• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Das Apple iPhone, der Riesen-Flop - So kann man si ...

von Carsten Drees

Next Story
Gefunden: ASUS ZenBook Flip UX360 Tester!

von ASUS

TrustZone: Design-Problem in Androids Verschlüsselung

Auf aktuellen Smartphones werden die Daten der Nutzer verschlüsselt - dabei gibt es ein grundsätzliches Problem bei der Android-Verschlüsselung, die diese leichter angreifbar macht, als die Lösung von Apple.

von Carsten Dobschat am 5. Juli 2016
  • Email
  • @dobschat

Grundsätzlich wird für die Verschlüsselung der Daten auf Smartphones erst einmal der Zugangscode des Nutzers verwendet. Dieser ist aber typischerweise recht kurz, meisten vier oder sechs Ziffern, die man auch schnell eingeben kann. So oft, wie man täglich sein Smartphone entsperrt, möchte man nur ungern kryptische – aber sichere – Passwörter eingeben. Nachteil dieser kurzen Codes: sie sind für etwas leistungsfähigere Hardware recht schnell über eine Brute-Force-Attacke zu knacken: Es werden einfach der Reihe nach alle möglichen Kombinationen durchprobiert.

Um die Verschlüsselung also weiter zu verbessern, wird dieser Passcode sowohl bei iOS als auch bei Android mit einem eindeutigen Hardware-Schlüssel kombiniert. Dieser Hardware-Key ist für jedes Gerät eindeutig und entsprechend lang, so dass die Verschlüsselung als sicher gelten kann. Und so lange dieser Hardware-Key sicher in der jeweiligen Hardware steckt, kann man auch keine externe Hardware, wie zum Beispiel einen PC oder sogar spezialisierte Cracking-Systeme verwenden, um den Passcode zu knacken. Schließlich muss man in diesem Fall jede mögliche Kombination noch selbst auf dem Gerät eingeben.

Das führt dann zu Verzögerungen bei jeder Falscheingabe und unter Umständen auch nach einer bestimmten Zahl an Falscheingaben zur Löschung des ganzen Geräts. Übrigens: Diese Sperren waren bei iPhones – wie dem berühmten iPhone 5C – ohne Touch ID noch in der Software umgesetzt und kann daher unter bestimmten Voraussetzungen umgangen werden.

Die Sicherheit der Verschlüsselung steht und fällt also am Ende mit der Sicherheit des Hardware-Keys. Während dieser bei iOS-Geräten fest in der Hardware verankert und nicht auszulesen ist, wird dieser bei Android-Geräten in der sog. „TrustZone“ gespeichert und kann auch von dort ausgelesen werden. Dafür gibt es zwei Möglichkeiten: Entweder durch entsprechend signierte Software des Herstellers dieser TrustZone oder eben durch Sicherheitslücken in der Software.

Sicherheitslücken sind natürlich immer möglich, das steht außer Frage. Und natürlich wäre es auch möglich, dass es irgendwo bei Apple eine Lücke gibt, durch die die Hardware-UUID (der Key) ausgelesen werden könnte, auch wenn eine solche Lücke natürlich nicht ganz so wahrscheinlich ist, wenn es gar nicht erst per Software möglich ist, diesen Key auszulesen. Es ist statistisch wahrscheinlicher eine Lücke in einem System zu finden, das einen Zugriff unter bestimmten Bedingungen erlaubt, als in einem System, das gar nicht erst einen Zugriff ermöglicht.

Und das ist das Design-Problem in der Verschlüsselung unter Android: Der Hersteller kann auf den verwendeten Hardware-Key mit entsprechender Software zugreifen und ihn auslesen, damit kann man den Vorgang der Entschlüsselung eines Geräts vom Gerät selber trennen und zum Beispiel auf eine spezialisierte Hardware auslagern. Gal Beniamini zeigt in seinem Posting sehr detailliert wie das funktionieren kann. Die technischen Infos sind durchaus spannend – wenn man sich dafür interessiert.

Dabei ist natürlich eine Sache, dass ein Angreifer über eine Sicherheitslücke – von denen es schon welche gab – Zugriff auf den Hardware-Keys bekommt, eine ganz andere Sache ist es aber, wenn ein staatlich legitimierter Angreifer per richterlicher Verfügung o. ä. über den Hersteller der Hardware an den Key gelangt oder sogar eine Software bekommt, um die Keys selbst auszulesen. Und das ist das Design-Problem an der Verschlüsselung – zumindest aus Sicht eines Nutzers, der die maximale Sicherheit für die Verschlüsselung will: Der Hardware-Key ist unter bestimmten Voraussetzungen nicht an die Hardware gebunden, sondern kann ausgelesen und auf anderer Hardware für einen Angriff auf die Verschlüsselung verwendet werden.

Gal Beniamini fasst die Probleme in vier Punkten zusammen:

  • The key derivation is not hardware bound
  • OEMs can comply with law enforcement to break Full Disk Encryption
  • Patching TrustZone vulnerabilities does not necessarily protect you from this issue
  • Android FDE is only as strong as the TrustZone kernel or KeyMaster

Aus Sicht von Behörden mit einem Interesse am Zugriff auf solche Daten, handelt es sich dabei natürlich nicht um eine Design-Schwäche der Verschlüsselung, sondern um einen Vorteil gegenüber einem Hardware-Key, der nicht extrahiert werden kann. Ohne darüber diskutieren zu wollen, ob es sich ggf. um ein legitimes Interesse an den Daten auf solchen Geräten handelt, sagt uns die Erfahrung, dass solche Hintertüren – und nichts anderes ist die Möglichkeit über eine passende Software des OEM an den Hardware-Key zu kommen – mit sehr großer Wahrscheinlichkeit früher oder später auch von Menschen benutzt werden, für die diese nicht gedacht waren.

Damit ist jetzt die Android-Verschlüsselung nicht wirkungslos, das ist sicher nicht der Fall, aber für jemanden, der Zugriff auf das jeweilige Gerät hat, ist es ein Stück leichter, die Verschlüsselung zu knacken, als es das bei einem iPhone ist. Wenn es nur um Strafverfolger und Geheimdienste ginge, dann könnten sich mehr als 99% aller Smartphone-Benutzer entspannt zurücklehnen, da sich aus der Richtung kaum einer für die Inhalte ihrer Geräte interessieren dürften. Aber die Daten, die wir täglich mit uns rumtragen, sind natürlich auch für andere Menschen von Interesse und diese Menschen werden sich bestimmt bereits intensiv mit dieser Möglichkeit eines Angriffs auf die Verschlüsselung beschäftigen.

via Heise Security

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Android Security
Google
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
3. Februar 2022
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
21. Januar 2022
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
Neueste Tests
6.0
Das Huawei Nova 9 könnte ein perfekter Begleiter sein, durch den Einsatz von EMUI 12 muss man als de ...
Huawei Nova 9 im Test: Eine ausgezeichnete Ausstattung ist nicht alles
22. November 2021
Huawei Nova 9 im Test: Eine ausgezeichnete Ausstattung ist nicht alles
7.3
Das realme GT Neo 2 ist ein Budget-Smartphone, welches mit einer guten Ausstattung auftrumpfen kann. ...
Realme GT Neo 2 im Test: Starkes Budget-Smartphone, mittelmäßige Kamera
15. November 2021
Realme GT Neo 2 im Test: Starkes Budget-Smartphone, mittelmäßige Kamera
8.3
Das Realme GT ist, je nachdem welche Art von Smartphone-Nutzer entweder ein Top Smartphone, was man ...
Realme GT – Ein Flaggschiff zum Mittelklasse-Preis?
17. Juli 2021
Realme GT – Ein Flaggschiff zum Mittelklasse-Preis?
8.0
Das Sony Xperia 10 III ist ein Mittelklasse-Smartphone mit vielen Stärken. Im Kampf gegen die Androi ...
Sony Xperia 10 III im Test: Ausgezeichnet, aber nicht außergewöhnlich
30. Juni 2021
Sony Xperia 10 III im Test: Ausgezeichnet, aber nicht außergewöhnlich

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

GOOGLE
Google verspricht transparente Entwicklung von neuen Trackings-Standards
Google verspricht transparente Entwicklung von neuen Trackings-Standards
Google verändert weißes Rauschen und verärgert Kunden
Google verändert weißes Rauschen und verärgert Kunden
Google platziert Scam-Webseiten prominent in der eigenen mobilen Suche
Google platziert Scam-Webseiten prominent in der eigenen mobilen Suche
Russland erteilt Geldstrafen gegen große US-Technologiekonzerne
Russland erteilt Geldstrafen gegen große US-Technologiekonzerne
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing