USB Armory Drive - Tragbare Verschlüsselung von Massenspeicher

USB Armory Drive

Tragbare Verschlüsselung von Massenspeicher

Rocco Gagliardi
von Rocco Gagliardi
am 05. Mai 2022
Lesezeit: 6 Minuten

Keypoints

So verschlüsseln Sie tragbare Massenspeicher

  • Eine einfache und sichere Methode zum Transport von Daten ist schwer zu finden
  • Armory Drive ist eine Lösung, die auf offener Hardware und Software basiert
  • eine beliebige Anzahl von microSD-Karten kann verschlüsselt werden
  • die Lösung basiert auf zwei Faktoren, dem USB-Hardware und der iOS-App

Wie können wir Daten auf tragbaren Geräten sicher transportieren? Die Aufrechterhaltung der Sicherheitskette mit verschlüsselten Massenspeichern ist nach wie vor ein Problem, das nicht leicht zu lösen ist, da die Verschlüsselung der Geräte normalerweise an das verwendete Betriebssystem gebunden ist. Software zu finden, die auf verschiedenen Plattformen reibungslos funktioniert, ist schwierig.

Die beste Lösung ist nach wie vor ein Gerät, das On-Board-Verschlüsselung verwendet, wie der iStorage datAshur. Aber abgesehen von den relativ hohen Kosten und dem verhältnismässig kleinen Speicher ist das Hauptproblem bei verschlüsselten USB-Sticks die Art und Weise, wie die Authentifizierung durchgeführt wird. Es wurden mehrere Lösungen umgesetzt, von der numerischen Tastatur auf dem Schlüssel bis hin zur biometrischen Authentifizierung, aber sie bleiben kompliziert und teuer.

Die von Inverse-Path (jetzt F-Secure) vorgeschlagene Lösung basiert auf der Mehrzweck-HW-Plattform (SoC) namens USB Armory, einer Lösung für die Entwicklung und Ausführung verschiedener Arten von Anwendungen. Im Wesentlichen haben sie ein System zur Verschlüsselung von Speichermedien (microSD) entwickelt, die Grösse der Karte bleibt Ihnen überlassen.

Die vom NXP i.MX6UL Prozessorchip, dem Herzstück der USB Armory MKII, unterstützten Sicherheitsfunktionen und das offene Board-Design bieten Entwicklern und Anwendern ein völlig anpassbares, zuverlässiges USB-Gerät für Sicherheitsanwendungen wie Hardware Security Module (HSM), verschlüsselte Dateispeicherung mit Malware-Scanning, Router für End-to-End VPN-Tunneling oder Tor, Passwortmanager, elektronische Geldbörse.

Wenn Sie über gute Go-Kenntnisse verfügen, können Sie dank TamaGo, einem Framework, das die Kompilierung und Ausführung von unbelasteten Go-Anwendungen auf ARM System-on-Chip Komponenten ermöglicht, jede beliebige Anwendung entwickeln und auf dem System ausführen.

Verschlüsselter Speicher

F-Secure Armory Drive bietet eine verschlüsselte Laufwerkslösung, die die Entsperrung einer verschlüsselten microSD-Karte mit einem Tastendruck über die gekoppelte F-Secure Armory Drive iOS-App ermöglicht. Der Speicher kann beliebig erweitert werden, da er extern ist. Die kryptographischen Operationen werden vom Betriebssystem durchgeführt und der Speicher wird zum Speichern der verschlüsselten Daten verwendet. Die Authentifizierung und der jeweilige Zugriff auf die Daten erfolgt über die Kommunikation via Bluetooth zwischen dem Armory Drive, das auf der USB Armory MKII läuft, und einer speziellen Armory Drive Anwendung für Smartphones.

Armory Drive ist entschlüsselt

Wie es funktioniert

Um das Laufwerk zu verwenden, sind folgende Schritte erforderlich:

Es sind zusätzliche Schritte erforderlich, um das zur Verschlüsselung der Daten verwendete und auf dem Gerät gespeicherte Kryptomaterial zu schützen. Dieses könnte mit einer ad-hoc erstellten Anwendung abgerufen werden. Es muss also verhindert werden, dass die USB Armory eine andere generische Software als die vertrauenswürdige lädt, in unserem Fall die von F-Secure bereitgestellte Software. Dies ist nur möglich, indem man die sichere Boot-Konfiguration des SoC ausnutzt, die einen Hash von vier verketteten öffentlichen CA-Schlüsseln in der USB Armory SoC fuse box sichert, so dass nur ein signierter Bootloader ausgeführt werden kann, und indem man einen geprüften (signierten) Bootloader installiert, in unserem Fall den armory-boot. Ohne diesen Schritt würde ein Teil der kryptografischen Schlüssel, die für die Verschlüsselung von Daten und Kommunikation verwendet werden, offen liegen und über nicht zertifizierte Software zugänglich sein.

Die Folge ist, dass der USB Armory nach diesem Vorgang nur noch Software akzeptiert, die von einer bestimmten Zertifizierungsstelle (F-Secure oder einer Unternehmens-CA) signiert wurde, so dass er für allgemeine Software unbrauchbar ist. Aber das ist ein kleiner Preis für eine sichere mobile Speicherung.

Da die Schlüssel für die Daten- und Kommunikationsverschlüsselung von USB Armory und der iOS-App abgeleitet werden, sind die Daten beim Zugriff auf nur ein Gerät weiterhin geschützt. Die gewählten Sicherheitslösungen sind für den beabsichtigten Einsatz mehr als zufriedenstellend. Ohne zu wiederholen, was an anderer Stelle besser beschrieben ist, empfehle ich Ihnen, die folgenden Dokumente zu lesen, um mehr Details zu erfahren:

Zusammenfassung

Mit Armory Drive können Sie Massenspeicher unterschiedlicher Grösse unabhängig vom verwendeten Betriebssystem (ich verwalte Daten unter Windows, Linux, macOS und iPadOS) sicher machen, und das zu relativ geringen Kosten.

Obwohl es im Gegensatz zu einem FIPS140-2L3-zertifizierten iStorage datAshur an physischen Schutzmechanismen mangelt, ist Armory Drive zu meiner ersten Wahl geworden, wenn es um die Sicherheit von transportablen Massenspeichern geht. Die Lösung ist gut dokumentiert, elegant und einfach zu bedienen und ich kann sie nur jedem empfehlen, der Daten sicher transportieren muss.

Über den Autor

Rocco Gagliardi

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Routing, Firewalling und Log Management.

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Seccomp-bpf

Seccomp-bpf

Rocco Gagliardi

Sandboxing von Containern

Sandboxing von Containern

Rocco Gagliardi

SQLite Forensik

SQLite Forensik

Rocco Gagliardi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv