laufwerken auf Basis von Containerdateien für eine Verschlüsselung von Nichtsystempartitionen oder für eine dateiweise transparente Verschlüsselung innerhalb eines Betriebssystems.

Neben diesen Verschlüsselungsprogrammen existieren auch einige, die eine betriebssystemübergreifende Nutzung ermöglichen und Freie Software sind. So ermöglichen es CrossCrypt und FreeOTFE, verschlüsselte Linuxpartitionen unter Windows zu nutzen. TrueCrypt nutzt eine eigene Methode, die unter Linux, Windows und Mac OS X unterstützt wird.

Verschiedene Zusatzsoftware bietet über die Einbindung von Gerätetreibern die Möglichkeit Daten zu verschlüsseln. Für den Anwender ist der Einsatz der Verschlüsselung transparent, wenn ein Single Sign-on verwendet wird.

Weitere proprietäre Programme sind

  • PGP Whole Disk Encryption von PGP Corporation bietet neben der Verschlüsselung beliebiger Partitionen unter Windows auch eine Verschlüsselung von Festplatten unter Mac OS X an, dort seit der Version 9.9 auch einschließlich der Systemfestplatte.[4] Zwischen beiden Betriebssystemen können verschlüsselte Wechseldatenträger ausgetauscht werden.
  • SafeGuard Easy und SafeGuard Enterprise von Utimaco Safeware AG ist eine proprietäre Software zur partitionsweisen Verschlüsselung von Festplatten, Disketten und Wechseldatenträgern.
  • SafeBoot Device Encryption von SafeBoot bietet ebenfalls eine proprietäre Festplattenverschlüsselung unter Windows, richtet sich aber gegenüber SafeGuard Easy noch deutlich stärker an zentral administrierte Netzwerke.
  • BestCrypt Volume Encryption von Jetico bietet eine zu SafeGuard Easy vergleichbare Funktionsweise allerdings bei geringerem Funktionsumfang.
  • Pointsec for PC bzw. Pointsec for Linux von Checkpoint ermöglicht eine Komplettverschlüsselung der Festplatte für Windows und Linux.
  • DriveCrypt Plus Pack von SecurStar kann ebenfalls unter Windows Festplatten partitionsweise verschlüsseln.
  • Free CompuSec von CE-Infosys verschlüsselt stets die gesamte Festplatte, ist kostenlos verfügbar und unterstützt neben Windows auch einige wenige Versionen von Suse (Linux) und Redhat (Linux) als Betriebssystem.
  • FinallySecure[5] von der Secude AG. Secude hat als erster Anbieter eine hybride Festplattenverschlüsselung der vierten Generation angeboten, die sowohl Hardware- wie Software-basiert arbeitet. Dabei wird starke Authentifizierung (z. B. mit Smartcards) und Pre-Boot-Authentifizierung unterstützt.
  • DriveLock[6] von CenterTools. DriveLock bietet ein zentrales Management und ist in das Microsoft Active Directory integriert und deshalb rasch zu implementieren. Auch eine starke Authentifizierung (RSA Token, SmartCard) und Pre-Boot Authentifizierung mit Single Sign-on ist dabei.

Nachteile

Eine verschlüsselte Festplatte oder Partition erfordert bei jedem Lesevorgang eine Entschlüsselung. Bei kleinen, oft benutzten Dateien ist das kein großes Problem, da diese meist im Arbeitsspeicher vorgehalten werden. Arbeitet der Benutzer jedoch mit sehr großen Dateien, so kann der Einsatz einer Festplattenverschlüsselung zu Performanceeinbußen von bis zu 50 % führen. [7]

Hardware

Die Verschlüsselung nach den verschiedenen Verschlüsselungsverfahren (XOR, AES & Co) können auch durch Verschlüsselungsmodule vorgenommen werden. Diese kommen in externen Speichermedien (USB-Sticks, USB-Festplatten) zum Einsatz. Die Hardware muss hier entsprechend mit einem Verschlüsselungsmodul ausgestattet sein. Mit einem aktuellem Hochleistungsmodul lassen sich die Daten (z.B. 256-Bit AES) in nahezu Echtzeit verschlüsseln. Performanceeinschränkungen sind bei Top-Modellen kaum zu spüren. Durch die hardwarebasierte Steuerung der Verschlüsselung erhöht eine Hardwareverschlüsselung entsprechend die Sicherheit.

Weblinks

Quellen

  1. Passwortklau durch gekühlten Speicher heise online, 22. Februar 2008
  2. Eine lange Liste falscher Annahmen bei Technology Review
  3. Bootkit hebelt Festplattenverschlüsselung aus, heise online, 30. Juli 2009
  4. PGP Whole Disk Encryption für Mac OS X mit Pre-Boot-Authentifizierung. Pressemitteilung des Herstellers PGP Corporation vom 9. Juni 2008
  5. FinallySecure
  6. CenterTools DriveLock
  7. Christiane Rütten: Lahmgesichert? - Performance-Einbußen durch Festplattenverschlüsselung. In: c't 25/08, S. 214-216

Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Free CompuSec — ist eine kostenlose Software zur transparenten Verschlüsselung von Festplatten und Wechseldatenträgern, die von der Firma CE Infosys mit Sitz in Singapur und Deutschland entwickelt wird. Sie ist für Windows XP, Windows Vista, Windows 7, Windows… …   Deutsch Wikipedia

  • Cryptsetup — dm crypt ist ein Kryptographie Modul des Device Mappers im Linux Kernel. Man kann mit dm crypt Daten mit verschiedenen Algorithmen ver und entschlüsseln, dies wird meist auf Partitionen oder andere Gerätedateien (engl. Devices) angewandt. Es wird …   Deutsch Wikipedia

  • Dm-crypt — ist ein Kryptographie Modul des Device Mappers im Linux Kernel. Man kann mit dm crypt Daten mit verschiedenen Algorithmen ver und entschlüsseln, dies wird meist auf Partitionen oder andere Gerätedateien (engl. Devices) angewandt. Es wird hier… …   Deutsch Wikipedia

  • Linux Unified Key Setup — dm crypt ist ein Kryptographie Modul des Device Mappers im Linux Kernel. Man kann mit dm crypt Daten mit verschiedenen Algorithmen ver und entschlüsseln, dies wird meist auf Partitionen oder andere Gerätedateien (engl. Devices) angewandt. Es wird …   Deutsch Wikipedia

  • Twofish — Struktur von Twofish Entwickler Bruce Schneier, Niels Ferguson, John Kelsey, Doug Whiting, David Wagner und Chris Hall Veröffentlicht 1998 …   Deutsch Wikipedia

  • Watermark attack — Der Wasserzeichenangriff (englisch watermark attack) ist eine Methode der Kryptoanalyse. Anders als die meisten Verfahren der Kryptoanalyse zielt das Verfahren nicht auf die Dechiffrierung des gesamten Geheimtextes ab, vielmehr geht es lediglich… …   Deutsch Wikipedia

  • dm-crypt — ist ein Kryptographie Modul des Device Mappers im Linux Kernel. Man kann mit dm crypt Daten mit verschiedenen Algorithmen ver und entschlüsseln, dies kann auf beliebige Gerätedateien (englisch: Devices) angewandt werden, in den meisten Fällen… …   Deutsch Wikipedia

  • CompuSec — FREE CompuSec ist eine kostenlose Software zur transparenten Verschlüsselung von Festplatten und Wechseldatenträgern. Sie wird von der Firma CE Infosys aus Singapur entwickelt und ist für Windows 2000, Windows XP, Windows Server 2003, Windows… …   Deutsch Wikipedia

  • Compusec — FREE CompuSec ist eine kostenlose Software zur transparenten Verschlüsselung von Festplatten und Wechseldatenträgern. Sie wird von der Firma CE Infosys aus Singapur entwickelt und ist für Windows 2000, Windows XP, Windows Server 2003, Windows… …   Deutsch Wikipedia

  • FREE CompuSec — ist eine kostenlose Software zur transparenten Verschlüsselung von Festplatten und Wechseldatenträgern. Sie wird von der Firma CE Infosys aus Singapur entwickelt und ist für Windows 2000, Windows XP, Windows Server 2003, Windows Vista sowie… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”