Festplatten- und Dateiverschlüsselung
Schutz für Nutzer von Kaspersky Endpoint Security (Business)
Kaspersky Endpoint Security for Windows verfügt über integrierte Tools zur Datenverschlüsselung. Diese Tools arbeiten auf der Basis von Richtlinien aus dem Kaspersky Security Center, dem Administrator-Programm zur Verwaltung einer von Kaspersky-Sicherheitsprodukten geschützten Unternehmensinfrastruktur.
Full-Disk-Verschlüsselung (FDE) verhindert Datenlecks bei Verlust eines Laptops oder einer externen Festplatte. Wenn ein Datenträger verschlüsselt ist, können unbefugte Benutzer ihn weder booten noch die darauf befindlichen Daten lesen.
File-Level-Verschlüsselung (FLE) schützt Dateien während der Übertragung über nicht vertrauenswürdige Kanäle. Benutzer, die laut Verschlüsselungsrichtlinie zugriffsberechtigt sind, sehen die Dateien unverschlüsselt.
Verschlüsselungsrichtlinien
Die Administratoren des Kaspersky Security Center können über Verschlüsselungsrichtlinien festlegen, dass Firmencomputer, die durch Kaspersky Endpoint Security geschützt sind, verschlüsselt werden dürfen. Die Richtlinien können von Host zu Host variieren, wobei die zugehörigen Compliance-Daten in einem gemeinsamen Berichts-Feed zusammengefasst sind, der für Administratoren sichtbar ist.
Auch für Wechseldatenträger (Flash-Laufwerke, externe Laufwerke etc.), die an einen Computer angeschlossen sind, können Richtlinien festgelegt werden. So könnte beispielsweise ein Gerät so lange gesperrt bleiben, bis der Benutzer der Verschlüsselung des Geräts oder bestimmter Dateitypen auf dem Gerät zustimmt.
Bei der File-Level-Verschlüsselung wird über Richtlinien festgelegt, welche Dateien verschlüsselt werden sollen, z. B. nach Dateierweiterung oder Speicherort auf einer Festplatte. Sobald eine entsprechende Datei auf dem Computer gefunden wird, wird sie verschlüsselt.
Transparente Verschlüsselung
Verschlüsselung beeinträchtigt nicht den Workflow eines typischen Benutzers: Es werden keine neuen Programme eingeführt und auch keine Änderungen an der Konfiguration der vorhandenen Anwendungen vorgenommen. Richtlinien werden automatisch angewendet.
Die Verschlüsselung ist für die Programme transparent: Wenn ein Benutzer im Betriebssystem authentifiziert ist, sehen die Anwendungen die Daten auf den Datenträgern so, als wären sie nicht verschlüsselt, obwohl sie es sind. Ein Verschlüsselungsfilter übernimmt die Übertragung der Daten zwischen den Programmen und Datenträgern (ein Datenträger-Filter für FDE, ein Dateifilter für FLE). Er entschlüsselt die Daten vom Datenträger zum Programm; und in der entgegengesetzten Richtung verschlüsselt er sie auch wieder. Dabei erfolgt die Verschlüsselung spontan, also unmittelbar bei jedem Schreib-/Lesevorgang. Und es werden keine Daten auf dem Datenträger gespeichert, nicht einmal temporär, die nicht verschlüsselt sind.
Bei einigen Anwendungen ist es allerdings gar nicht wünschenswert, dass die Verschlüsselung so transparent ist. Wenn beispielsweise bei einer Datensicherung die Kopie einer verschlüsselten Festplatte an einem anderen Ort abgelegt wird, darf auch das Backup nicht unverschlüsselt gespeichert werden. Deshalb sollte das Backup-Programm die Festplatte im verschlüsselten Zustand kopieren. In diesem und ähnlichen Fällen kann der Administrator die transparente Verschlüsselung für bestimmte Programme zentral deaktivieren.
Mechanismus zur Festplatten-Verschlüsselung (FDE)
Mit dem FDE-Mechanismus werden ganze Festplatten auf einem Computer verschlüsselt. FDE unterstützt:
- Verschlüsselung aller Arten von Datenträgern: HDD, SSD, Flash-Laufwerke etc. Bei SSD-Geräten sorgt FDE dafür, dass die Zahl der zusätzlichen Lese-/Schreibzyklen reduziert wird, was die Lebensdauer des Laufwerks erhöht.
- Hardware-Beschleunigung der Verschlüsselung (wenn der Prozessor AES-NI unterstützt)
- UEFI Secure Boot gewährleistet den sicheren Startzustand des Computers, dass nur vertrauenswürdige Software geladen wird und dass Betriebssystem und Software ohne Einmischung von anderen Prozessen korrekt gestartet werden.
Verschlüsselungsschlüssel: Der Verschlüsselungsfilter verschlüsselt und entschlüsselt Daten mit einem Datenträgerschlüssel. Für jeden Datenträger wird ein separater Schlüssel erstellt und in drei verschlüsselten Kopien auf ihm gespeichert. Selbst wenn der Datenträger beschädigt und eine Schlüsselkopie zerstört ist, kann mit einer der anderen Kopien auf den Datenträger zugegriffen werden. Sind alle drei Schlüsselkopien auf dem Datenträger beschädigt, kann der Zugang mit der im Kaspersky Security Center gespeicherten Kopie wiederhergestellt werden. Zu diesem Zweck wird bei der Erstellung eine Kopie des Datenträgerschlüssels sicher an das Kaspersky Security Center gesendet. Schlüssel werden niemals unverschlüsselt auf dem Datenträger gespeichert.
Benutzerauthentifizierung und Laden des Betriebssystems von einem verschlüsselten Datenträger Der Zugang des Verschlüsselungsfilters zum Datenträgerschlüssel auf dem Datenträger wird freigeschaltet, sobald sich ein Benutzer authentifiziert hat. Für die Authentifizierung kann der Benutzer ein Passwort, einen USB-Token oder eine Smartcard verwenden. Nach erfolgter Authentifizierung kann das Betriebssystem vom verschlüsselten Datenträger aus gebootet werden.
Durchsetzung der Verschlüsselungsrichtlinie auf einem Computer Wenn auf einem Computer eine Verschlüsselungsrichtlinie gilt, werden zwei Prozesse gestartet:
- Die spontane Verschlüsselung ist dauerhaft aktiviert. Damit ist sichergestellt, dass alle Daten, die auf den Datenträger geschrieben werden, ab diesem Moment auch verschlüsselt sind. Zu diesem Zweck schaltet sich der Verschlüsselungsfilter bei jedem Lese-/Schreibvorgang auf dem Datenträger ein.
- Der Prozess der Datenträgerverschlüsselung wird gestartet und verschlüsselt sämtliche Datenträger des Computers. Mit Abschluss dieses Prozesses ist die Verschlüsselungsrichtlinie auf dem Computer vollständig durchgesetzt. Die Verschlüsselung der Datenträger kann mehrere Stunden in Anspruch nehmen.
Während der Verschlüsselung kann der Benutzer wie gewohnt arbeiten, den Computer in den Ruhezustand versetzen oder ausschalten: Die Verschlüsselung wird fortgesetzt, sobald er ihn wieder einschaltet. Der Prozess ist darüber hinaus gegen Ausfälle gesichert (z. B. Stromausfall, Ausfall des Betriebssystems). Der Verschlüsselungsprozess ist so ausgelegt, dass die Daten in jedem Fall früher oder später verschlüsselt werden.
Zugriff auf verschlüsselte Dateien (FLE)
Zugriff mit Kaspersky Endpoint Security Wenn sich ein Benutzer im Betriebssystem authentifiziert, erhalten auf dem Computer installierte Programme, die auf den Namen des Benutzers laufen, gemäß den Verschlüsselungsrichtlinien Zugriff auf die verschlüsselten Dateien.
Für den Zugriff auf Dateien, die von anderen Benutzern verschlüsselt wurden, fordert der Host-Agent von Kaspersky Endpoint Security die erforderlichen Entschlüsselungscodes vom Kaspersky Security Center an. Beispiel: Wenn eine E-Mail-Datei von einem anderen Benutzer verschlüsselt wurde, kontaktiert der Host des Empfängers das Kaspersky Security Center und erhält von dort den entsprechenden Schlüssel (sofern die Richtlinien den Zugriff erlauben). Dieser Schlüssel funktioniert für den Zugriff auf diese und alle anderen Dateien, die auf demselben logischen Datenträger dieses Benutzer verschlüsselt sind. Der Schlüssel wird zwischengespeichert, sodass er nicht immer wieder von neuem angefordert werden muss, wenn wieder eine Datei empfangen wird, die auf dem Datenträger desselben Benutzers verschlüsselt wurde.
Wenn keine Internetverbindung besteht, kann der Empfänger den Schlüssel über einen standardmäßigen Challenge-/Response-Mechanismus beim Kaspersky Security Center anfordern. Der sichere Schlüsselaustausch erfolgt dann über einen offenen Kanal (z. B. das Telefon). Der Benutzer sendet einen generierten Anforderungscode und erhält im Gegenzug den Freischaltungscode.
Zugriff ohne Kaspersky Endpoint Security Wenn die Verschlüsselungsrichtlinien eine solche Konfiguration zulassen, kann auf Computern ohne Kaspersky Endpoint Security eine Autorisierung per Passwort eingerichtet werden, um auf verschlüsselte Dateien zuzugreifen. Vorgehensweise, um ein solches Gerät mit Kaspersky Endpoint Security zu konfigurieren:
- Der Kaspersky Portable File Manager wird auf das Gerät kopiert. Er speichert die Schlüssel für den Dateizugriff und verschlüsselt/ entschlüsselt die Dateien.
- Der Benutzer legt ein Passwort für den Zugriff auf die Dateien auf diesem Gerät an.
Wenn sich ein Benutzer mit dem Gerät verbindet und im Portable File Manager anmeldet, kann er die verschlüsselten Dateien lesen und bearbeiten. Benutzer können auch neue Dateien auf dem Gerät verschlüsseln.
Schutz für Nutzer von Kaspersky Total Security (Consumer)
Crypto Disk ist eine Komponente von Kaspersky Total Security, die die gespeicherten Daten eines Benutzers durch Verschlüsselung schützt.
Mit Crypto Disk erstellen Benutzer ein virtuelles verschlüsseltes Laufwerk, das als separate Datei gespeichert wird. Der Zugriff erfolgt über ein Passwort, das beim Erstellen des Laufwerks zugewiesen wird. Nach der Autorisierung wird das Laufwerk als lokales Laufwerk (z. B. „E:\“) bereitgestellt. Der Benutzer kann eine Datei mit dem verschlüsselten Laufwerk über Geräte, E-Mail, freigegebene und Cloud-Repositorys an andere Benutzer übertragen und anderen Benutzern Zugriff gewähren, indem er ihnen das Passwort gibt.
Das Laufwerk wird nicht anhand des Passworts selbst verschlüsselt, sondern über einen Schlüssel, der bei der Authentifizierung des Benutzers automatisch generiert wird. So kann der Benutzer sein Passwort ändern, ohne das gesamte virtuelle Laufwerk neu verschlüsseln zu müssen.
Verschlüsselungsmodul
FDE, FLE und Crypto Disk verwenden ein Verschlüsselungsmodul, das auf dem AES-256-Verschlüsselungsalgorithmus im XTS-Modus basiert. Die Verschlüsselungsbibliothek ist zertifiziert nach:
- FIPS 140-2
- Common Criteria
Verwandte Produkte
WHITEPAPER
Protecting Sensitive Data with Kaspersky...