Festplattenverschlüsselung
Linux bietet verschiedene Ansätze, um Festplatten zu verschlüsseln. Im Unter- nehmensumfeld kommt meist die Vollverschlüsselung einer kompletten Partition in Betracht, auf die auch wir uns fokussieren.
Unabhängig von dem eingesetzten Produkt ist darauf zu achten, dass alle Partitionen, die sensible Daten tragen könnten, verschlüsselt werden. Dies umfasst nicht nur HOME-Partitionen, sondern auch Swap-Partitionen, in denen Abbilder des RAMs zurückbleiben können, aber auch Partitionen, die das /tmp- oder - um jegliche Form des Data-Mining zu verhindern - das /var- oder Teile des /etc-Verzeichnisses beinhalten.
LUKS (Linux Unified Key Setup)
Die interessanteste Lösung ist unserer Meinung nach LUKS, das wie vergleichbare kommerzielle Produkte aus dem Windows-Umfeld die Möglichkeit bietet, den Verschlüsselungskey mit verschiedenen Passphrases geschützt abzulegen. Auf diese Weise können verschiedene Personen mit individuellen Schlüsseln Zugriff auf eine verschlüsselte Partition erhalten. Somit lassen sich die Zugriffsrechte einzelner Personen auch gezielt wieder entziehen, beispielsweise wenn ein Mitarbeiter die Firma verlässt.
LUKS ist eine Erweiterung für die Funktion dm_crypt. Der device mapper (dm) mappt dabei eine echte Partition (bspw. /dev/hda2) auf eine temporäre (bspw. /dev/mapper/home), welche nun am eigentlichen Mountpoint eingehängt und gelesen werden kann.
Wenn Sie die Sicherheit Ihrer Festplattenverschlüsselung weiter erhöhen möchten, lesen Sie weiter wie Sie durch die Nutzung von LUKS mit eToken das Schlüsselmaterial sicher auf einem externen Hardware-Token speichern können.
eCryptfs
eCrypts verschlüsselt keine kompletten Partitionen, sondern Verzeichnisse. Dabei wird ein Verzeichnis für die verschlüsselten Daten definiert, welches dann an dem endgültigen Mountpoint eingehängt werden kann.
Wenn das Verzeichnis wieder ausgehängt wird, kann man weiterhin auf die Daten zugreifen, aber sie nicht mehr im Klartext lesen. Auf diese Weise lassen lassen sich leicht Backups der verschlüsselten Daten anlegen. Die Verschlüsselungsinformationen liegen als Metadaten vor einer jeden Datei, sodass ein Restore durch einfaches Kopieren der Daten möglich ist.
Ein Einsatzbereich von eCryptfs ist die Content Encryption. So kann beispielsweise auf einem Fileserver ein Verzeichnis verschlüsselt sein. Dieses wird via SMB oder NFS auf dem Client eingehängt, wobei das Verzeichnis weiterhin verschlüsselt bleibt. Schließlich wird das so eingehängte Verzeichnis nochmals an den endgültigen Mountpoint gehängt, sodass auf die Daten entschlüsselt zugegriffen werden kann. Die Ver- und Entschlüsselung erfolgt demnach auf dem Client und die Daten werden verschlüsselt über das Netzwerk übertragen.
Weitere Verschlüsselungsmöglichkeiten sind die mit loopAES.
Rolle der LSE
Die LSE ist bei allen Fragen rund um die Verschlüsselung sensitiver Daten Ihr zuverlässiger Partner. Unsere Expertise geht über die Auswahl, Anpassung und Implementierung der Produkte weit hinaus.
Projekte zur Datenverschlüsselung stellen große Herausforderungen an die Projektplanung, gilt es doch alle möglichen Anwendungsszenarien zu berücksichtigen und die geeigneten Rechte- und Rollenmodelle zu definieren. Schließlich soll nicht jeder in der Lage sein, einen vorgeblich verlorenen Schlüssel zum Zugriff auf die Finanz- oder Entwicklungsdaten des Unternehmens einfach so wiederherstellen zu können. Profitieren Sie daher von unserer jahrelangen Erfahrung als Sicherheitsberater. Große Konzerne zählen dabei ebenso zu unseren Kunden wie spezialisierte, mittelständische Unternehmen oder Forschungseinrichtungen.
Gerade bei der Festplattenverschlüsselung ist die Sicherheit der Schlüssel eine Kernfrage. Bei der Nutzung von LUKS kann hierzu der Verschlüsselungskey auf den Smartcardtoken ausgelagert werden, muss aber für die Entschlüsselung wieder vom Token ausgelesen und zurück auf den Rechner übertragen werden, was eine potentielle Sicherheitslücke darstellt.
Es fehlt derzeit unter Linux ein Produkt, welches sich einer assymetrischen Verschlüsselung des Encryption-Keys bedient, wobei der private Schlüssel den eToken nicht mehr verlassen kann. Unter LUKS wären hierzu erhebliche Code-Erweiterungen notwendig.
Wir bleiben in dieser Frage für Sie am Ball.
