Saktanong - stock.adobe.com
Welche native Android-Verschlüsselung ist die beste?
Die native Verschlüsselung für verwaltete Android-Geräte hat sich zwar im Laufe der Jahre weiterentwickelt, es gibt aber immer noch Luft nach oben. Tipps für die IT-Abteilung.
Es ist relativ einfach, die Geräteverschlüsselung zu verwalten, wenn in Unternehmen nur Geräte mit Apple iOS vorhanden sind.
Apple bietet für die Verschlüsselung einen einzigen Herstellerstandard für alle iOS-Geräte. Die Verschlüsselung von Android-Geräten hängt jedoch von der Version von Android ab, die auf den Geräten läuft, dem OEM- und Gerätemodell, der Hardwarearchitektur und anderen Faktoren.
IT-Experten sollten sich daher über die Optionen für die native Android-Verschlüsselung informieren, um ihre mobilen Geräte zu schützen, ohne zusätzliches Geld für Verschlüsselungs-Tools externer Anbieter ausgeben zu müssen.
Die Geschichte der Verschlüsselung von Android-Geräten
Android unterstützt schon seit einiger Zeit verschiedene Formen der Geräteverschlüsselung; allerdings ist die Dokumentation dieser Verschlüsselung unvollständig. Es ist schwierig zu bestimmen, wann Google die Verschlüsselung des Android-Betriebssystems eingeführt hat und was verschlüsselt wurde; aber Android unterstützt die Verschlüsselung des kompletten Speichers (FDE, Full Disk Encryption) mindestens seit der Version Android 5.
FDE verschlüsselt alle Benutzerdaten in der entsprechenden Partition des Geräts. Um die Daten zu schützen, nutzt Android einen einzigen Verschlüsselungs-Key, der an das Geräte-Passwort des Benutzers gebunden ist. Sobald die IT-Abteilung die Verschlüsselung aktiviert hat, verschlüsselt Android automatisch die vom Benutzer erstellten Daten, bevor sie auf einen Datenträger übertragen werden. Ruft eine Anwendung oder ein Prozess diese Daten auf, entschlüsselt Android diese wieder automatisch, bevor es sie überträgt.
Mit dem Release von Android 6 war FDE standardmäßig im Betriebssystem integriert und aktiviert. FDE kommt jedoch mit einer ernsthaften Einschränkung: Es schützt alle Benutzerdaten mit nur einem einzigen Identitätsnachweis. Daher sind einige Funktionen nicht verfügbar, wenn Anwender ihre Geräte neu starten, sie aber nicht mit ihrem Passwort freischalten. Beispielsweise funktionieren Alarme nicht, und Benutzer können keine Telefonanrufe empfangen.
Dateibasierte Verschlüsselung
Um diese Einschränkungen zu beheben, hat Google mit Android 7 die dateibasierte Verschlüsselung (FBE, File Based Encryption) eingeführt. FBE ermöglicht es, verschiedene Dateien mit unterschiedlichen Verschlüsselungs-Keys zu verschlüsseln, so dass die Nutzer die Dateien unabhängig voneinander entsperren können. Gleichzeitig führte Google neue APIs ein, um FBE zu ermöglichen. Daher mussten die OEMs ihre Geräte entsprechend entwickeln, um die FBE-Kompatibilität zu erlangen.
Jeder Nutzer auf einem FBE-aktivierten Gerät verfügt über zwei erhältliche Speicherplätze. Der erste ist das Credential Encrypted (CE) Storage, der Standard-Speicherplatz. Der CE-Speicher steht erst zur Verfügung, nachdem der Benutzer das Gerät freigeschaltet hat, ähnlich wie bei der traditionellen FDE-Speicherung.
Der andere Speicherplatz ist das Device Encrypted (DE) Storage, das auf zwei Arten verfügbar ist. Die erste Option entschlüsselt die Daten wie beim CE-Speicher erst, nachdem der Benutzer das Gerät entsperrt hat.
Die andere Option entschlüsselt die Daten während des Direct Boot, einem Boot-Modus, der es Anwendungen ermöglicht, in einem begrenzten Kontext zu arbeiten, ohne die meisten persönlichen Informationen des Geräts zu gefährden. Direct Boot gestattet es den Nutzern, bestimmte Aktionen durchzuführen, ohne ihre Telefone zu entsperren, zum Beispiel Telefonanrufe zu empfangen oder ihre Alarme zu verwenden.
Verschlüsselung von Metadaten
Seit Android 9 unterstützt Google auch die Verschlüsselung von Metadaten, die alle nicht durch FBE geschützten Inhalte wie Berechtigungen, Dateigrößen oder Verzeichnis-Layouts verschlüsselt. Die Android-Verschlüsselung verwendet einen einzigen Key, um den Inhalt zum Zeitpunkt des Bootens zu verschlüsseln. IT-Profis können die Metadaten-Verschlüsselung nur dann aktivieren, wenn sie die Datenpartition vorher formatieren. Das bedeutet, dass sie nur auf neuen Geräten funktioniert, die hardwareseitig eine Inline-Krypto-Engine zur Verfügung stellen, die die Metadaten-Verschlüsselung unterstützt.
Anfang 2019 führte Google die Adiantum-Verschlüsselung für Geräte mit Android 9 oder höher und CPUs ein, die keine AES-Befehle (Advanced Encryption Standard) bereitstellen. Dabei handelt es sich in der Regel um Low-End-Geräte mit einfachen Prozessoren, die keine AES-Unterstützung bieten. Die Adiantum-Verschlüsselung ist für Unternehmensgeräte nicht empfehlenswert.
Das im September 2019 veröffentlichte Google Android 10 unterstützt FDE nicht. Für IT-Abteilungen, die in ihrem Unternehmen Smartphones und Tablets auf Basis von Android bereitstellen, sind daher DE- und CE-Speicher die besten nativen Optionen für die Verschlüsselung mit Android.