Security Frameworks
Rocco Gagliardi
So verschlüsseln Sie tragbare Massenspeicher
Die beste Lösung ist nach wie vor ein Gerät, das On-Board-Verschlüsselung verwendet, wie der iStorage datAshur. Aber abgesehen von den relativ hohen Kosten und dem verhältnismässig kleinen Speicher ist das Hauptproblem bei verschlüsselten USB-Sticks die Art und Weise, wie die Authentifizierung durchgeführt wird. Es wurden mehrere Lösungen umgesetzt, von der numerischen Tastatur auf dem Schlüssel bis hin zur biometrischen Authentifizierung, aber sie bleiben kompliziert und teuer.
Die von Inverse-Path (jetzt F-Secure) vorgeschlagene Lösung basiert auf der Mehrzweck-HW-Plattform (SoC) namens USB Armory, einer Lösung für die Entwicklung und Ausführung verschiedener Arten von Anwendungen. Im Wesentlichen haben sie ein System zur Verschlüsselung von Speichermedien (microSD) entwickelt, die Grösse der Karte bleibt Ihnen überlassen.
Die vom NXP i.MX6UL Prozessorchip, dem Herzstück der USB Armory MKII, unterstützten Sicherheitsfunktionen und das offene Board-Design bieten Entwicklern und Anwendern ein völlig anpassbares, zuverlässiges USB-Gerät für Sicherheitsanwendungen wie Hardware Security Module (HSM), verschlüsselte Dateispeicherung mit Malware-Scanning, Router für End-to-End VPN-Tunneling oder Tor, Passwortmanager, elektronische Geldbörse.
Wenn Sie über gute Go-Kenntnisse verfügen, können Sie dank TamaGo, einem Framework, das die Kompilierung und Ausführung von unbelasteten Go-Anwendungen auf ARM System-on-Chip Komponenten ermöglicht, jede beliebige Anwendung entwickeln und auf dem System ausführen.
F-Secure Armory Drive bietet eine verschlüsselte Laufwerkslösung, die die Entsperrung einer verschlüsselten microSD-Karte mit einem Tastendruck über die gekoppelte F-Secure Armory Drive iOS-App ermöglicht. Der Speicher kann beliebig erweitert werden, da er extern ist. Die kryptographischen Operationen werden vom Betriebssystem durchgeführt und der Speicher wird zum Speichern der verschlüsselten Daten verwendet. Die Authentifizierung und der jeweilige Zugriff auf die Daten erfolgt über die Kommunikation via Bluetooth zwischen dem Armory Drive, das auf der USB Armory MKII läuft, und einer speziellen Armory Drive Anwendung für Smartphones.
Um das Laufwerk zu verwenden, sind folgende Schritte erforderlich:
Es sind zusätzliche Schritte erforderlich, um das zur Verschlüsselung der Daten verwendete und auf dem Gerät gespeicherte Kryptomaterial zu schützen. Dieses könnte mit einer ad-hoc erstellten Anwendung abgerufen werden. Es muss also verhindert werden, dass die USB Armory eine andere generische Software als die vertrauenswürdige lädt, in unserem Fall die von F-Secure bereitgestellte Software. Dies ist nur möglich, indem man die sichere Boot-Konfiguration des SoC ausnutzt, die einen Hash von vier verketteten öffentlichen CA-Schlüsseln in der USB Armory SoC fuse box sichert, so dass nur ein signierter Bootloader ausgeführt werden kann, und indem man einen geprüften (signierten) Bootloader installiert, in unserem Fall den armory-boot. Ohne diesen Schritt würde ein Teil der kryptografischen Schlüssel, die für die Verschlüsselung von Daten und Kommunikation verwendet werden, offen liegen und über nicht zertifizierte Software zugänglich sein.
Die Folge ist, dass der USB Armory nach diesem Vorgang nur noch Software akzeptiert, die von einer bestimmten Zertifizierungsstelle (F-Secure oder einer Unternehmens-CA) signiert wurde, so dass er für allgemeine Software unbrauchbar ist. Aber das ist ein kleiner Preis für eine sichere mobile Speicherung.
Da die Schlüssel für die Daten- und Kommunikationsverschlüsselung von USB Armory und der iOS-App abgeleitet werden, sind die Daten beim Zugriff auf nur ein Gerät weiterhin geschützt. Die gewählten Sicherheitslösungen sind für den beabsichtigten Einsatz mehr als zufriedenstellend. Ohne zu wiederholen, was an anderer Stelle besser beschrieben ist, empfehle ich Ihnen, die folgenden Dokumente zu lesen, um mehr Details zu erfahren:
Mit Armory Drive können Sie Massenspeicher unterschiedlicher Grösse unabhängig vom verwendeten Betriebssystem (ich verwalte Daten unter Windows, Linux, macOS und iPadOS) sicher machen, und das zu relativ geringen Kosten.
Obwohl es im Gegensatz zu einem FIPS140-2L3-zertifizierten iStorage datAshur an physischen Schutzmechanismen mangelt, ist Armory Drive zu meiner ersten Wahl geworden, wenn es um die Sicherheit von transportablen Massenspeichern geht. Die Lösung ist gut dokumentiert, elegant und einfach zu bedienen und ich kann sie nur jedem empfehlen, der Daten sicher transportieren muss.
Unsere Spezialisten kontaktieren Sie gern!
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Unsere Spezialisten kontaktieren Sie gern!