Apple hat kürzlich innerhalb der Tech-Community Wellen geschlagen, indem es sich weigerte, die Strafverfolgungsbehörden in Bezug auf den Zugriff auf verschlüsselte Benutzerdaten einzuhalten. Ihre Aussage war, dass sie nicht über die technischen Möglichkeiten verfügen, diese Daten zu entschlüsseln.
Gibt es als Android-Benutzer eine ähnliche Möglichkeit (vorzugsweise in das Betriebssystem statt von Drittanbietern integriert), die ich nutzen kann, um einen ähnlichen Schutz sogar vor Google und meinem Gerätehersteller zu erreichen? Ich weiß, dass es in meinen Einstellungen die "Full Device Encryption" gibt, aber verhindert dies, dass Google usw. darauf zugreift?
Als Referenz läuft auf meinem Gerät Android Lollipop und es ist ein OnePlus Two. Wenn andere Versionen wie Marshmallow mir das erlauben würden, ist das in Ordnung.
Google hat keine Ahnung, was der Verschlüsselungsschlüssel für Ihr Gerät ist. Der gesamte Vorgang findet auf Ihrem Gerät statt und der Schlüssel wird niemals irgendwohin übertragen. Der Schlüssel selbst wird auch nicht im Klartext auf Ihrem Gerät gespeichert :
Speichern des verschlüsselten Schlüssels
Der verschlüsselte Schlüssel wird in den Krypto-Metadaten gespeichert. Die Hardwareunterstützung wird mithilfe der Signierfunktion von Trusted Execution Environment (TEE) implementiert. Zuvor haben wir den Hauptschlüssel mit einem Schlüssel verschlüsselt, der durch Anwenden von scrypt auf das Kennwort des Benutzers und das gespeicherte Salt generiert wurde. Um den Schlüssel gegen Off-Box-Angriffe widerstandsfähig zu machen, erweitern wir diesen Algorithmus, indem wir den resultierenden Schlüssel mit einem gespeicherten TEE-Schlüssel signieren. Die resultierende Signatur wird dann durch eine weitere Anwendung von Verschlüsselung in einen Schlüssel geeigneter Länge umgewandelt. Dieser Schlüssel wird dann verwendet, um den Hauptschlüssel zu verschlüsseln und zu entschlüsseln.
Selbst wenn also jemand eine Kopie Ihres verschlüsselten Hauptschlüssels hätte, könnte er ihn ohne den TEE-Schlüssel aus dem SoC Ihres Geräts nicht entschlüsseln.
Abgesehen von einem Fehler in der Implementierung verhindert die vollständige Geräteverschlüsselung daher, dass jemand auf Ihre Daten zugreift, es sei denn, er kennt/erhält Ihr Passwort ODER kann Ihr Passwort erraten (z. B. durch Brute-Force oder eine Art von Social-Engineering-Techniken). Auf Geräten, denen die erforderliche Hardwareunterstützung fehlt, versucht FDE, den Schlüssel mit einer reinen Softwaremethode zu verschlüsseln.
Die vollständige Geräteverschlüsselung schützt Ihr Gerät, wenn Sie einen Schlüssel zu lange für Brute-Force verwenden, selbst wenn die Angreifer Brute-Force-Techniken anwenden können – vorausgesetzt, es gibt Möglichkeiten, ihnen dies zu ermöglichen. Snowden sagt, dass 64 Zeichen lang genug für eine wirklich unknackbare Verschlüsselung sind. So ist vollständige Sicherheit erreichbar - wenn es Ihnen nichts ausmacht, jedes Mal, wenn Sie das Telefon aufwecken, eine 64-stellige Passphrase einzugeben.
Eldarerathis
Bob
Bienen
Eldarerathis
Bob
Bob
Eldarerathis
/userdata
Partition verschlüsselt, nicht die Partitionen, die das Update tatsächlich ändern würde (/system
und/boot
im Allgemeinen). Es ist so ziemlich im selben Boot wie das iPhone 5 (und niedriger).Eldarerathis
Bob
Andreas Braun
Benutzer4951
Eldarerathis