DeviceEncryption

Inhaltsverzeichnis

Wie sicher ist sicher ?
Verschlüsselung erzwingen
Weitere Links

Immer mehr mobile Geräte ziehen in Firmen und Privathaushalte ein, die natürlich per ActiveSync sich auch mit dem Postfach abgleichen können. Mail ist aber nicht mehr alles und im Postfach vieler Personen befinden sich schützenswerte Daten. für PCs gibt es natürlich Bitlocker oder Verschlüsselte Festplatten. Weniger stark sind z.B. Kennworte auf Festplatten. Ungeeignet sind Bios-Kennworte.

Bei Mobilgeräten gibt es meist keine tauschbare Festplatte aber dafür SD-Karten-Steckplätze, auf denen Daten liegen können. Auch wenn Geräte für den Anwender nicht zu öffnen sind, so kann ein Angreifer sehr wohl ein Gerät öffnen. Teilweise ist sogar über den USB-Anschluss ein Zugriff auf das Geräte unter umgehung der Schutzfunktionen möglich. Insbesondere wenn auf dem Gerät ein Debugging-Mode (Android) aktiv ist oder das Gerät vorher geROOTed (oder JailBreak) wurde. Eine Verschlüsselung kann daher nur so gut sein, wie die schwächste Komponente.

Da niemand beim Start eines Geräts lange Kennworte eingibt, sind die Schlüssel zur Verschlüsselung immer mit auf dem Gerät gespeichert aber durch die PIN gesichert, die natürlich als erstes durch eine Richtlinie vorgeschrieben werden sollte. Solange das Gerät nach einer bestimmten Menge an Fehlersuchen den Masterkey (IOS) oder sich selbst komplett (z.B. Symbian) löscht, ist ein Fremdzugriff zumindest erschwert. Der Anwender muss seine Pin natürlich entsprechend gegen Ausspähen sichern.

Kritisch wird es, wenn über einen Seiteneingang der Speicher ausgelesen werden kann. So kann ein Angreifer eine Kopie der verschlüsselten Daten samt per PIN gesicherten Key erhalten und dann offline unter Umgehung eines Zählers alle PIN-Varianten durchgehen, bis der Key passt. Normale Arbeitsplatzrechner mit Windows Bitlocker können den Key z.B.: in einem TPM-Chip ablegen, der diesen nur bei unveränderter Startkonfiguration freigibt. für Mobiltelefone sind die Informationen zum Schutz eher dünn gesät und ein Stück weit muss man den Versprechen der Hersteller glauben.

Gerätetyp	Device Encryption	Speicherkarte	per EAS Policy erzwingen	Aktivierung	Reversibel	SideAttack
Apple IOS6	Per Default aktiv Key durch PIN gesichert Wipe löscht einfach Key	Nicht vorhanden	Ja	Still Wir ohne Rückfrage angewendet. fehlende PIN wird aber angefordert-. System ist ja schon verschlüsselt.	Nein	?
Android 2	Nicht verfügbar	nicht verfügbar	Blockierung	Verbindung gar nicht möglich.	Entfällt	Entfällt
Android 3	Teilweise verfügbar	nicht getestet	nicht getestet	nicht getestet	Nicht getestet
Android4 (Nexus 4)	Per Default NICHT aktiv Durch Anwender aktivierbar	Nicht vorhanden (Nexus 4)	Teilweise Nicht alle Geräte unterstützen Encryption	Rückfrage Kein Sync mehr bis Verschlüsselung durch Anwender ausgeführt 80% Akku erforderlich Reboot und ca. 1h Verschlüsselung	Reset auf Werkseinstellungen	Kennwort kann ohne Limit wiederholt werden.
Windows Mobile 6.5 (Omnia 2)	Per Default nicht aktiv	Ja	Ja	Benutzer bekommt eine Information, dass ein Neustart des Telefons erforderlich ist. Synchronisation ist in der Zwischenzeit aber weiterhin möglich.	Reset auf Werkseinstellungen	Pin kann unbegrenzt wiederholt werden. 4 Stellen = 10.000 Pins a 10 Sek = 27h Arbeit.
Windows Mobile 7.5 (LG E900)	NICHT möglich !	Im LG Optimus nicht vorhanden	Blockierung	Gerät kann nicht verschlüsseln, ActiveSync nicht möglich.	Entfällt	?
Windows Phone 8	Per Default nicht aktiv	Nicht verschlüsselt	Ja	Wird ohne Rückfrage angewendet.	Nein	?
Symbian (Nokia E72)	Per Default nicht aktiv	Nicht getestet	Ja	Benutzer muss zustimmen. Verschlüsselung im Hintergrund.	Nein

Die gerätespezifischen Seiten sind in folgende Abschnitte gegliedert:

Aktivierung mit ActiveSync Richtlinie
Was bemerkt der Anwender, wenn per ActiveSync-Richtlinie die Verschlüsselung des Geräts erzwungen wird. Muss er zustimmen oder wird er nur informiert oder sieht er es nicht mal ?. Was passiert, wenn er nicht zustimmt ?
Verschlüsselung
Wie erfolgt die Verschlüsselung, nachdem der Anwender zugestimmt hat ?
Start
Wie verändert sich die Bedienung des Telefons beim Start durch die Verschlüsselung
Entschlüsselung
Wie bekommt ein Anwender die Verschlüsselung wieder vom Gerät herunter ?

Wie sicher ist sicher ?

Die Daten auf einem Telefon können noch so stark verschlüsselt sein, wenn der Masterkey nicht ausreichend geschützt ist. Alle mir bekannten Mobilgeräte nutzen dazu die Geräte-PIN, um diesen Key zu schützen und das Gerät sollte sich natürlich bei mehrfach falsch eingegebener PIN auch Löschen, die Eingabe verzögern oder sonst wie eine Brute-Force-Attacke unterbinden. Aber dann kann immer noch die eigentliche Geräte-Pin helfen, welche ja ebenfalls abgefragt wird und bei zu vielen Fehlversuchen das Gerät löscht.

Hinweis Android 4
Hier konnte ich die PIN unbeschränkt eingeben. Selbst die 30Sek-Sperre lässt sich beim Nexus 4 durch zweimaligen Druck der Sperrtaste rechts einfach zurücksetzen. Eine 4 stellige Pin ist mit etwas Übung auch per manuellem Brute Force schnell geknackt.

Ein zweiter Weg ist es, den Speicher des Smartphone zu kopieren, um dann z.B. offline mit einer Brute-Force-Attacke die PIN-Varianten durch zu gehen und zu prüfen, ob mit dem damit entschlüsselten Masterkey sinnvolle Daten erhalten werden können. Ich kann leider nicht immer auf dem "aktuellen Stand" der Angriffstechniken sein und sicher werden nicht alle Fachleute ihre Fähigkeiten öffentlich machen. Insofern bleibt immer ein Restrisiko das Sie vielleicht damit reduzieren können, dass Sie sie Anzahl der Daten auf dem Smartphone reduzieren und bei einem Verlust nicht nur das Gerät "Wipen", sondern auch gleich die Kennworte aller Dienste ändern, die Sie auf dem Smartphone vielleicht gespeichert haben. Da ist nicht nur ActiveSync, sondern sicher auch Facebook, Twitter etc.

Passwortklau durch gekühlten Speicher
http://www.heise.de/security/meldung/Passwortklau-durch-gekuehlten-Speicher-182603.html

Verschlüsselung erzwingen

Dennoch ist es natürlich auf jeden Fall ratsam einen Mindeststandard durch Richtlinien über ActiveSync oder andere Provisioning-Systeme (Siehe auch Mobile Device Management) durchzusetzen. Bei Exchange ist dies eine Checkbox in den ActiveSync Richtlinien

Ehe Sie die Einstellung nun an der "Default Policy" machen, sollten Sie vielleicht eine zweite Richtlinie anlegen und diese den Pilotbenutzern zuweisen. Das geht auch per PowerShell:

new-ActiveSyncMailboxPolicy `
   -Name 'EAS Encrypt'  `
   -AllowNonProvisionableDevices $false  `
   -DevicePasswordEnabled $true  `
   -AlphanumericDevicePasswordRequired $false  `
   -MaxInactivityTimeDeviceLock '00:10:00'  `
   -MinDevicePasswordLength '6'  `
   -PasswordRecoveryEnabled $true  `
   -RequireDeviceEncryption $true  `
   -AttachmentsEnabled $true  `
   -AllowSimpleDevicePassword $true  `
   -DevicePasswordExpiration 'unlimited'  `
   -DevicePasswordHistory '0' `
   -MaxDevicePasswordFailedAttempts '10'

Die Werte sollten Sie natürlich ihren Anforderungen entsprechend anpassen.

Hinweis:
Eine ActiveSync-Richtlinie kann immer nur an ein Postfach und nicht an ein Gerät gebunden werden. Achten Sie daher darauf, wenn ein Postfach mehrere Geräte verwendet, dass alle Geräte wie "erwartet" reagieren.

Weitere Links

Bitlocker
Applocker und SmartScreen
Mobile Device Management
The Essential Eight
https://www.cyber.gov.au/acsc/view-all-content/essential-eight/essential-eight-explained