Androiden verschlüsseln bzw. allgemeine Sicherheitsfragen

[pinguin74]

Android 4 kann ja den internen Speicher und den SD Kartenspeicher verschlüsseln.

Was ich aber nach Suchen hier und auch bei Googel nicht herausgefunden habe: wird beim Verschlüsseln der Speicher gelöscht?

Oder kann man die Verschlüsselung jederzeit einrichten unter Beibehaltung aller Daten?

Gruß
Malte

 

[Anturix]

Moin

Verschlüsseln geht ohne Datenverlust (Backup ist aber trotzdem empfehlenswert).
Entschlüsseln geht nur über Werksreset.

Anturix

 

[pinguin74]

Danke für die Auskunft. Was meinst du, wie lange braucht ein Handy mit 1,5 Ghz CPU, bis 16 GB verschlüsselt sind?

Ich denke, die Sache hat auch einen Haken. Solange das Handy eingeschaltet ist, und das ist es die meiste Zeit, ist ja die verschlüsselte Partition entschlüsselt, der Dieb/Angreifer muss nur die Displaysperre umgehen. Und wenn er ein USB Kabel reinsteckt, kann er ganz einfach die Daten als Platte einbinden... Ich finde, die Verschlüsselung macht nur dann Sinn, wenn z.B. nach dreimaliger Falscheingabe der Displaysperre dann die verschlüsselte Partition ausgehängt wird, dann hat der Angreifer keinen Zugang mehr.

Gruß
Malte

 

[Anturix]

Moin

Auf jeden Fall unter 1 Stunde.

Das kannst Du ja mit entsprechenden Apps nachrüsten. Ich hab da mit Tasker ein paar nette Spielereien eingebaut.
Autoreboot nach 7-maliger Falscheingabe der Pin, keine Datenverbindung bei gesperrtem Display.

Aber da das Bootpassswort das selbe ist, wie auf dem Sperrbildschirm, wirst Du ohnehin kein allzu sicheres Passwort haben wollen. Das ganze ist also mehr eine Diebstahlsicherung als ein hochwertiger Schutz. Zumal ja eh nur die Datenpartition verschlüsselt wird und nicht das ganze System.

Aber die Verschlüsselung verhindert, das ein Dieb auf einfachem Weg (Custom Recovery) an deine Daten herankommt. Das ist der wesentliche Grund weshalb ich die Verschlüsselung nutze.

Anturix

 

[pinguin74]

Was mir vorschwebt wäre, dass sich das Telefon runterfährt, wenn die Pin drei mal falsch eingegeben wurde. Dann hat der Dieb nämlich ein Problem. Baut er die SD Karte aus, ist sie verschlüsselt.

Übrigens, beim Verschlüsseln der Datenpartition werden die Daten doch gelöscht. Nur beim Verschlüsseln des internen App Speichers wird nichts gelöscht. Es gibt zwei Methoden, wie Android das machen könnte, über dm-crypt oder mit encfs. Wenn ein Gerät encfs benutzt, können die Daten erhalten bleiben, bei dm-crypt nicht. Ich vermute mal, dass verschiedene Androiden das eine oder andere Verfahren benutzen.

 

[Anturix]

Moin

Android verwendet zur Verschlüsselung der data-Partition dm-crypt. Die Daten bleiben dabei erhalten.

Allerdings implementieren einige Hersteller die Verschlüssselung selber (Samsung, Motorola). Aber auch bei denen sollten die Daten bei der Verschlüsselung erhalten bleiben. Samsung bietet bei einigen Geräten auch eine verlustfreie Entschlüsselung an.

Anturix

 

[TimboK]

Hallo Zusammen,
Ich wollte heute unter der neuen Android Version 4.4.2 den internen Speicher und die SD-Karte verschlüsseln. Nach Auswahl der Einstellung unter der Rubrik "Sicherheit"erscheint für wenige Sekunden der grüne Android mit Zahnrad im Bauch und anschließend startet das Z1 wieder neu ohne Durchführung der Verschlüsselung.

Hat jemand das selbe Problem oder gibt es Beispiele bei denen es vollständig funktioniert hat?

Vielleicht kennt ja auch jemand bereits die Lösung für das Problem.

 

[Macusercom]

Ich habe ein gerootetes Nexus 5 mit 4.4.2 KitKat, aber kein Custom-ROM oder Recovery, sondern alles Stock und würde mein Gerät gerne verschlüsseln.

Ich weiß, dass danach nur noch der PIN-Unlock geht, aber ist dieser PIN gleichzeitig auch der Entschlüsselungscode bzw. müssen die gleich sein oder kann ich auch unterschiedliche setzen?

Kann ich den Entschlüsselungscode auch nachträglich ohne Factory Reset andern?

Daten sollten doch noch zwischen PC und Gerät übertragen werden können, wenn es beim Boot entschlüsselt wurde und Titanium Backup noch Backups erstellen?

Wird das Nexus 5, abgesehen vom Boot-Vorgang spürbar langsamer bzw. wie sieht es mit der Akkulaufzeit aus?

Danke im voraus!

 

[Macusercom]

Also ich habe es jetzt einfach einmal riskiert und kann folgendes berichten:
- Der PIN oder das Passwort zum Entschlüsseln ist dasselbe wie zum Entsperren. Mit Cryptfs Password kann man aber das Entschlüsslungspasswort ändern (https://play.google.com/store/apps/details?id=org.nick.cryptfs.passwdmanager&hl=de), was auch die zweite Frage klärt. Ändert man aber den PIN oder das Passwort zum Entsperren, wird das Entschlüsselungskennwort überschrieben und man muss es noch einmal mit Cryptfs Password ändern.
- Da Android die Daten beim Booten und danach automatisch entschlüsselt, kann man ohne Probleme Daten übertragen oder Backups mit Titanium Backup auf SD-Karten machen.
- Das Nexus 5 braucht nun ca. 20 Sekunden zum Booten und danach muss man das Entschlüsselungspasswort eingeben. Dann noch einmal 40 Sekunden und (war aber vorher schon so) ca. 12 Minuten um alle Widgets etc. zu laden. Es ist jetzt vielleicht leicht langsamer, aber ich glaube mit Android Runtime gleichen sich die Vor-/Nachteile in Sachen Ladezeiten und Lags aus.

Ich hoffe ich konnte jemandem damit weiterhelfen.

 

[timli]

Hallo allerseits,

während meiner Recherchen bin ich auf eine Problematik gestoßen, welche vielleicht einige hier interessieren dürfte:

Also, from my research, while I cannot confirm this, I have read that prior to 4.2, external (public) storage in Android was /mnt/sdcard/ (if you are not familiar with the Android file system, "sdcard" refers to public storage that is internal...not necessarily an external sdcard), but this was just a symbolic link from the protected /data/ directory. At the time, Android only encrypted /data/, which was fine because the symbolic link would also encrypt any personal files in the public directory.
After 4.2, due to multiple profiles, the public storage was moved to /storage/emulated/legacy. That means if Android's "full disk encryption" only encrypted /data...then any sensitive data in the public directories is not encrypted (this could be downloads from work, private photos, etc).

Vollständiges Thema: https://productforums.google.com/forum/#!topic/nexus/Lzsje-4QfTQ

Genau diese Erfahrung habe ich auch gemacht. Zwar speichern viele Apps ihre Settings, Datenbanken und andere Daten innerhalb der "/data"-Partition, allerdings kann man sich darauf nicht verlassen. Viele lagern auch Daten auf Verzeichnisse wie /mnt/sdcard aus. Fotos, Downloads und andere Daten, die viele Nutzer wohl durch die Verschlüsselung zu schützen gedenken, sind von dieser auch ausgenommen.

Vor Android 4.2 und zumindest noch bei 4.0 scheint dies anders gehandhabt worden zu sein:

This can be OEM dependent indeed, but /mnt/sdcard is now just a symlink to
a 'virtual' SD card that lives under /data. So downloaded documents, media
etc. are encrypted along with private data, etc. From the boot script:

# create virtual SD card at /storage/sdcard0, based on the /data/media directory
# daemon will drop to user/group system/media_rw after initializing
# underlying files in /data/media will be created with user and group
media_rw (1023)

If one some device /mnt/sdcard (external storage) is independent from /data,
it might not get encrypted. (Anm.: Dies wäre wohl dann nun der "Allgemeinfall") But then again they may modify the
firmware to encrypt it. (Anm.: Und diese eine eventuelle Lösung)

Vollständiges Thema: https://groups.google.com/forum/#!topic/android-security-discuss/-mE-XTot0Gg

Auch hier gibt es je nach Hersteller und Modell dann wiederrum Unterschiede. Allerdings stellt dies meiner Ansicht nach ein großes Problem für all diejenigen Nutzer dar, welche die Verschlüsselung aktiv verwenden und über keine OEM-spezifische "Erweiterung" verfügen, die diesen Bereich miteinschließt.

 

[timli]

Mehr dazu habe ich hier noch verfasst: Huge General Encryption Problem? - The Lounge - CyanogenMod Forum

Um in die Verschlüsselung auch wieder typische SD-Karten-Daten (Bilder, Downloads, per Windows als Massenspeicher auf das Smartphone übertragene Dateien, etc.) miteinzubeziehen, müsste man eigentlich den Mechanismus älterer Android-Versionen wieder einführen oder dies bei den aktuellen Versionen anpassen.


Damaliger Mechanismus:

So the actual physical storage place is still /data/media. /storage/sdcard0 is a "virtual" SD card. /sdcard and /mnt/sdcard are symbolic links of /storage/sdcard0.

http://forum.xda-developers.com/galaxy-nexus/help/storage-sdcard0-vs-data-media-t1783565

 

[hävksitol]

Hallo, timli,

willkommen bei AH. Bitte liefere noch eine Übersetzung der fremdsprachlichen Anteile Deiner obigen Beiträge (notfalls mit Google-Translate) nach, so daß auch nicht-englischsprachige Nutzer von diesen profitieren und mitdiskutieren können. Danke.

 

[timli]

Ich habe mich nun mit einigen Leuten im IRC-Channel von Cyanogenmod und dem Ersteller einer Custom ROM unterhalten.

In Android wurde die Verschlüsselung gleichzeitig mit einer Änderung beim Speichern der Daten eingeführt.

Es scheint nun davon abzuhängen, ob auf gewissen Smartphones die interne SD /storage/sdcard0, auf welche alle Einträge wie bspw. /sdcard oder auch /internal_sd usw. verlinken, aus den ständig vorhandenen Daten in /data/media emuliert wird. (Seit 4.2 und mit Einzug von mehrfachen Nutzern wird die virtuelle SD-Karte /storage/sdcard0 übrigens für jeden Nutzer separat und beginnend mit dem Ordner 0 über /data/media/<nutzerzahl> gemountet.)

Im Klartext: Überprüft, ob sich die Daten eurer internen SD auch auf /data/media wiederfinden lassen. Geht hierbei auch die Unterordner durch. Sollten sich die Daten eurer internen SD nicht in /data/media wiederfinden lassen, ist diese höchstwahrscheinlich nicht hieraus emuliert, stellt wahrscheinlich eine eigene Partition dar und wird somit - sofern der jeweilige OEM nicht zusätzlich ausgebessert hat - bei Anwendung der Android-eigenen "Telefon verschlüsseln"-Option (seit Android 3.0) auch nicht mitverschlüsselt, da diese nur die /data-Partition miteinschließt.


(Weitergehende Informationen zu DataMedia: http://teamw.in/DataMedia [engl.])

 

[gixxa]

Hallo zusammen,

ich habe eine Frage zur intern angebotenen Verschlüsselung von Android.

Ich habe ein Moto G mit Android 4.4.2 und ein Ace 2 mit Android 4.1.2. Beide bieten unter Einstellungen - Sicherheit die Option "Telefon verschlüsseln" an.

Dort heißt es, ich kann meine Einstellungen, heruntergeladene Apps mit dazugehörigen Daten sowie Multimedia- und andere Daten verschlüsseln.

Aber was genau passiert, wenn ich diese Option aktiviere? Sind dann die genannten Daten auf dem Telefon in soweit verschlüsselt, als das ich jedes mal ein Passwort eingeben muss, wenn ich mir ein Bild ansehe oder Musik hören will? Oder ist das nur so, das die Daten verschlüsselt sind und nur bei einem Neustart des Handys ein Passwort eingegeben werden muss, um die Daten wieder zu entschlüsseln? Das heißt dann, wenn ich mein Handy im eingeschalteten Zustand verliere, jemand findet das und überwindet irgendwie meinen Sperrbildschirm, hat er trotzdem Zugang zu allen meinen Daten? Und wenn ich die Daten auf den PC übertragen will, klappt das problemlos oder kommt dann da nur Datenmüll an, wenn nicht irgendwo wieder das Passwort eingegeben wird? Und werden nur die bereits vorhandenen Daten verschlüsselt, oder auch z. B. jedes Foto automatisch, dass ich neu mache? Würde das nicht ordentlich Rechenleistung ziehen?

Ihr seht, ich habe so gar keine Vorstellung davon, wie ich mir die Verschlüsselung vorstellen kann und hoffe, ihr könnt mir da Auskunft geben.

Gruß

 

[DonDerDonDon]

Letzteres, das Passwort muss ein mal beim Start des Telefons eingegeben werden, dann ist der Zugriff auf die Daten da, so lange das Gerät an ist. Erst wenn es komplett aus ist oder neu startet wird wieder nach dem Passwort gefragt.

Wenn die Verschlüsselung aktiviert wird kann man für den Lockscreen aber auch nur noch Passwort als Schutzmethode verwenden, also nicht Ziehen-zum-Entsperren, Muster, Pin, Face Unlock...
Das Passwort muss nicht identisch mit dem der Verschlüsselung sein. Beim ersten Start muss man beide Passwörter eintippen.

 

[Aaskereija]

Ein Grund wieso verschluesselung sinnlos ist: solang das handy an ist kommt trotzdem jeder an deine daten, da hilft nix. Erst wenn das ding rebootet isses geschuetzt, also im grunde sinnlos

 

[gixxa]

Ok, danke.

Welche App wäre die richtige Alternative um seine Daten sinnvoll zu verschlüsseln?

 

[rihntrha]

Ein Grund wieso verschluesselung sinnlos ist: solang das handy an ist kommt trotzdem jeder an deine daten, da hilft nix. Erst wenn das ding rebootet isses geschuetzt, also im grunde sinnlos

?

Dazu müsste der Datendieb doch erstmal den lookscreen überwinden.

Gibt es ne bessere Methode?

cu

 

[Aaskereija]

den pinlock kann man einfach überwinden. Gibt gewisse Illegale Programme dafür (worauf ich nicht näher eingehe, die ich auch nur aus Reportagen kenne)

Und meines Erachtens ist die sicherste Methode so wenig wie möglich persönliche Daten auf dem Handy zu haben und es nie unbeobachtet lassen, immernoch das Non-Plus-Ultra.

Und ja, das ist möglich.

 

[rihntrha]

den pinlock kann man einfach überwinden. Gibt gewisse Illegale Programme dafür (worauf ich nicht näher eingehe, die ich auch nur aus Reportagen kenne)

Naja, was die Reportagen so erzählen Da läuft ja auch nen Dauerping über den Monitor wenn die Hacker bei der Arbeit gezeigt werden

Wenn der Debugmode aus ist und der Hersteller da nix versaut hat (Beim Look der Einstellungsbutton in der Statusbar erreichbar oder so was).
Man könnte evtl. per Playstore Webseite was instalieren... Aber dafür braucht man Zugriff auf das Google Konto.

worauf ich nicht näher eingehe

Da gibt es zwei Interpretationsmöglichkeiten
1. Du hast auch keine Ahnung
2. Du möchtest nicht das das bekannt wird damit der Bug möglichst lange von Datendieben ausgenutzt werden kann.

Beides nicht nett Schwachstellen zu verheimlichen ist der falsche Weg damit umzugehen. Schwachstellen müssen bekannt gemacht werden (möglichst mit Anleitungen die jeder Nachvollziehen kann) nachdem die Hersteller 2-3 Monate Zeit hatten sie zu fixen (denen meldet man sie natürlich zuerst).

cu