Datentresor

Inhaltsverzeichnis

Erlangt ein Angreifer physischen Zugriff auf ein Notebook oder einen Desktop-PC, so sind die üblichen Schutzmechanismen von Windows & Co. hinfällig. Eine Boot- oder Diagnose-CD-ROM hebelt Passwörter und Dateiberechtigungen aus. Sensible Firmendaten, private Dokumente, Kontodaten und andere geheime Informationen liegen schutzlos vor dem Eindringling. Verschlüsselung der Festplatte oder zumindest der wichtigen Dateien kann trotzdem das Schlimmste verhindern - wer den Schlüssel nicht kennt, hat keine Chance, in vernünftiger Zeit an die Daten zu gelangen.

Auf der Suche ...

Je nach gewünschter Sicherheit und Komfort bieten sich verschiedene Lösungen an: Sollen nur wenige Dateien sicher verpackt werden, reicht ein Tool zur Dateiverschlüsselung aus. Im Alltag ist die für jede Datei erneute Eingabe des Passworts aber hinderlich. Mehr Komfort bieten daher Lösungen, die ganze Verzeichnisse chiffrieren und dazu nur einmal nach dem Passwort fragen. Danach erscheint das Verzeichnis wie gewohnt im Dateisystem und steht bis zum nächsten Neustart zur Verfügung. Einen Schritt weiter geht EFS - das Bordwerkzeug von Windows XP Professional nutzt das Anmeldepasswort, um den Schlüssel freizuschalten. Der Artikel auf Seite 142 geht näher auf die Tücken von EFS ein. Anwendern von Windows XP Home steht EFS nicht zur Verfügung, das kostenlose Tool Truecrypt wetzt diese Scharte aber mehr als aus, mehr dazu ab Seite 148. Unter Linux reicht das Angebot an Krypto-Lösungen von der Absicherung der Heimatverzeichnisse bis hin zu komplett verschlüsselten Root-Verzeichnissen (siehe Seite 146).

Verschlüsselt man nicht die ganze Festplatte, sondern nur bestimmte Bereiche, wie „Eigene Dateien“ oder „/home“, muss man jedoch sorgfältig prüfen, wohin Anwendungsprogramme wie Word & Co. ihre temporären und Sicherungsdateien schreiben. Liegt die vorletzte Version des wichtigen Angebotes in einem ungeschützten Bereich, so mag dies einem Angreifer ausreichen. Auch die Auslagerungsdatei des Betriebssystems ist eine ernst zu nehmende Gefahrenquelle. Unter Umständen stehen hier Passwörter, Festplattenschlüssel oder chiffrierte Dokumente im Klartext. Dies ist beispielsweise bei älteren Mac-OS-Varianten der Fall. Näheres dazu beschreibt der Artikel auf Seite 144. Spätestens bei einem Suspend-to-Disk landet auch der Festplattenschlüssel im Hibernation-File. Für höchste Sicherheit kommen daher nur Tools der Oberliga in Frage, die ganze Partitionen oder sogar komplette Festplatten inklusive Betriebssystem verschlüsseln.

Eine Lücke bleibt aber selbst bei aktuellen Systemen mit Pre Boot Authentication (PBA). Denn ein Angreifer mit physischem Zugriff auf den Rechner könnte vor den Krypto-Bootmanager ein eigenes Programm stellen, das dann den Plattenschlüssel abfängt. Erst der Einsatz von spezieller, fest in den PC eingebauter Krypto-Hardware kann dieses Risiko beseitigen. Ein solches System hat beispielsweise IBM mit den Trusted Platform Modules (TPM) im Angebot - an der passenden Software mangelt es aber noch.

Die BIOSe vieler Notebooks und einiger weniger PCs können auch ohne Verschlüsselung die Daten sichern, indem sie ein ATA-Passwort für die Festplatte setzen. Ohne das Passwort verweigert die Festplatte ihren Dienst und die unverschlüsselten Daten sind somit nur sehr schwer erreichbar. Ein ausführlicher Artikel mit technischen Details zu ATA-Sicherheitsfunktionen folgt in c't 8/05.

... nach dem heiligen Gral

Für die Verschlüsselung der Nutzdaten verwenden nahezu alle Tools symmetrische Verschlüsselung, bei denen derselbe Schlüssel zur De- und Enkodierung dient. Die Experten haben eine ganze Reihe von Verfahren (siehe Seite 140) derzeit als sicher eingestuft. Das bedeutet, die Verfahren wurden vollständig veröffentlicht und haben bereits einer eingehenden Krypto-Analyse standgehalten. Es darf bei gut gewählten Schlüsseln keinen Angriff geben, der schneller zu einem Ergebnis kommt als ein systematisches Durchprobieren aller möglichen Schlüsselvariationen (Brute Force).

AES gilt als Stand der Technik für die symmetrische Verschlüsselung und ist frei von Lizenzen oder Patenten. Wer also ein anderes Verfahren einsetzt, sollte dafür gute Gründe vorweisen können. Ein guter Grund ist Performance: Blowfish beispielsweise gilt als ähnlich sicher, ist aber deutlich schneller.

Rohe Gewalt versus ...

Der Rijndael-Algorithmus, der AES zugrunde liegt, wurde aus einer Reihe von Vorschlägen nach mehr als dreijähriger öffentlicher Prüfung im Jahr 2000 ausgewählt. Rijndael besitzt keine bekannten und nutzbaren mathematischen Schwachstellen, ist also derzeit nur durch Brute-Force-Angriffe verwundbar. Der 256-Bit-Variante des AES-Verfahrens (1,1 · 10⁷⁷ verschiedene Schlüssel) sagt das NIST (National Institute of Standards and Technology) eine Lebensspanne von 20 bis 30 Jahren voraus. Das Vorgängerverfahren DES war über einen ähnlichen Zeitraum erfolgreich im Einsatz und wird nun durch AES ersetzt.

Bei Verfahren wie dem 56-Bit-DES, die relativ kurze Schlüssel verwenden, kann ein Brute-Force-Angriff schon nach kurzer Zeit zum Ziel führen. Im Jahr 1998 schaffte es die speziell zum DES-Knacken entwickelte Maschine Deep Crack (Kosten 220 000 US-Dollar), 90 Milliarden Schlüssel pro Sekunde auszuprobieren. Sie benötigte zum Auffinden eines passenden Schlüssels im Durchschnitt 111 Stunden. Rechnet man ihre Leistung anhand des mooreschen Gesetzes hoch, so dürfte eine DES-Verschlüsselung derzeit in weniger als fünf Stunden fallen. Andere Schätzungen gehen sogar von weniger als einer Stunde aus. Wächst jedoch die Länge des Schlüssels, steigt der Rechenaufwand bei einem Brute-Force-Angriff exponentiell. Selbst eine aktuelle Version von Deep Crack würde bei elf Terra-Versuchen (1,1 · 10¹³) pro Sekunde noch rund 10¹⁸ Jahre benötigen, um alle Varianten eines 128-Bit-Schlüssels zu prüfen. Zum Vergleich: das Universum ist gerade einmal 1,37 · 10¹⁰ Jahre alt. Schlüssellängen von 128 Bit und mehr gelten bei symmetrischen Verfahren derzeit als sicher - selbst vor Untersuchungen von Strafverfolgungsbehörden oder Geheimdiensten.

... Social Engineering

Übrigens kann einen niemand vor Gericht dazu zwingen, Passwörter und Schlüssel herauszugeben, wenn man selbst der Beschuldigte ist. Anders verhält es sich, wenn man nur Zeuge in einem Prozess ist. Dann hat man kein Aussageverweigerungsrecht und kann unter anderem mit Bußgeldern oder Beugehaft belegt werden, um die Herausgabe des Schlüssels zu erzwingen.

Der sicherste Krypto-Algorithmus bleibt wirkungslos, wenn der Angreifer das Passwort durch Ausprobieren vergleichsweise weniger Kombinationen ermitteln kann. In vielen Fällen führt eine Wörterbuchattacke, bei der Sammlungen beliebter Passwörter, aber auch ganze Lexika und Sprachwörterbücher zuerst ausprobiert werden, in sehr kurzer Zeit zu dem gültigen Passwort. Daher gilt es, sich sichere Passwörter auszusuchen (siehe Kasten).

Umwege

Meist dient das Passwort nicht selbst als Festplattenschlüssel. Bei der Passwortverschlüsselung wandelt eine Hash-Funktion es so um, dass der verfügbare Schlüsselraum optimal ausgenutzt wird. Ein Verlust des Passwortes ist jedoch gleichbedeutend mit dem des Festplattenschlüssels. In Mehrbenutzerumgebungen müssen außerdem alle Nutzer dasselbe Passwort kennen. Gleiches gilt auch für USB-Tokens, bei denen der Festplattenschlüssel auf ein externes Medium ausgelagert wird - sofern der Zugriff auf das Token nicht zusätzlich gesichert ist.

Flexibler sind Zertifikatsverfahren, die den Festplattenschlüssel mit einem asymmetrischen Algorithmus verwalten. Diese Algorithmen zeichnen sich dadurch aus, dass sie zwei verschiedene Schlüssel verwenden. Der öffentliche (Public Key) dient nur der Verschlüsselung - mit ihm kann man die Daten nicht mehr dechiffrieren. Dazu benötigt man den geheimen Schlüssel (Private Key).

Bei der Festplattenverschlüsselung wird der symmetrische Schlüssel mit dem Public Key des Benutzers chiffriert und auf der Festplatte abgelegt. Nach der Eingabe des Passworts schaltet dieses den Private Key des Nutzers frei. Mit diesem lässt sich wiederum der Festplattenschlüssel dechiffrieren.

Von Vorteil ist hierbei, dass man den Vorgang für beliebig viele Benutzer wiederholen kann. Auch ein Schlüssel-Backup oder ein Rettungsschlüssel für den Administrator lässt sich so realisieren. Per Telefon kann der Systemverwalter beispielsweise einem Außendienstmitarbeiter ein Reservepasswort nennen.

Zusätzlich kann man den geheimen Schlüssel auch auf eine SmartCard auslagern. Dabei verlässt der geheime Schlüssel die Karte niemals, da sie alle Operationen in einem internen Prozessor ausführt. Zum Schutz vor Missbrauch muss eine SmartCard mit einer PIN freigeschaltet werden.

Allerdings stellt die Zertifikatsverwaltung selbst auch ein Risiko dar. Bei schlechter Implementierung kann so ein sonst sicheres Verschlüsselungsverfahren ausgehebelt werden. Auf diesem Wege hat erst vor kurzem eine russische Firma die EFS-Verschlüsselung von Windows XP Professional in bestimmten Fällen kompromittiert (siehe Seite 142).

Fallstricke

Damit die Tools zur Festplattenverschlüsselung für die Anwendungsprogramme transparent bleiben, verlangen sie nur einmal nach dem Passwort. Solange der Rechner läuft, stehen alle Daten zur Verfügung. Damit in der Mittagspause niemand an den Rechner herankommt, sollte man den Bildschirmschoner unbedingt mit einem Passwort sichern. Ein Angreifer müsste somit den Rechner neu starten und scheitert dann an der Passwort-Eingabe.

Eine weitere Gefahr kommt aus einer ganz anderen Richtung: Wer sein Passwort verliert und keine Backups des Festplattenschlüssels hat, sieht seine eigenen Daten niemals wieder - selbst ein professionelles Data Recovery Center kann da nicht mehr helfen.

Je nach eingesetztem Tool muss man unterschiedliche Vorsichts- und Backup-Maßnahmen treffen. Bei Zertifikatsverfahren müssen unbedingt alle Zertifikate exportiert und beispielsweise ausgedruckt werden. Bei der Variante mit Passwörtern sollte man sicherstellen, dass man sich auch nach einem längeren Urlaub oder einer durchzechten Nacht noch an die geheime Zeichensequenz erinnern kann.

Bremse

Je nach Ausstattung des Rechners kann die Plattenverschlüsselung zur unangenehmen Systembremse werden, denn der Hauptprozessor muss alle Daten auf dem Weg von oder zum Datenträger durch den Krypto-Algorithmus schicken. Dies verzögert nicht nur den Datentransfer, sondern beansprucht auch Rechenzeit. Eine moderne CPU schafft es allerdings, fast so viele Daten pro Sekunde zu ver- oder entschlüsseln wie eine einzelne aktuelle Festplatte liefert (siehe Artikel Seite 140). Ist die CPU in dieser Zeit jedoch mit anderen Aufgaben betraut, entstehen dennoch Verzögerungen. Auf aktueller Hardware fallen diese im Büroalltag aber nicht merklich ins Gewicht, sodass man für normale PCs und Notebooks getrost die ganze Festplatte verschlüsseln kann. Anders sieht es bei Servern, Videoschnittplätzen und Rechnern aus, die alle Rechenzeit für ihre eigentlichen Aufgaben benötigen.

Sicher ist sicher

Algorithmen wie AES (Rijndael) und Blowfish gelten derzeit als sicher, vorausgesetzt, man geht mit Passwörtern und Zertifikaten vorsichtig um. Bei der Auswahl eines geeigneten Tools sollte man unbedingt darauf achten, dass es einen anerkannten Algorithmus und nicht eine obskure Bastellösung nutzt. Bei den Bordmitteln der Betriebssysteme ist dies gewährleistet und sie reichen für den Hausgebrauch unter Umständen aus. Vorsicht ist jedoch geboten, da sie die Auslagerungsdateien, das Hibernation-File und die temporären Verzeichnisse nicht verschlüsseln.

Wer maximale Sicherheit braucht, kommt um ein System, das in den Boot-Vorgang eingreift, nicht herum - Hardware-Lösungen wie IBMs TPM-System könnten den Schutz noch weiter erhöhen und sogar den gesamten Startvorgang absichern, es mangelt jedoch noch an passender Software. Sollen mehrere Benutzer auf eine verschlüsselte Festplatte zugreifen, lohnt der Einsatz von Verfahren, die Zertifikate verwenden.

Festplattenverschlüsselung ist nur ein Mosaikstein beim Bau einer Datenfestung. Sie sorgt dafür, dass die Daten nach Abschalten des Rechners unantastbar sind, auch wenn der Angreifer physischen Zugriff auf die Festplatte hat. Im laufenden Betrieb sind alle Dateien jedoch frei zugänglich und müssen von anderen Mechanismen vor externen Angriffen geschützt werden - Festplattenverschlüsselung ist kein Ersatz für Firewalls, Sicherheits-Updates oder Virenscanner. Im Fall des auf dem Flughafen gestohlenen Notebooks sind die darauf befindlichen sensiblen Daten für einen Dieb jedenfalls unerreichbar.

Literatur

[1] Bruce Schneier: Angewandte Kryptographie, Addison-Wesley 1996

http://ct.de/0507136

"Streng vertraulich!"
Weitere Artikel zum Thema Kryptografie finden Sie in der c't 7/2005:
Festplatten richtig verschlüsseln	S. 136
Der Krypto-Benchmarkt	S. 140
Verschlüsselung mit Windows XP Pro	S. 142
Daten schützen unter Mac OS X	S. 144
Linux kodiert Dateien und Festplatten	S. 146
Nachrüst-Schutz für Windows 2000 und XP Home	S. 148

Krypto-Algorithmen in Betriebssystemen
Betriebssystem	Algorithmus	Schlüssellänge
Windows 9x/XP Home	-	-
Windows XP Pro, 2000	DESX	112 Bit
Linux	AES, Blowfish u.a.	32-448 Bit
Mac OS X	AES	128 Bit

---

10 Regeln für sichere Passwörter

1. Mindestens acht, besser mehr Zeichen verwenden.
2. Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen nutzen, deutsche Umlaute meiden.
3. Wörter aus dem persönlichen Umfeld (Eigennamen, Kosenamen, Haustiernamen etc.) sind tabu.
4. Keine Wörter aussuchen, die im Duden oder irgendeinem (Fremdsprachen-)Lexikon stehen. Also auch keine Comicfiguren oder Herr-der-Ringe-Helden.
5. Geburtstage oder andere relevante Daten vermeiden.
6. Nicht einfach nur Sonderzeichen anhängen, sondern sie in das Passwort integrieren.
7. Keine Wörter obiger Kategorien einfach nur rückwärts schreiben oder anders verfremden.
8. Das Passwort nicht unter die Tastatur oder hinter den Monitor kleben! Wenn man es überhaupt aufschreibt, dann den Zettel zumindest sicher aufbewahren.
9. Für jedes System ein eigenes Passwort wählen.
10. Das Passwort niemals weitergeben.

Um ein gutes Passwort zu erhalten, denkt man sich beispielsweise einen Satz wie „Hoffentlich errät bis zum Jahr ’19 kein Bösewicht mein sicheres Passwort!“ und nimmt von jedem Wort den Anfangsbuchstaben. Das ergibt dann „HebzJ’19kBmsP!“. An den Satz erinnert man sich. Um eine Vielzahl an Passwörtern sinnvoll abzulegen, empfiehlt sich ein Passworttresor wie der Password Safe von Bruce Schneier (siehe Soft-Link). (bbe)