Wir stellen fest, dass Sie gerade die Website in Großbritannien besuchen. Möchten Sie stattdessen unsere Hauptseite besuchen?

Hände, die auf einem Laptop tippen

Was ist SSD-Verschlüsselung und wie funktioniert sie?

Seitenansicht eines Laptops mit einer Person im Hintergrund, die ein Mobiltelefon verwendet.

Von Unternehmen und Regierungen bis zu Einzelpersonen gibt es eine Sache, die heute jeder rund um den Globus teilt: Die Notwendigkeit und den Wunsch, wichtige persönliche und vertrauliche Daten zu schützen. Unabhängig davon, ob diese gespeichert oder weitergeleitet werden, ist der Datenschutz eine absolute Notwendigkeit. Die Kosten für die Finanzen und die Reputation aufgrund von Datenschutzverletzungen, Hacking sowie verlorenen oder gestohlenen Laptops/PCs können astronomisch sein.

Für den Schutz gegenüber bösartigen Hackern und Datenschutzverletzungen in Organisationen müssen die in Bewegung befindlichen Daten sowie die ruhenden Daten unbedingt verschlüsselt werden. Die Verschlüsselung bietet einen verstärkten Schutz für den Fall, dass ein nicht autorisierter Zugriff auf ein Computernetzwerk oder ein Speichergerät gewährt wird. In diesem Fall erhält der Hacker keinen Zugang zu den Daten. In diesem Artikel konzentrieren wir uns auf softwarebasierte Verschlüsselung, selbstverschlüsselnde Laufwerke (kurz SEDs) und eine grundsätzliche Erklärung der Funktionsweise von SSD-Verschlüsselung.

Was ist Verschlüsselung?

Verschlüsselung bedeutet mit einfachen Worten, dass Informationen, die in ein Digitalgerät eingegeben werden, in Blöcke von sinnlos erscheinenden Daten umgewandelt werden. Je anspruchsvoller der Verschlüsselungsprozess, desto unlesbarer und unentschlüsselbarer sind die verschlüsselten Daten. Umgekehrt verwandelt die Entschlüsselung die verschlüsselten Daten wieder in ihre Originalform zurück, damit sie wieder lesbar sind. Verschlüsselte Informationen werden häufig als chiffrierter Text oder Chiffre bezeichnet, während nicht verschlüsselte Daten als Klartext bezeichnet werden.

Digitale Zeichnung einer Platine mit einem Vorhängeschloss.

Vergleich von Software- gegenüber Hardwareverschlüsselung

Softwareverschlüsselung nutzt eine Vielzahl von Softwareprogrammen zum Verschlüsseln der Daten auf einem logischen Laufwerk. Wenn ein Laufwerk das erste Mal verschlüsselt wird, wird ein eindeutiger Schlüssel erstellt und im Computerspeicher gespeichert. Der Schlüssel wird mit einem vom Benutzer festgelegten Passwort verschlüsselt. Wenn der Benutzer das Passwort eingibt, entsperrt es den Schlüssel und gibt den Zugriff auf die unverschlüsselten Daten auf dem Laufwerk frei. Eine Kopie dieses Schlüssels wird auch auf das Laufwerk geschrieben. Die Softwareverschlüsselung fungiert als Vermittler zwischen den Lese- / Schreibdaten der Anwendung auf dem Gerät. Wenn Daten auf das Laufwerk geschrieben werden, werden sie mit dem Schlüssel verschlüsselt, bevor sie physisch auf die Festplatte übertragen werden. Wenn Daten aus dem Laufwerk gelesen werden, werden sie mithilfe desselben Schlüssels entschlüsselt, der vorher dem Programm bereitgestellt wurde.

Während die Softwareverschlüsselung kosteneffektiv ist, ist sie nur so sicher wie das Gerät, auf dem sie eingesetzt wird. Falls ein Hacker den Code oder das Passwort knackt, sind Ihre verschlüsselten Daten frei zugänglich. Außerdem wird das gesamte System verlangsamt, da der Prozessor die Ver- und Entschlüsselung ausführen muss. Eine weitere Schwachstelle der Softwareverschlüsselung besteht darin, dass der Verschlüsselungsschlüssel beim Hochfahren des Systems im Computerspeicher gespeichert wird und somit zum Ziel für Angriffe auf niedriger Ebene ist.

Selbstverschlüsselnde Laufwerke (SED) nutzen hardwarebasierte Verschlüsselung, die einen ganzheitlicheren Ansatz für die Verschlüsselung von Benutzerdaten verfolgt. SEDs verfügen über einen integrierten AES-Verschlüsselungschip, der die Daten vor dem Schreiben verschlüsselt und sie entschlüsselt, bevor sie direkt von den NAND-Medien gelesen werden. Die Hardwareverschlüsselung befindet sich zwischen dem auf dem Laufwerk installierten Betriebssystem und dem System-BIOS. Wenn das Laufwerk das erste Mal verschlüsselt wird, wird ein Verschlüsselungsschlüssel erzeugt und auf dem NAND-Flashspeicher gespeichert. Wenn das System das erste Mal hochgefahren wird, wird ein angepasstes BIOS geladen und fragt nach dem Nutzerpasswort. Sobald das Passwort eingegeben wird, wird der Inhalt des Laufwerks entschlüsselt und der Zugriff auf das Betriebssystem und die Nutzerdaten wird freigegeben.

Selbstverschlüsselnde Laufwerke ver- bzw. entschlüsseln Daten auch im laufenden Betrieb mit dem integrierten Verschlüsselungschip, der für die Verschlüsselung von Daten verantwortlich ist, bevor diese in den NAND-Flash übertragen werden, und entschlüsseln Daten, bevor sie gelesen werden. Die Host-CPU ist nicht am Verschlüsselungsvorgang beteiligt, wodurch der Leistungsverlust reduziert wird, der mit der Softwareverschlüsselung verbunden ist. In den meisten Fällen wird beim Hochfahren des Systems der Verschlüsselungsschlüssel im integrierten Speicher der SSD gespeichert, wodurch die Vorgänge zum Abrufen komplexer werden und damit weniger anfällig für Low-Level-Angriffe. Dieses hardwarebasierte Verschlüsselungsverfahren bietet einen hohen Grad an Datensicherheit, da sie für den Anwender nicht sichtbar ist. Sie lässt sich nicht ausschalten und beeinträchtigt die Leistung nicht.

256-Bit-AES-hardwarebasierte Verschlüsselung

AES (Advance Encryption Standard) ist ein symmetrischer Verschlüsselungs-Algorithmus (d. h. die Ver- und Entschlüsselungsschlüssel sind identisch). Da AES eine Block-Chiffre ist, werden die Daten in 128-Bit-Blöcke unterteilt, bevor sie mit dem 256-Bit-Schlüssel verschlüsselt werden. Die AES 256-Bit Verschlüsselung ist ein internationaler Standard, der höchste Datensicherheit gewährleistet und wird u. a. von der US-Regierung anerkannt. Die AES-256-Bit Verschlüsselung ist im Prinzip nicht entschlüsselbar, wodurch sie der stärkste verfügbare Verschlüsselungsstandard ist.

Warum ist sie unentschlüsselbar? AES umfasst AES-128, AES-192 und AES-256. Die Ziffern geben die Anzahl der Schlüssel-Bits in dem einzelnen Ver- und Entschlüsselungsblock an. Für jedes hinzugefügte Bit verdoppelt sich die Anzahl der möglichen Schlüssel, d. h. die 256-Bit Verschlüsselung entspricht zwei der 256.Potenz! Oder einfach gesagt, eine sehr sehr große Zahl an möglichen Schlüsselvariationen. Jedes einzelne Schlüssel-Bit hat wiederum eine unterschiedliche Anzahl von Runden. (Eine Runde beschreibt den Prozess, wenn Klartext in Chiffre umgewandelt wird.) Bei 256-Bit sind dies 14 Runden. Deshalb ist die Chance für einen Hacker, auf die korrekte Sequenz von 2256 Bits zu kommen, die 14 Mal verschlüsselt wurden, extrem niedrig, gelinde gesagt. Ganz zu schweigen von der Zeit und der Rechenleistung, die für die Arbeit erforderlich sind.

TCG Opal 2.0 softwarebasierte Verschlüsselung

TCG ist die internationale Industriestandardgruppe, die eine hardwarebasierte Vertrauensbasis für dialogfähige gesicherte Computing-Plattformen definieren. Dieses Protokoll kann verschlüsselte SSDs mithilfe unabhängiger Software-Anbietern, die TCG Opal 2.0 Sicherheitsmanagementlösungen anbieten, wie Symantec™, McAfee™, WinMagic® und anderen, initialisieren, authentifizieren und verwalten.

Zusammengefasst heißt das, dass die softwarebasierte Verschlüsselung zwar ihre Vorteile besitzt, aber möglicherweise nicht ihren scheinbaren umfassenden Schutz erfüllen kann. Durch die Software-Verschlüsselung werden zusätzliche Schritte hinzugefügt, weil die Daten verschlüsselt und dann entschlüsselt werden müssen, wenn der Benutzer auf die Daten zugreift, wogegen die hardwarebasierte Verschlüsselung eine robustere Lösung bietet. Eine hardwareverschlüsselte SSD wird mit dem Rest des Laufwerks optimiert, ohne die Leistung zu beeinträchtigen. Je nach Anwendung werden Sie möglicherweise überrascht sein, was mit der Sicherung Ihrer Daten verbunden ist. Nicht alle Verschlüsselungen sind gleich, aber das Verständnis der Unterschiede spielt eine wichtige Rolle für die Effektivität und Effizienz Ihrer Sicherheit.

#KingstonIsWithYou

Zugehörige Artikel