Wie können wir Daten auf tragbaren Geräten sicher transportieren? Die Aufrechterhaltung der Sicherheitskette mit verschlüsselten Massenspeichern ist nach wie vor ein Problem, das nicht leicht zu lösen ist, da die Verschlüsselung der Geräte normalerweise an das verwendete Betriebssystem gebunden ist. Software zu finden, die auf verschiedenen Plattformen reibungslos funktioniert, ist schwierig.

Die beste Lösung ist nach wie vor ein Gerät, das On-Board-Verschlüsselung verwendet, wie der iStorage datAshur. Aber abgesehen von den relativ hohen Kosten und dem verhältnismässig kleinen Speicher ist das Hauptproblem bei verschlüsselten USB-Sticks die Art und Weise, wie die Authentifizierung durchgeführt wird. Es wurden mehrere Lösungen umgesetzt, von der numerischen Tastatur auf dem Schlüssel bis hin zur biometrischen Authentifizierung, aber sie bleiben kompliziert und teuer.

Die von Inverse-Path (jetzt F-Secure) vorgeschlagene Lösung basiert auf der Mehrzweck-HW-Plattform (SoC) namens USB Armory, einer Lösung für die Entwicklung und Ausführung verschiedener Arten von Anwendungen. Im Wesentlichen haben sie ein System zur Verschlüsselung von Speichermedien (microSD) entwickelt, die Grösse der Karte bleibt Ihnen überlassen.

Die vom NXP i.MX6UL Prozessorchip, dem Herzstück der USB Armory MKII, unterstützten Sicherheitsfunktionen und das offene Board-Design bieten Entwicklern und Anwendern ein völlig anpassbares, zuverlässiges USB-Gerät für Sicherheitsanwendungen wie Hardware Security Module (HSM), verschlüsselte Dateispeicherung mit Malware-Scanning, Router für End-to-End VPN-Tunneling oder Tor, Passwortmanager, elektronische Geldbörse.

Wenn Sie über gute Go-Kenntnisse verfügen, können Sie dank TamaGo, einem Framework, das die Kompilierung und Ausführung von unbelasteten Go-Anwendungen auf ARM System-on-Chip Komponenten ermöglicht, jede beliebige Anwendung entwickeln und auf dem System ausführen.

Verschlüsselter Speicher

F-Secure Armory Drive bietet eine verschlüsselte Laufwerkslösung, die die Entsperrung einer verschlüsselten microSD-Karte mit einem Tastendruck über die gekoppelte F-Secure Armory Drive iOS-App ermöglicht. Der Speicher kann beliebig erweitert werden, da er extern ist. Die kryptographischen Operationen werden vom Betriebssystem durchgeführt und der Speicher wird zum Speichern der verschlüsselten Daten verwendet. Die Authentifizierung und der jeweilige Zugriff auf die Daten erfolgt über die Kommunikation via Bluetooth zwischen dem Armory Drive, das auf der USB Armory MKII läuft, und einer speziellen Armory Drive Anwendung für Smartphones.

Wie es funktioniert

Um das Laufwerk zu verwenden, sind folgende Schritte erforderlich:

• Installieren Sie die Firmware auf dem USB Armory MKII
• Installieren Sie die Armory Drive iOS App
• Koppeln Sie die USB Armory mit der iOS-App: Dieser Schritt generiert und speichert Schlüssel in der iOS-App.
• Die Verschlüsselungsschlüssel (für die microSD- und BLE-Kommunikation) werden aus dem Schlüssel der iOS-App und dem eindeutigen Hardware-Schlüssel des USB Armory abgeleitet.
• Formatieren Sie die microSD-Karte: Die volle Festplattenverschlüsselung wird verwendet, um die microSD-Karte mit dem abgeleiteten Schlüssel zu verschlüsseln, der eine Funktion der iOS-App und des USB Armory ist.

Es sind zusätzliche Schritte erforderlich, um das zur Verschlüsselung der Daten verwendete und auf dem Gerät gespeicherte Kryptomaterial zu schützen. Dieses könnte mit einer ad-hoc erstellten Anwendung abgerufen werden. Es muss also verhindert werden, dass die USB Armory eine andere generische Software als die vertrauenswürdige lädt, in unserem Fall die von F-Secure bereitgestellte Software. Dies ist nur möglich, indem man die sichere Boot-Konfiguration des SoC ausnutzt, die einen Hash von vier verketteten öffentlichen CA-Schlüsseln in der USB Armory SoC fuse box sichert, so dass nur ein signierter Bootloader ausgeführt werden kann, und indem man einen geprüften (signierten) Bootloader installiert, in unserem Fall den armory-boot. Ohne diesen Schritt würde ein Teil der kryptografischen Schlüssel, die für die Verschlüsselung von Daten und Kommunikation verwendet werden, offen liegen und über nicht zertifizierte Software zugänglich sein.

Die Folge ist, dass der USB Armory nach diesem Vorgang nur noch Software akzeptiert, die von einer bestimmten Zertifizierungsstelle (F-Secure oder einer Unternehmens-CA) signiert wurde, so dass er für allgemeine Software unbrauchbar ist. Aber das ist ein kleiner Preis für eine sichere mobile Speicherung.

Da die Schlüssel für die Daten- und Kommunikationsverschlüsselung von USB Armory und der iOS-App abgeleitet werden, sind die Daten beim Zugriff auf nur ein Gerät weiterhin geschützt. Die gewählten Sicherheitslösungen sind für den beabsichtigten Einsatz mehr als zufriedenstellend. Ohne zu wiederholen, was an anderer Stelle besser beschrieben ist, empfehle ich Ihnen, die folgenden Dokumente zu lesen, um mehr Details zu erfahren:

• Armory Drive Spezifikationen für Details zur Sicherheit
• Competitive Tutorial, in dem erklärt wird, wie Sie das Laufwerk einrichten
• FAQ, um zu verstehen, was passiert

Zusammenfassung

Mit Armory Drive können Sie Massenspeicher unterschiedlicher Grösse unabhängig vom verwendeten Betriebssystem (ich verwalte Daten unter Windows, Linux, macOS und iPadOS) sicher machen, und das zu relativ geringen Kosten.

Obwohl es im Gegensatz zu einem FIPS140-2L3-zertifizierten iStorage datAshur an physischen Schutzmechanismen mangelt, ist Armory Drive zu meiner ersten Wahl geworden, wenn es um die Sicherheit von transportablen Massenspeichern geht. Die Lösung ist gut dokumentiert, elegant und einfach zu bedienen und ich kann sie nur jedem empfehlen, der Daten sicher transportieren muss.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://apps.apple.com/rw/app/f-secure-armory-drive/id1571708524
• https://github.com/usbarmory/armory-boot
• https://github.com/usbarmory/armory-drive
• https://github.com/usbarmory/armory-drive/wiki/Frequently-Asked-Questions-%28FAQ%29
• https://github.com/usbarmory/armory-drive/wiki/Specifications
• https://github.com/usbarmory/armory-drive/wiki/Tutorial
• https://github.com/usbarmory/tamago
• https://inversepath.com/usbarmory
• https://inversepath.com/usbarmory.html