daenni
Goto Top

Festplattenverschlüsselungs Algorithmen

Benötige Rat zur Festplattenverschlüsselung

Hallo zusammen,

ich benötige mal eben ein paar Kurzinfos zu folgenden Themen:

Ich würde gerne ein paar Notebooks verschlüsseln, bzw habe es schon vollzogen.

Hierbei kommt zur Auswahl SafeGuard Enterprise.

Nun stelle ich mir die Frage: wie sicher ist AES128? Wie sicher ist AES256?
DES, IDEA, Blowfish....
Welche Vor und Nachteile bringen diese Verfahren?

Ich habe nun mal AES128 versucht... klappt einwandfrei und mir ist es bekannt.
Gibt es Performanceunterschiede?
Wie kann ich beim Kunden argumentieren, dass AES128 wahrscheinlich reichen wird?

Wenn man zB für AES128 schon 100 Jahre bräuchte um den Schlüssel zu knacken, dann reicht es doch aus?
Zumal man mindestens 7 Zeichen eingeben muss als Kennwort.

Über eine Information bzw Quellen würde ich mich freuen.

Vielen Dank im voraus,

Daenni

Content-ID: 107047

Url: https://administrator.de/contentid/107047

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

DerWoWusste
DerWoWusste 25.01.2009 um 17:22:44 Uhr
Goto Top
Dies Thema ist nicht zu unterschätzen. Drei Dinge würde ich Dir raten, zunächst mal sicherzustellen:
-Benutzbarkeit: Wollen Benutzer so arbeiten? Wie bewahren Sie das Kennwort auf? Wie sieht eine Wiederherstellung bei Kennwortverlust aus?
-Backup und Wartung: Zugriff von DOS aus geht somit verloren, sollte mal von DOS aus ein Kennwort ausgehebelt werden müssen (weil sich sonst keiner anmelden kann) ist zunächst mal nichts möglich. Eventuelle Offlinebackups/Recoveries werden erschwert bis unmöglich
-Angreifbarkeit: Jedes verschlüsselte Notebook, was noch hochfährt ohne Kennworteingabe kann auf zwei Arten geknackt werden: Netzwerkangriff auf ungepatchte Sicherheitslücken (und die ergeben sich nach Diebstahl spätestens nach einiger Zeit von selbst) und zum anderen Angriff über Firewire. Beides zeigt also eindeutig auf die Notwendigkeit einer Prebootauthentifizierung mit Kennwort. Ich schätze, Safeguard N fordert dies.

Zu Deinen Fragen: Sicherheit - Ist das Kennwort stark, ist die Sicherheit gut. Welches Verfahren den Angreifer jetzt drei oder vier oder 100 Jahre abhält, sollte eigentlich nicht die Frage sein. Truecrypt meckert zum Beispiel bei Kennwörtern unter 20 Zeichen noch rum - will man sowas eingeben müssen?
Zum Argumentieren beim Kunden - Stell den Wert der Daten einer Abschätzung der Angriffsdauer und Mittel gegenüber. Kryptoexperte ist keiner von Euch, strapaziert diese Diskussion nicht über.
Performance: variiert abhängig vom Produkt leicht. Kenne selbst Bitlocker und Truecrypt 5/6. Es bremst die "Leistung" um ca. 10% oder weniger, wobei das erstmal gemessen werden will (CPU-Last, Lesegeschwindigkeit der Platte). Vermutlich kaum merkbar.

Nun noch was Interessantes: Seagate bietet bei fast allen neuen Platten ohne großartigen Aufpreis eine eingebaute Verschlüsselung an. Klingt einfach und praktisch und wird von der NSA befürwortet und eingesetzt. Auch andere Hersteller ziehen derweil nach. Dies ist ein anderes Verfahren als ATA-Security, welches als problemlos knackbar gilt.
Daenni
Daenni 25.01.2009 um 18:50:23 Uhr
Goto Top
Vielen Dank für die Erläuterung.

Klar, dass der Zugriff bei Kennwortverlust erstmal nicht möglich ist sollte jedem klar sein.
Selbst wenn der PC eine Macke hat ist es schon ein Problem.

Bei SafeGuard gibt es die Möglichkeit per BartPE CD zu booten und dann Daten zu retten.
Nur, wenn ein Außendienstmitarbeiter das Notebook mit auf eine Rennveranstaltung nimmt: was ist wahrscheinlicher?
Dass die Festplatte bzw das Notebook den Geist aufgibt, oder jemand das Notebook klaut.
Geht man mal von dem Fall aus, dass es nicht herunter fällt.

Sollte es doch mal zu diesem Fall kommen, dass das NB beschädigt ist, dann hat man so oder so schlechte Karten.
Da wiederum hilft eine VPN Verbindung zum Firmennetzwerk.

Ich rede hier ja nicht von Bildern des letzten erotischen Urlaubes, sondern Daten, die für die Konkurrenz interessant sein dürfte.

Zu den drei Fragen: die Benutzer müssen so arbeiten, ob sie wollen oder nicht. Und ob man sich nun mit einem Kennwort während der PBA (wie oben angesprochen) anmeldet, oder direkt unter Windows.... sollte ja mal egal sein.
Die Daten werden regelmäßig auf dem Server gesichert... die stationären PC sichern eh alles auf dem Server.
Wie gesagt, es geht hier "nur" um ein paar Notebooks die vorsichtshalber verschlüsselt werden.
Ich denke auch, dass selbst bei Verlust des Passwortes o.ä. Utimaco zur Hilfe eilen wird.

Danke bis hier hin face-smile

Daenni
DerWoWusste
DerWoWusste 25.01.2009 um 19:09:00 Uhr
Goto Top
Utimaco kann nur zur Hilfe eilen, wenn Sie eine Backdoor (=Generalschlüssel) eingebaut hätten. Sollte das so sein (höchst verschwörerischer Ansatz), dann um selbst wirtschaftlichen Nutzen daraus zu ziehen, nicht um Datenrettung für Kunden zu betreiben. Aber egal.
Meine Kernaussage sollte sein: Wenn Ihr wirklich hochsicher arbeiten wollt, dann auf jeden Fall PBA und ein komplexes langes Kennwort. Außerdem finde ich Seagates hardwarebasierte Variante sehr gut und weitaus günstiger und weniger aufwendig im Vergleich zu Utimaco.
Abgesehen davon ist Safeguard von Utimaco sicher eine gute Wahl. Safeguard Easy ist sogar für VS-NfD BSI-zugelassen - als bislang einziges Produkt weltweit, soweit ich weiß. SGN strebt diese Zertif. noch an. [Edit] Ach, doch, da war noch ein zweites: Compumatica hieß die Firma.
Daenni
Daenni 25.01.2009 um 19:20:40 Uhr
Goto Top
SafeGuard ist ja schon im Produktiveinsatz.
Hintertürchen bezweifel ich... aber zumindest Datenrettung wenn die Festplatte mal umgebaut werden muss o.ä... siehe BartPE CD.

Ich möchte nur die Fragen klären die mich erwarten: Warum diese Verschlüsselung und keine andere.

Da es mich auch interessiert habe ich diesen Thread eröffnet ;)