In einem Hintergrundartikel in seinem Blog geht Microsoft davon aus, dass die Pre-Boot-Authentifizeriung, ein anerkanntes Identifizierungsverfahren bei der Verschlüsselung von Daten, nicht mehr notwendig ist. Falsch, sagt der Security-Experte Garry McCracken, Vice President of Technology Partnerships bei WinMagic.
In einem aktuellen Hintergrundartikel zur Verschlüsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, für die Festplattenverschlüsselung nicht mehr wirklich notwendig sei – solange andere Sicherheitsmaßnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden können.
Dem widerspreche ich. Eine Verschlüsselung ohne Pre-Boot-Authentifizierung ist in keiner Form vertraulich. Ein Computer mit einem selbstverschlüsselnden Laufwerk (SED) oder softwarebasierter Festplattenverschlüsselung (FDE), die ohne Nutzer-Validierung direkt mit einem Benutzerkonto startet, legt Daten vollständig offen und setzt sie dem Risiko zahlreicher Angriffe aus, darunter auch der kürzlich wiederauferstandene Kaltstartangriff. Dabei wird die Trägheit der Hardware, beispielsweise in Laptops, ausgenutzt. Unter bestimmten Bedingungen lassen sich aus der Hardware Verschlüsselungskeys auslesen und folglich auch die Daten auf der Festplatte. Ein Versuch von Pulse Security hat unlängst gezeigt, wie einfach sich das TPM mit Hardware für weniger als 50 Dollar und ein wenig Code-Wissen hacken lässt.
Warum ist die Pre-Boot-Authentifizierung so wichtig?
Die Pre-Boot-Authentifizierung stellt eine Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene zur Verfügung. Sie verhindert, dass Daten vom Laufwerk – einschließlich des Betriebssystems – ausgelesen werden, bis der Benutzer bestätigt hat, dass er die richtigen Zugangsdaten besitzt.
Ohne Pre-Boot-Authentifizierung wird zunächst das Betriebssystem hochgefahren und erst dann der Benutzer zur Authentifizierung aufgefordert. Diese Option verlässt sich auf die Betriebssystemsicherheit des Geräts, um sensible Daten zu schützen, was übrigens nicht mit einer der bekanntesten Compliance-Richtlinien, dem PCI DSS, konform ist.
Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung wäre unnötig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschlüsseln als danach.
Datenübergriffe gehen tiefer als bloß bis zur Hardware-Ebene
Auch wird behauptet, dass die Pre-Boot-Authentifizierung nur notwendig ist, um sich vor RAM Angriffen zu schützen, bei denen der Angreifer direkten Zugriff auf den RAM hat – entweder physisch oder über einen DMA-Port.
Das ist ebenso falsch. Speicherangriffe sind nicht die einzigen möglichen Angriffe. Ist Windows erst gestartet und das Laufwerk „entsperrt“, bietet die Festplattenverschlüsselung keinen kryptografischen Schutz mehr, der deutlich leistungsstärker ist als die native Betriebssystemsicherheit. Wenn man einen Computer automatisch bis zur Betriebssystem-Eingabeaufforderung booten lässt, vertraut man ganz auf die Sicherheit von Betriebssystem und Geräte-Hardware. Man muss sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems Angreifer fernhält und, dass das Gerät keine Daten über LAN, WAN oder andere Ports oder Verbindungen nach außen lässt. Und das, obwohl der Datenverschlüsselungs-Key im Klartext im Speicher vorhanden ist und alle Daten lesbar sind.
Moderne Betriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex. Auch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie eine riesige Angriffsfläche mit unzähligen potenziell unbekannten Schwachstellen. Es ist sehr schwierig, wenn nicht gar unmöglich, ein angemessenes Maß an Sicherheit zu schaffen, damit eine Authentifizierung vor der Entschlüsselung überflüssig wird.
Sicherheit versus Benutzerfreundlichkeit
Die Argumentation gegen die Pre-Boot-Authentifizierung scheint mehr auf Benutzerfreundlichkeit und hohen Gesamtbetriebskosten als auf Sicherheitsgründen zu beruhen. Kurz: Eine Authentifizierung mittels kryptischen PINs oder Startup-Keys, und das immer und immer wieder, ist sehr unkomfortabel, wenn diese von Hand eingegeben werden müssen. Die Bearbeitung von Support-Anfragen von Nutzern, die ihren PIN vergessen oder ihren Startup-Key verloren haben, würde zu viel Zeit und Mühe kosten.
Das mag stimmen. Es bedeutet aber nicht, dass die Sicherheits- und Compliance-Standards gesenkt werden sollten, um die potenziell hohen Gesamtbetriebskosten der Pre-Boot-Authentifizierung zu vermeiden. Vielmehr sollten Unternehmen darauf achten, PBA-Lösungen einzusetzen, die diese Probleme bereits gelöst haben, etwa indem die PBA im Hintergrund und automatisiert, das heißt ohne manuelle Eingabe von PINs oder Einstecken von Startup-Keys, abläuft.
Die Pre-Boot-Authentifizierung ist und bleibt ein wichtiger Bestandteil jeder Datenverschlüsselungslösung.
Der Autor Garry McCracken verantwortet den Technologie-Bereich bei WinMagic und ist anerkannter Security-Experte mit jahrzehntelanger Erfahrung in der Verschlüsselung von Daten.
www.winmagic.com/de