www.wikidata.de-de.nina.az

Festplattenverschlüsselung auch englisch Full Disk Encryption oder FDE bezeichnet das Verschlüsseln einer gesamten Festp

Festplattenverschlüsselung

Festplattenverschlüsselung (auch englisch Full Disk Encryption oder FDE) bezeichnet das Verschlüsseln einer gesamten Festplatte oder einzelner Partitionen, um den unbefugten Zugriff auf sensible Daten zu verhindern.

Methoden Bearbeiten

Eine Festplattenverschlüsselung kann für die gesamte Festplatte oder einzelne Partitionen durchgeführt werden. Jedoch müssen die zum Booten benötigten Daten unverschlüsselt auf der Festplatte vorhanden sein oder durch einen speziellen Bootmanager entschlüsselt werden. Zur Nutzung der Daten wird eine Autorisierung des Nutzers durchgeführt (Pre-Boot Authentication), die zumeist mittels eines Passworts stattfindet. Alternativ oder ergänzend ist auch die Hardware-unterstützte Authentisierung mittels Security-Token, Fingerabdruck, PIN-Eingabe oder Chipkarten möglich.

Die Verschlüsselung kann auch durch die Hardware durchgeführt oder unterstützt werden (etwa durch TPM oder Festplatten mit Spezial-Firmware). Die Wahl des Verschlüsselungsverfahrens hat entscheidenden Einfluss auf den Grad des erreichten Schutzes. Laut dem Bundesamt für Sicherheit in der Informationstechnik bietet XTS-AES „relativ gute Sicherheitseigenschaften und gute Effizienz“ für Festplattenverschlüsselung.

Angriffsmöglichkeiten Bearbeiten

Angreifer, die eine verschlüsselte Festplatte ausspähen wollen, versuchen meist, auf verschiedenste Art und Weise das Passwort zu erlangen.

Dazu können folgende Methoden eingesetzt werden:

Eine weitere Schwachstelle der Festplattenverschlüsselung ist, dass sie keinen Schutz bietet, wenn der Rechner gebootet und mit einem Netzwerk verbunden ist. Dann kann im Prinzip über das Netzwerk oder lokal am Rechner auf den Festplatteninhalt zugegriffen werden, wobei letzteres durch den Einsatz eines aktiv werdenden Bildschirmschoners, der ein Passwort bei seiner Beendigung verlangt, erschwert werden kann. Eine Festplattenverschlüsselung schützt somit nur bei Verlust oder Diebstahl, nicht jedoch im laufenden Betrieb. Der Einsatz einer Festplattenverschlüsselung ist daher in solchen Fällen (z. B. zum Schutz eines Fileservers) nur bedingt sinnvoll. Auch ist eine Festplattenverschlüsselung nicht geeignet, arbeitsgruppenweiten Zugriff auf verschlüsselte Daten zu gewährleisten. Hier empfehlen sich Alternativen wie Datei- und Ordnerverschlüsselungen.

Software Bearbeiten

Programme zur Festplattenverschlüsselung gibt es für fast jedes Betriebssystem. Bei einigen sind diese bereits integriert. So besitzt Windows seit Windows 2000 das verschlüsselnde Dateisystem EFS für NTFS-Laufwerke, welches für die Verschlüsselung von Verzeichnissen und Dateien eingesetzt werden kann. Es ist in Microsoft Windows 2000 (alle Server- und Professional-Versionen), XP (nur Professional), Server 2003 und 2003 R2, Windows Vista (Business, Ultimate) und Windows 7 integriert. Seit Vista existiert zusätzlich das Programm BitLocker von Microsoft, welches ausschließlich in bestimmten Editionen von Windows Vista, Windows 7 und Windows 10 sowie Windows Server 2008 integriert ist. Während EFS auf Ebene einzelner Benutzer verschlüsselt und nicht dafür geeignet ist, das Betriebssystem selbst zu verschlüsseln, ist BitLocker unabhängig vom jeweiligen Benutzer auch in der Lage, das Betriebssystem selbst zu verschlüsseln, hierbei wird entweder ein Schlüssel in einem TPM-Chip oder ein externer Schlüssel in Form eines USB-Speichers verwendet.

Unter Linux sind Loop-AES und dm-crypt weit verbreitet, macOS bringt FileVault mit.

Auch für andere Betriebssysteme (wie beispielsweise OS/2) existieren Programme zur Festplattenverschlüsselung.

Auch gibt es mehrere, teilweise auch interoperable Lösungen für ein transparentes Verschlüsseln von virtuellen Laufwerken auf Basis von Containerdateien für eine Verschlüsselung von Nichtsystempartitionen oder für eine dateiweise transparente Verschlüsselung innerhalb eines Betriebssystems.

Neben diesen Verschlüsselungsprogrammen existieren auch einige, die eine betriebssystemübergreifende Nutzung ermöglichen und freie Software sind. So ermöglichen es CrossCrypt und FreeOTFE, verschlüsselte Linuxpartitionen unter Windows zu nutzen. TrueCrypt und die 2012 erfolgte Abspaltung VeraCrypt nutzen eine eigene Methode, die unter Linux, Windows und Mac OS X unterstützt wird. DiskCryptor ist eine weitere freie Software, die sich auf das Windows-Betriebssystem beschränkt.

Verschiedene Zusatzsoftware bietet über die Einbindung von Gerätetreibern die Möglichkeit Daten zu verschlüsseln. Für den Anwender ist der Einsatz der Verschlüsselung transparent, wenn ein Single Sign-on verwendet wird.

Weitere proprietäre Programme sind

  • PGP Whole Disk Encryption von PGP Corporation bietet neben der Verschlüsselung beliebiger Partitionen unter Windows auch eine Verschlüsselung von Festplatten unter macOS an, dort ab der Version 9.9 auch einschließlich der Systemfestplatte. Zwischen beiden Betriebssystemen können verschlüsselte Wechseldatenträger ausgetauscht werden.
  • SafeGuard Easy und SafeGuard Enterprise sind proprietäre Softwareprodukte zur partitionsweisen Verschlüsselung von Festplatten, Disketten und Wechseldatenträgern.
  • SafeBoot Device Encryption von SafeBoot bietet ebenfalls eine proprietäre Festplattenverschlüsselung unter Windows, richtet sich aber gegenüber SafeGuard Easy noch deutlich stärker an zentral administrierte Netzwerke.
  • BestCrypt Volume Encryption von Jetico bietet eine zu SafeGuard Easy vergleichbare Funktionsweise allerdings bei geringerem Funktionsumfang.
  • Pointsec for PC bzw. Pointsec for Linux von Checkpoint ermöglicht eine Komplettverschlüsselung der Festplatte für Windows und Linux.
  • DriveCrypt Plus Pack von SecurStar kann ebenfalls unter Windows Festplatten partitionsweise verschlüsseln.
  • Encrypt Disc for BitLocker von IDpendant bietet die PreBoot-Authentisierung für Microsoft BitLocker, Volle Smartcard und Token Unterstützung
  • Free CompuSec von CE-Infosys verschlüsselt stets die gesamte Festplatte, ist kostenlos verfügbar und unterstützt neben Windows auch einige wenige Versionen von Suse (Linux) und Redhat (Linux) als Betriebssystem.
  • EgoSecure HDD Encryption von EgoSecure (bis 2014 von Secude AG). Dabei wird starke Authentifizierung (z. B. mit Smartcards) und Pre-Boot-Authentifizierung unterstützt.
  • DriveLock vom deutschen Hersteller CenterTools. DriveLock bietet ein zentrales Management und ist in das Microsoft Active Directory integriert. Auch eine starke Authentifizierung (RSA Token, SmartCard) und Pre-Boot Authentifizierung mit Single Sign-on ist dabei.
  • SecureDoc von WinMagic. SecureDoc - Full-Disk Encryption ist kompatibel mit Microsoft Windows 7, Vista, XP und 2000 sowie MacOS als auch Linux. Darüber hinaus bietet SecureDoc mit PBConnex eine Netzwerkanbindung bereits in der Pre-Boot-Phase.

Nachteile Bearbeiten

Da bei einem Lesezugriff auch eine Entschlüsselung der jeweiligen Datei vonnöten ist, können spürbare Geschwindigkeitseinbußen die Folge sein, wenn der Hauptprozessor nicht über eine AES-Befehlssatzerweiterung verfügt. Dies ist vornehmlich bei größeren Dateien problematisch, die nicht vom System über längere Zeit im Arbeitsspeicher gehalten werden können.

Hardware Bearbeiten

Die Verschlüsselung nach den verschiedenen Verschlüsselungsverfahren (XOR, AES & Co) können auch durch Verschlüsselungsmodule vorgenommen werden. Diese kommen in externen Speichermedien (USB-Sticks, USB-Festplatten) zum Einsatz. Die Hardware muss hier entsprechend mit einem Verschlüsselungsmodul ausgestattet sein. Mit einem aktuellen Hochleistungsmodul lassen sich die Daten (z. B. 256-Bit-AES) nahezu in Echtzeit verschlüsseln. Performanceeinbußen sind bei Top-Modellen kaum zu spüren. Die hardwarebasierte Verschlüsselung erhöht zugleich die Sicherheit.

Quellen Bearbeiten

  1. BSI – Technische Richtlinie, Kryptographische Verfahren: Empfehlungen und Schlüssellängen, BSI TR-02102, Version: 2014-01, 10. Februar 2014, Seite 19
  2. Passwortklau durch gekühlten Speicher heise online, 22. Februar 2008.
  3. Eine lange Liste falscher Annahmen bei Technology Review
  4. Bootkit hebelt Festplattenverschlüsselung aus, heise online, 30. Juli 2009.
  5. PGP Whole Disk Encryption für Mac OS X mit Pre-Boot-Authentifizierung. Pressemitteilung des Herstellers PGP Corporation vom 9. Juni 2008.
  6. EgoSecure Homepage
  7. CenterTools DriveLock
  8. (Memento vom 13. März 2008 im Internet Archive)
  9. Christiane Rütten: Lahmgesichert? - Performance-Einbußen durch Festplattenverschlüsselung. In: c't 25/08, S. 214–216.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Festplattenverschlusselung auch englisch Full Disk Encryption oder FDE bezeichnet das Verschlusseln einer gesamten Festplatte oder einzelner Partitionen um den unbefugten Zugriff auf sensible Daten zu verhindern Inhaltsverzeichnis 1 Methoden 2 Angriffsmoglichkeiten 3 Software 4 Nachteile 5 Hardware 6 QuellenMethoden BearbeitenEine Festplattenverschlusselung kann fur die gesamte Festplatte oder einzelne Partitionen durchgefuhrt werden Jedoch mussen die zum Booten benotigten Daten unverschlusselt auf der Festplatte vorhanden sein oder durch einen speziellen Bootmanager entschlusselt werden Zur Nutzung der Daten wird eine Autorisierung des Nutzers durchgefuhrt Pre Boot Authentication die zumeist mittels eines Passworts stattfindet Alternativ oder erganzend ist auch die Hardware unterstutzte Authentisierung mittels Security Token Fingerabdruck PIN Eingabe oder Chipkarten moglich Die Verschlusselung kann auch durch die Hardware durchgefuhrt oder unterstutzt werden etwa durch TPM oder Festplatten mit Spezial Firmware Die Wahl des Verschlusselungsverfahrens hat entscheidenden Einfluss auf den Grad des erreichten Schutzes Laut dem Bundesamt fur Sicherheit in der Informationstechnik bietet XTS AES relativ gute Sicherheitseigenschaften und gute Effizienz fur Festplattenverschlusselung 1 Angriffsmoglichkeiten BearbeitenAngreifer die eine verschlusselte Festplatte ausspahen wollen versuchen meist auf verschiedenste Art und Weise das Passwort zu erlangen Dazu konnen folgende Methoden eingesetzt werden Wiederherstellen des Passworts aus der Auslagerungsdatei der Festplatte nur bei teilweise verschlusselten Platten moglich Ausspahen des Passworts mithilfe eines Trojaners der die Tastatureingabe protokolliert Auslesen des Hauptspeichers durch DMA z B mittels Firewire Auslesen des Hauptspeichers durch die Ausnutzung physikalischer Eigenschaften des DRAM 2 3 Erraten eines schwachen Passworts durch einen Worterbuch oder Brute Force Angriff Umgehung des Verschlusselungsmechanismus durch die Ausnutzung von Schwachstellen Erlangen des Passworts durch Social Engineering Infizierung des Master Boot Records durch ein Bootkit 4 Eine weitere Schwachstelle der Festplattenverschlusselung ist dass sie keinen Schutz bietet wenn der Rechner gebootet und mit einem Netzwerk verbunden ist Dann kann im Prinzip uber das Netzwerk oder lokal am Rechner auf den Festplatteninhalt zugegriffen werden wobei letzteres durch den Einsatz eines aktiv werdenden Bildschirmschoners der ein Passwort bei seiner Beendigung verlangt erschwert werden kann Eine Festplattenverschlusselung schutzt somit nur bei Verlust oder Diebstahl nicht jedoch im laufenden Betrieb Der Einsatz einer Festplattenverschlusselung ist daher in solchen Fallen z B zum Schutz eines Fileservers nur bedingt sinnvoll Auch ist eine Festplattenverschlusselung nicht geeignet arbeitsgruppenweiten Zugriff auf verschlusselte Daten zu gewahrleisten Hier empfehlen sich Alternativen wie Datei und Ordnerverschlusselungen Software BearbeitenProgramme zur Festplattenverschlusselung gibt es fur fast jedes Betriebssystem Bei einigen sind diese bereits integriert So besitzt Windows seit Windows 2000 das verschlusselnde Dateisystem EFS fur NTFS Laufwerke welches fur die Verschlusselung von Verzeichnissen und Dateien eingesetzt werden kann Es ist in Microsoft Windows 2000 alle Server und Professional Versionen XP nur Professional Server 2003 und 2003 R2 Windows Vista Business Ultimate und Windows 7 integriert Seit Vista existiert zusatzlich das Programm BitLocker von Microsoft welches ausschliesslich in bestimmten Editionen von Windows Vista Windows 7 und Windows 10 sowie Windows Server 2008 integriert ist Wahrend EFS auf Ebene einzelner Benutzer verschlusselt und nicht dafur geeignet ist das Betriebssystem selbst zu verschlusseln ist BitLocker unabhangig vom jeweiligen Benutzer auch in der Lage das Betriebssystem selbst zu verschlusseln hierbei wird entweder ein Schlussel in einem TPM Chip oder ein externer Schlussel in Form eines USB Speichers verwendet Unter Linux sind Loop AES und dm crypt weit verbreitet macOS bringt FileVault mit Auch fur andere Betriebssysteme wie beispielsweise OS 2 existieren Programme zur Festplattenverschlusselung Auch gibt es mehrere teilweise auch interoperable Losungen fur ein transparentes Verschlusseln von virtuellen Laufwerken auf Basis von Containerdateien fur eine Verschlusselung von Nichtsystempartitionen oder fur eine dateiweise transparente Verschlusselung innerhalb eines Betriebssystems Neben diesen Verschlusselungsprogrammen existieren auch einige die eine betriebssystemubergreifende Nutzung ermoglichen und freie Software sind So ermoglichen es CrossCrypt und FreeOTFE verschlusselte Linuxpartitionen unter Windows zu nutzen TrueCrypt und die 2012 erfolgte Abspaltung VeraCrypt nutzen eine eigene Methode die unter Linux Windows und Mac OS X unterstutzt wird DiskCryptor ist eine weitere freie Software die sich auf das Windows Betriebssystem beschrankt Verschiedene Zusatzsoftware bietet uber die Einbindung von Geratetreibern die Moglichkeit Daten zu verschlusseln Fur den Anwender ist der Einsatz der Verschlusselung transparent wenn ein Single Sign on verwendet wird Weitere proprietare Programme sind PGP Whole Disk Encryption von PGP Corporation bietet neben der Verschlusselung beliebiger Partitionen unter Windows auch eine Verschlusselung von Festplatten unter macOS an dort ab der Version 9 9 auch einschliesslich der Systemfestplatte 5 Zwischen beiden Betriebssystemen konnen verschlusselte Wechseldatentrager ausgetauscht werden SafeGuard Easy und SafeGuard Enterprise sind proprietare Softwareprodukte zur partitionsweisen Verschlusselung von Festplatten Disketten und Wechseldatentragern SafeBoot Device Encryption von SafeBoot bietet ebenfalls eine proprietare Festplattenverschlusselung unter Windows richtet sich aber gegenuber SafeGuard Easy noch deutlich starker an zentral administrierte Netzwerke BestCrypt Volume Encryption von Jetico bietet eine zu SafeGuard Easy vergleichbare Funktionsweise allerdings bei geringerem Funktionsumfang Pointsec for PC bzw Pointsec for Linux von Checkpoint ermoglicht eine Komplettverschlusselung der Festplatte fur Windows und Linux DriveCrypt Plus Pack von SecurStar kann ebenfalls unter Windows Festplatten partitionsweise verschlusseln Encrypt Disc for BitLocker von IDpendant bietet die PreBoot Authentisierung fur Microsoft BitLocker Volle Smartcard und Token Unterstutzung Free CompuSec von CE Infosys verschlusselt stets die gesamte Festplatte ist kostenlos verfugbar und unterstutzt neben Windows auch einige wenige Versionen von Suse Linux und Redhat Linux als Betriebssystem EgoSecure HDD Encryption 6 von EgoSecure bis 2014 von Secude AG Dabei wird starke Authentifizierung z B mit Smartcards und Pre Boot Authentifizierung unterstutzt DriveLock 7 vom deutschen Hersteller CenterTools DriveLock bietet ein zentrales Management und ist in das Microsoft Active Directory integriert Auch eine starke Authentifizierung RSA Token SmartCard und Pre Boot Authentifizierung mit Single Sign on ist dabei SecureDoc von WinMagic SecureDoc Full Disk Encryption ist kompatibel mit Microsoft Windows 7 Vista XP und 2000 sowie MacOS als auch Linux 8 Daruber hinaus bietet SecureDoc mit PBConnex eine Netzwerkanbindung bereits in der Pre Boot Phase Nachteile BearbeitenDa bei einem Lesezugriff auch eine Entschlusselung der jeweiligen Datei vonnoten ist konnen spurbare Geschwindigkeitseinbussen die Folge sein wenn der Hauptprozessor nicht uber eine AES Befehlssatzerweiterung verfugt Dies ist vornehmlich bei grosseren Dateien problematisch die nicht vom System uber langere Zeit im Arbeitsspeicher gehalten werden konnen 9 Hardware BearbeitenDie Verschlusselung nach den verschiedenen Verschlusselungsverfahren XOR AES amp Co konnen auch durch Verschlusselungsmodule vorgenommen werden Diese kommen in externen Speichermedien USB Sticks USB Festplatten zum Einsatz Die Hardware muss hier entsprechend mit einem Verschlusselungsmodul ausgestattet sein Mit einem aktuellen Hochleistungsmodul lassen sich die Daten z B 256 Bit AES nahezu in Echtzeit verschlusseln Performanceeinbussen sind bei Top Modellen kaum zu spuren Die hardwarebasierte Verschlusselung erhoht zugleich die Sicherheit Quellen Bearbeiten BSI Technische Richtlinie Kryptographische Verfahren Empfehlungen und Schlussellangen BSI TR 02102 Version 2014 01 10 Februar 2014 Seite 19 Passwortklau durch gekuhlten Speicher heise online 22 Februar 2008 Eine lange Liste falscher Annahmen bei Technology Review Bootkit hebelt Festplattenverschlusselung aus heise online 30 Juli 2009 PGP Whole Disk Encryption fur Mac OS X mit Pre Boot Authentifizierung Pressemitteilung des Herstellers PGP Corporation vom 9 Juni 2008 EgoSecure Homepage CenterTools DriveLock SecureDoc Full Disk Encryption Memento vom 13 Marz 2008 im Internet Archive Christiane Rutten Lahmgesichert Performance Einbussen durch Festplattenverschlusselung In c t 25 08 S 214 216 Abgerufen von https de wikipedia org w index php title Festplattenverschlusselung amp oldid 236388930