Cryptography Reference
In-Depth Information
Natürlich sollte auch eine Festplattenverschlüsselungslösung eine Recovery-
Funktion bieten - für den Fall, dass Alice ihr Passwort vergisst oder ihre Karte
verliert. Bei vielen Produkten ist außerdem das Betriebssystem-Login mit dem
Freischalten des Schlüssels zu einem Vorgang zusammengefasst, wobei dieselbe
Smartcard oder dasselbe Passwort genutzt wird. Wenn Mallory einen durch ein
solches Mini-Single-Sign-on gesicherten Rechner klaut, dann hat er doppeltes
Pech: Er kann sich nicht einloggen und findet auf der Festplatte nur verschlüsselte
Daten.
Das Betriebssystem wird normalerweise auf der Festplatte mitverschlüsselt.
Dies ist sinnvoll, da die Betriebssystemdateien für Mallory durchaus interessante
Inhalte haben können. Eine Festplattenverschlüsselungslösung muss daher ein
vom Betriebssystem unabhängiges Modul enthalten, das mithilfe von Alices Pass-
wort bzw. ihrer Smartcard den Schlüssel freischaltet und anschließend das
Betriebssystem entschlüsselt. Ohne Schlüssel oder Karte kann Mallory nicht ein-
mal das Betriebssystem starten (
Pre-Boot Authentication
).
Es gibt zwei Varianten der Festplattenverschlüsselung: Software- und Hard-
warelösungen. Die Frage, ob man Kryptografie lieber in Hardware oder Software
realisieren sollte (siehe Kapitel 23), spielt also auch in der Festplattenverschlüsse-
lungstechnik eine wichtige Rolle. Bei einer Software zur Festplattenverschlüsse-
lung ist die Verschlüsselungsfunktion ins Dateisystem integriert. Teilweise gehört
eine solche Lösung zum Funktionsumfang eines Betriebssystems (z.B. Microsoft
BitLocker [Schm12/2]), in anderen Fällen kann sie durch Produkte von Drittan-
bietern nachgerüstet werden. Der Softwareansatz hat folgende Vorteile:
■
Alice benötigt keine zusätzliche Hardware, wodurch Softwarefestplattenver-
schlüsselung der billigere Ansatz ist.
■
Gute Software zur Festplattenverschlüsselung bietet die Möglichkeit, zentrale
Richtlinien und Konfigurationseinstellungen vorzugeben. Dies ist vorteilhaft,
wenn beispielsweise ein Unternehmen seine Mitarbeiter mit Festplattenver-
schlüsselungssystemen ausstattet und eine einheitliche Nutzung durchsetzen
will. Diese zentralen Vorgaben funktionieren bei Softwarelösungen naturge-
mäß besser als bei Hardwarelösungen.
Bei Hardwarelösungen zur Festplattenverschlüsselung ist ein Verschlüsselungs-
modul in die Festplatte integriert. Man spricht in diesem Zusammenhang von
einem
Self-Encrypting Drive
(
SED
). Auf dem Markt werden zahlreiche SEDs mit
unterschiedlichen Features angeboten. Einige sind für den Einbau in einen PC
gedacht (intern), andere werden über die USB-Schnittstelle angesprochen
(extern). Externe SEDs verfügen teilweise über eine eingebaute Zehnertastatur
für die PIN-Eingabe, manche haben sogar einen Fingerabdruckleser für die Frei-
schaltung des Schlüssels integriert. Einbruchschutz, Einbruchevidenz (siehe
Abschnitt 17.3.2) sind weitere mögliche Merkmale, genauso wie das automa-
tische Löschen des Schlüssels bei physikalischer Beeinträchtigung der Platte. Der
Hardwareansatz hat folgende Vorteile:
