DeviceEncryption

Immer mehr mobile Geräte ziehen in Firmen und Privathaushalte ein, die natürlich per ActiveSync sich auch mit dem Postfach abgleichen können. Mail ist aber nicht mehr alles und im Postfach vieler Personen befinden sich schützenswerte Daten. für PCs gibt es natürlich Bitlocker oder Verschlüsselte Festplatten. Weniger stark sind z.B. Kennworte auf Festplatten. Ungeeignet sind Bios-Kennworte.

Bei Mobilgeräten gibt es meist keine tauschbare Festplatte aber dafür SD-Karten-Steckplätze, auf denen Daten liegen können. Auch wenn Geräte für den Anwender nicht zu öffnen sind, so kann ein Angreifer sehr wohl ein Gerät öffnen. Teilweise ist sogar über den USB-Anschluss ein Zugriff auf das Geräte unter umgehung der Schutzfunktionen möglich. Insbesondere wenn auf dem Gerät ein Debugging-Mode (Android) aktiv ist oder das Gerät vorher geROOTed (oder JailBreak) wurde. Eine Verschlüsselung kann daher nur so gut sein, wie die schwächste Komponente.

Da niemand beim Start eines Geräts lange Kennworte eingibt, sind die Schlüssel zur Verschlüsselung immer mit auf dem Gerät gespeichert aber durch die PIN gesichert, die natürlich als erstes durch eine Richtlinie vorgeschrieben werden sollte. Solange das Gerät nach einer bestimmten Menge an Fehlersuchen den Masterkey (IOS) oder sich selbst komplett (z.B. Symbian) löscht, ist ein Fremdzugriff zumindest erschwert. Der Anwender muss seine Pin natürlich entsprechend gegen Ausspähen sichern.

Kritisch wird es, wenn über einen Seiteneingang der Speicher ausgelesen werden kann. So kann ein Angreifer eine Kopie der verschlüsselten Daten samt per PIN gesicherten Key erhalten und dann offline unter umgehung eines Zählers alle PIN-Varianten durchgehen, bis der Key passt. Normale Arbeitsplatzrechner mit Windows Bitlocker können den Key z.B.: in einem TPM-Chip ablegen, der diesen nur bei unveränderter Startkonfiguration freigibt. für Mobiltelefone sind die Informationen zum Schutz eher dünn gesät und ein Stück weit muss man den Versprechen der Hersteller glauben.

Gerätetyp Device Encryption Speicherkarte per EAS Policy erzwingen Aktivierung Reversibel SideAttack

Apple IOS6

Per Default aktiv
Key durch PIN gesichert
Wipe löscht einfach Key

Nicht vorhanden

Ja

Still
Wir ohne Rückfrage angewendet. fehlende PIN wird aber angefordert-.
System ist ja schon verschlüsselt.

Nein

?

Android 2

Nicht verfügbar

nicht verfügbar

Blockierung

Verbindung gar nicht möglich.

Entfällt

Entfällt

Android 3

Teilweise verfügbar

nicht getestet

nicht getestet

nicht getestet

Nicht getestet

 

Android4
(Nexus 4)

Per Default NICHT aktiv
Durch Anwender aktivierbar

Nicht vorhanden (Nexus 4)

Teilweise
Nicht alle Geräte unterstützen Encryption

Rückfrage
Kein Sync mehr bis Verschlüsselung durch Anwender ausgeführt
80% Akku erforderlich
Reboot und ca. 1h Verschlüsselung

Reset auf Werkseinstellungen

Kennwort kann ohne Limit wiederholt werden.

Windows Mobile 6.5
(Omnia 2)

Per Default nicht aktiv

Ja

Ja

Benutzer bekommt eine Information, dass ein Neustart des Telefons erforderlich ist. Synchronisation ist in der Zwischenzeit aber weiterhin möglich.

Reset auf Werkseinstellungen

Pin kann unbegrenzt wiederholt werden. 4 Stellen = 10.000 Pins a 10 Sek = 27h Arbeit.

Windows Mobile 7.5
(LG E900)


NICHT möglich !

Im LG Optimus nicht vorhanden

Blockierung

Gerät kann nicht verschlüsseln, ActiveSync nicht möglich.

Entfällt

?

Windows Phone 8

Per Default nicht aktiv

Nicht verschlüsselt

Ja

Wird ohne Rückfrage angewendet.

Nein

?

Symbian
(Nokia E72)

Per Default nicht aktiv

Nicht getestet

Ja

Benutzer muss zustimmen. Verschlüsselung im Hintergrund.

Nein

 

Die gerätespezifischen Seiten sind in folgende Abschnitte gegliedert:

  • Aktivierung mit ActiveSync Richtlinie
    Was bemerkt der Anwender, wenn per ActiveSync-Richtlinie die Verschlüsselung des Geräts erzwungen wird. Muss er zustimmen oder wird er nur informiert oder sieht er es nicht mal ?. Was passiert, wenn er nicht zustimmt ?
  • Verschlüsselung
    Wie erfolgt die Verschlüsselung, nachdem der Anwender zugestimmt hat ?
  • Start
    Wie verändert sich die Bedienung des Telefons beim Start durch die Verschlüsselung
  • Entschlüsselung
    Wie bekommt ein Anwender die Verschlüsselung wieder vom Gerät herunter ?

Wie sicher ist sicher ?

Die Daten auf einem Telefon können noch so stark verschlüsselt sein, wenn der Masterkey  nicht ausreichend geschützt ist. Alle mir bekannten Mobilgeräte nutzen dazu die Geräte-PIN, um diesen Key zu schützen und das Gerät sollte sich natürlich bei mehrfach falsch eingegebener PIN auch Löschen, die Eingabe verzögern oder sonst wie eine Brute-Force-Attacke unterbinden. Aber dann kann immer noch die eigentliche Geräte-Pin helfen, welche ja ebenfalls abgefragt wird und bei zu vielen Fehlversuchen das Gerät löscht.

Hinweis Android 4
Hier konnte ich die PIN unbeschränkt eingeben. Selbst die 30Sek-Sperre lässt sich beim Nexus 4 durch zweimaligen Druck der Sperrtaste rechts einfach zurücksetzen. Eine 4 stellige Pin ist mit etwas Übung auch per manuellem Brute Force schnell geknackt.

Ein zweiter Weg ist es, den Speicher des Smartphone zu kopieren, um dann z.B. offline mit einer Brute-Force-Attacke die PIN-Varianten durch zu gehen und zu prüfen, ob mit dem damit entschlüsselten Masterkey sinnvolle Daten erhalten werden können. Ich kann leider nicht immer auf dem "aktuellen Stand" der Angriffstechniken sein und sicher werden nicht alle Fachleute ihre Fähigkeiten öffentlich machen. Insofern bleibt immer ein Restrisiko das Sie vielleicht damit reduzieren können, dass Sie sie Anzahl der Daten auf dem Smartphone reduzieren und bei einem Verlust nicht nur das Gerät "Wipen", sondern auch gleich die Kennworte aller Dienste ändern, die Sie auf dem Smartphone vielleicht gespeichert haben. Da ist nicht nur ActiveSync, sondern sicher auch Facebook, Twitter etc.

Verschlüsselung erzwingen

Dennoch ist es natürlich auf jeden Fall ratsam einen Mindeststandard durch Richtlinien über ActiveSync oder andere Provisioning-Systeme (Siehe auch Mobile Device Management) durchzusetzen. Bei Exchange ist dies eine Checkbox in den ActiveSync Richtlinien

Ehe Sie die Einstellung nun an der "Default Policy" machen, sollten Sie vielleicht eine zweite Richtlinie anlegen und diese den Pilotbenutzern zuweisen. Das geht auch per PowerShell:

new-ActiveSyncMailboxPolicy `
   -Name 'EAS Encrypt'  `
   -AllowNonProvisionableDevices $false  `
   -DevicePasswordEnabled $true  `
   -AlphanumericDevicePasswordRequired $false  `
   -MaxInactivityTimeDeviceLock '00:10:00'  `
   -MinDevicePasswordLength '6'  `
   -PasswordRecoveryEnabled $true  `
   -RequireDeviceEncryption $true  `
   -AttachmentsEnabled $true  `
   -AllowSimpleDevicePassword $true  `
   -DevicePasswordExpiration 'unlimited'  `
   -DevicePasswordHistory '0' `
   -MaxDevicePasswordFailedAttempts '10'

Die Werte sollten Sie natürlich ihren Anforderungen entsprechend anpassen.

Hinweis:
Eine ActiveSync-Richtlinie kann immer nur an ein Postfach und nicht an ein Gerät gebunden werden. Achten Sie daher darauf, wenn ein Postfach mehrere Geräte verwendet, dass alle Geräte wie "erwartet" reagieren.

Weitere Links