Dateiverschlüsselung | Probleme bei Dateiverschlüsselungen

Verschlüsselungslösungen

		INFO & WISSEN

Die zahlreichen Hersteller von Verschlüsselungslösungen nähern sich somit der Thematik mit unterschiedlichen Lösungsansätzen – einige davon haben doch erhebliche Einschränkungen!

Die einfachste Variante ist die "manuelle" Methode der Dateiverschlüsselung, wo der Benutzer selektiv Dateien verschlüsselt (und entschlüsselt) was auch Cross-Platform-Lösungen zulässt. Eine Stufe höher kann man die ordnerbasierte Verschlüsselung sehen, die schon eine tiefere Integration in das Betriebssystem erfordert. Zudem können auch hier Fallen für falsche Benutzung liegen, wie bei EFS wo das "verschieben" in einen verschlüsselten Ordner keine Verschlüsselung der Datei auslöst.

Einige Werkzeuge bieten verschlüsselte virtuelle Laufwerke (Container) an, wo sich eine große verschlüsselte Datei dem Betriebssystem als logisches Laufwerk präsentiert. Natürlich kann dann auch die ganze Platte per Disk Encryption inklusive Boot und Systemdateien verschlüsselt werden und dadurch schon ein "Pre-Boot-Logon" passieren muss.

manuelle Dateiverschlüsselung

Bei dieser sehr einfachen Variante kann manuell eine Datei verschlüsselt werden. In der Regel erfolgt dies im Explorer mit der rechten Maustaste auf das gewünschte File und dann im Menü auf „Verschlüsseln“ gehen. Diese Methode ist als einzige auch dazu geeignet, eine verschlüsselte Datei zum Beispiel per Mail zu übertragen. Daher bieten gute Festplattenverschlüsselungshersteller auch zusätzlich diese Möglichkeit an (in diesem Fall ist diese Datei dann doppelt verschlüsselt). Aber alleine betrachtet bietet sie keinen hinreichenden Schutz und unterliegt allen Problembereiche bei Dateiverschlüsselungen . Darüber hinaus kommt noch der Fehlerfaktor Mensch hinzu, etwa wenn auf die Verschlüsselung vergessen wird.



	Dateiverschlüsselung ©WinMagic Inc.

Ordnerverschlüsselung

Im Gegensatz zur File Verschlüsselung werden die Dateien innerhalb des angegebenen Folders automatisch Ver- und Entschlüsselt. Durch die Integration in das Betriebssystem ist somit keine Benutzerinteraktion mehr nötig und die Verschlüsselung läuft für den Anwender transparent. Auf den ersten Blick klingt dieses System sehr vernünftig, jedoch können auch Produkte dieser Kategorie keinen Schutz für die Schwachstellen bei File Verschlüsselung bieten. Dazu ist auch noch zu bemerken, dass dieser Ansatz im Vergleich zur Festplattenverschlüsselung erheblich größere CPU und Festplatten-Ressourcen benötigt. Der Overhead liegt darin begründet, dass hier jede Datei des Folders einzeln verschlüsselt wird und dazu eine Schlüsselerzeugung und -Ablage (manchmal mehr als 2 kByte je File) nötig wird.

Container Verschlüsselung

In dieser Variante wird eine große versteckte Datei angelegt, in welche alle verschlüsselten Daten geschrieben werden. Für den Anwender erscheint dann ein Virtuelles Laufwerk, welches er wie eine Partition auf der Festplatte behandeln kann. Alle darin angezeigten Files liegen in verschlüsselter Form eben in dieser Datei auf der Platte.

Manche Produkte unterstützen auch mehrere solcher Dateien und bieten eine Zugriffsverwaltung für unterschiedliche Benutzer an, in der auf Container-Ebene in sehr vereinfachter Form Berechtigungen vergeben werden können. Da die gesamte Implementation auf bestehenden Funktionalitäten des Betriebsystems aufsetzen kann, ist hier auch die Unterstützung von HW-Token wie Smart Cards mit und ohne Zertifikate recht komfortabel und umfangreich. Auch biometrische Authentifizierung ist, zusätzlich in Kombination mit einer Smart Card, erhältlich. Diese Lösungen lassen sich sehr einfach und unkompliziert umsetzen, bieten jedoch einige substantielle sicherheitstechnische Schwachstellen. Zum Beispiel behandelt das Betriebssystem dieses virtuelle Laufwerk nicht wie eine physikalische Disk, wodurch sich darauf keine Temporärverzeichnisse und Auslagerungsdateien anlegen lassen. Dies führt natürlich dazu, dass alle dort enthaltenen Informationen nach wie vor unverschlüsselt auf der Platte liegen. Darüber hinaus ist auch nach wie vor das Betriebsystem (speziell die Registry) ungeschützt.



	Ordner und Containerverschlüsselung ©WinMagic Inc.

Festplattenverschlüsselung

Bei der Festplatten Verschlüsselung liegt der größte Unterschied zu den beiden voran genannten Varianten darin, dass sie Sektor für Sektor die gesamte Platte verschlüsselt und nicht jede Datei einzeln behandeln muss. Dadurch läuft die gesamte Ver- und Entschlüsselung für den Benutzer vollkommen im Hintergrund und er bemerkt keinen Unterschied zu einem unverschlüsselten System. Dadurch ist dieser Ansatz auch wesentlich performanter: der WinStone Benchmark ergibt nur eine Geschwindigkeitsreduktion von 3 %, was in annähernd allen Konfigurationen mit freiem Auge nicht mehr unterschieden werden kann.

Da alle Schreib- und Lesezugriffe vom System über eine einzige Schnittstelle erfolgen, sind wirklich alle - also auch die nicht allozierten - Bereiche verschlüsselt. Nur mit diesem Ansatz lassen sich durch diesen Umstand alle der beschriebenen Gefahren eliminieren. Allerdings bringt die Verschlüsselung des Betriebssystem auch eine erhebliche Komplexitätsebene mit sich, da bereits vor dem eigentlichen Boot-Vorgang des Betriebssystems die Authentifizierung des Benutzers zu erfolgen hat um die Entschlüsselung zuzulassen. Dieser Boot-Schutz wird auch "Pre-Boot Authentication" bezeichnet. Da zu diesem Zeitpunkt keine HW-Treiber, also auch nicht jene für Kartenleser oder Netzwerkkarten zur Verfügung stehen, ist die Integration von den essentiell notwendigen Hardware Tokens als zusätzliches Authentifizierungsmedium für die Lösungshersteller sehr aufwändig. Als Folge dessen werden jeweils nur eine begrenzte Anzahl dieser Geräte unterstützt (je nach Qualität der Verschlüsselungslösung und der Erfahrung des Herstellers variiert deren Anzahl zum Teil erheblich!).



	Festplattenverschlüsselung ©WinMagic Inc.

Probleme bei Dateiverschlüsselungen Beim Einsatz von Dateiverschlüsselung, egal welcher Methode muss auch bedacht werden, dass die Informationen bei der Verarbeitung, bzw. in ihrem Lebenszyklus auch an anderen Plätzen vorliegen....

Verschlüsselungsmatrix

Funktion	File	Folder	Container	Disk
Primärer Einsatz
Primär designed für Desktop Security		X	X	X
Primär designed für das Verschicken über Netzwerke	X
Sicherheit
schützt ein individuelles File	X	X	X	X
schützt den Inhalt eines Folders		X	X	X
schützt temporäre und Auslagerungsdateien				X
schützt den File Slack			X	X
Schutz für Datenbanken			X	X
Schutz für gelöschte Dateien			X	X
Schützt Back-Up & Auto-Save Files			X	X
Ermöglicht die Windows Un-Delete Funktionalität			X	X
Schützt Dateinamen			X	X
Schützt die Windows Registry				X
Schutz für alle Applikationen (OS, Software, etc.)				X
Schützt Dateien auf Wechseldatenträgern	X		X	X
Schutz durch Bildschirmschoner	*	*		X
Transparenz
Echt-Zeit - Ver und Entschlüsselung		X	X	X
menschliches Fehlverhalten minimiert				X
E-Mail
Senden verschlüsselter Files als E-Mail	X	X
Senden verschlüsselter E-Mail	X
*herstellerabhängig

SecureDoc Hard Disk Encryption - Lizensierung WinMagic’s SecureDoc Festplattenverschlüsselungslösung zielt auf die Sicherheitsbedürfnisse einer Organisation mit steigender mobilen Arbeiitsanteilen, indem sie vertrauliche Informationen auf mobilen Geräten schützt indem das Trägermedium vollkommen verschlüsselt (AES 256) wird.

SecureDoc Enterprise Server Der SecureDoc Enterprise Server ermöglicht und erleichtert den Rollout von WinMagic SecureDoc Festplattenverschlüsselung, die Administration der Anwender sowie Recovery von Passworten, Smart Cards oder Token.

		DOWNLOADS

Datenverschlüsselung auf Datenträgern.pdf

MS File-Encryption

EFS - Zertifikate