Verschlüsselung interner Speicher?

[sichkern]

Hallo zusammen,

Ich wollte heute den internen Speicher meines honor 8 verschlüsseln, habe aber den Menüpunkt nicht gefunden. Bei meinem honor 7 gab es das noch.

Kann man das 8er nicht mehr verschlüsseln oder habe ich nur den Menüpunkt noch nicht gefunden?

Danke für die Hilfe

 

[DanX]

Gute Frage, aber ist der interne Speicher nicht automatisch geschützt, wenn man eine Bildschirmsperre bzw. Fingerabdruck aktiviert hat?

Bei der externen Speicherkarte habe ich ein Passwort vergeben. Dachte auch, dass hier alles erst verschlüsselt wird, aber irgendwie kam da nichts.

 

[taiman23]

mE ist beim Honor8 gar nix mit Verschlüsselung, die extSD ist nur PW geschützt.
@DanX schon mal versucht auf die extSD am PC oder so zuzugreifen?
Beim Honor7 funktioniert es auch nur wenn Standardspeicherpfad intern ist, aber da auch nur Tel. und nicht extSD, für die gibt es auch nur Kennwort.

 

[ooo]

Ab Android 6 Marshmallow müssen neue Geräte (die bereits mit Marshmallow ausgeliefert werden) zwingend verschlüsselt sein.
Diese Verschlüsselung wird mit einem Default-Passwort (Standard-Passwort) gesichert.
(Im AOSP Source Code steht als Default Passwort "default_password".)
Deswegen ist auch ein offener Lockscreen (ohne Passwort|PIN|Muster) möglich.
Und daher benötigt man auch die Einstellung "Telefon verschlüsseln" nicht mehr.
Die data-Partition ist trotzdem verschlüsselt (was aber nicht sicher ist, wenn keine "vernünftige" Bildschirmsperre gesetzt wurde).

Geräte, die mit einer Lollipop-ROM gestartet sind, können noch über die Einstellung verfügen (auch, nachdem sie auf Marshmallow upgegradet wurden), weil das unter Android 5 noch nicht zwingend war. Manche Hersteller haben das aber bereits unter Android 5 so umgesetzt, dass der Menü-Punkt weg ist (und das Device bereits von Haus aus verschlüsselt ist).

___

Beispiel-Hack für ein Honor 5C zu Externe SD Card als verschlüsselte Interne SD Card nutzen (nur für die "Auskenner" mit Backup):

Enabling storage adoption in Marshmallow on the Honor 5C - Honor 5C - MoDaCo

Weitere Infos dazu (kann passen, muss aber nicht):
[How-To] SD Karte gleichzeitig als Interne Speichererweiterung und Mobilen Speicher benutzen (Marshmallow)
[How-To] Daten retten von als intern eingebundener SD Karte

 

[taiman23]

@ooo Dachte Google hatte die Verschlüsselungspflicht nur für eigene Geräte festgelegt und es bei anderen Geräten den Herstellern überlassen. Hab ich wohl etwas nicht gelesen.

 

[ooo]

If a handset doest not declare itself as a low-memory device — which means 512MB of RAM or less —and it supports a secure lock screen, it must also support full-disk encryption. And if the device has what’s known as Advanced Encryption Standard (AES) cryptographic operation performance of over 50MB/s, the encryption feature must switched on by default when the phone is first set up.

Quellen:
https://gizmodo.com/full-disk-encryption-is-mandatory-on-android-6-0-if-the-1737988277
https://static.googleusercontent.com/media/source.android.com/en//compatibility/android-cdd.pdf

 

[taiman23]

@ooo
Was mich aber etwas verwirrt ist der Satz, da das beim Honor7(MM) der Fall ist, wenn Verschlüsselt und beim Honor8(MM) nicht oder wird das mit dem "Standard-Passwort" umgangen?

While this is great for security, it means that most of the core functionality of the phone in not immediately available when users reboot their device. Because access to their data is protected behind their single user credential, features like alarms could not operate, accessibility services were unavailable, and phones could not receive calls.

 

[ooo]

Das weiß ich nicht, aber da steht ja auch (im Konjunktiv) "... Alarme könnten ... Dienste wären ... Telefone könnten ..." - also "möglicherweise". - Du hast ja beide Devices zum Durchtesten.

Evtl. kann man eine aktive Verschlüsselung auch über ein Terminal überprüfen
(Windows cmd.exe, Linux Terminal, oder Terminal Emulator App, dann ohne adb shell)

adb shell
getprop | grep -i crypt
# oder für alle Werte
getprop

 

[sichkern]

Das könnte auch erklären, warum man beim Neustart nicht mit dem Fingerabdruck entsperren kann, sondern erstmal den PIN eingeben muss...

 

[taiman23]

@sichkern Das war beim Honor 7 mit Lollipop ohne Verschlüsselung schon der Fall

 

[taiman23]

@ooo
Ergebnis:
Honor8:
getprop | grep -i crypt
[init.svc.defaultcrypto]: [stopped]
[init.svc.uncrypt]: [stopped]
[ro.crypto.fs_crypto_blkdev]: [/dev/block/dm-2]
[ro.crypto.fuse_sdcard]: [true]
[ro.crypto.state]: [encrypted]
[ro.crypto.type]: [block]
[vold.crypto_support_innersd]: [1]
[vold.decrypt]: [trigger_restart_framework]

Honor7:
getprop | grep -i crypt
[ro.crypto.fuse_sdcard]: [true]
[ro.crypto.state]: [unencrypted]

 

[ooo]

Yup.

Honor 8 - [ro.crypto.state]: [encrypted] > bereits verschlüsselt
Honor 7 - [ro.crypto.state]: [unencrypted] > (noch) nicht verschlüsselt

Welche Bildschirm-Sperre ist jeweils gesetzt (Keine|PIN|Passwort|Muster)?
Hat das Honor 7 die Einstellung zum "Telefon verschlüsseln"?
Welche ROM ist aktuell installiert (Marshmallow|Lollipop)?
Ist das der Zustand nach einem Factory Reset?

 

[taiman23]

@ooo
Welche Bildschirm-Sperre ist jeweils gesetzt (Keine|PIN|Passwort|Muster)?
=>PIN+Fingerprint
Hat das Honor 7 die Einstellung zum "Telefon verschlüsseln"?
=> ja
Welche ROM ist aktuell installiert(Marshmallow|Lollipop)?
=> aktuelle MM
Ist das der Zustand nach einem Factory Reset? H7=>ja/H8=>Auslieferungszustand.

 

[ooo]

Dann ist alles so, wie es sein sollte.

 

[DanX]

@DanX schon mal versucht auf die extSD am PC oder so zuzugreifen?

L ö s u n g :

Eben ausprobiert: Wenn man für die externe SD-Karte ein Kennwort einrichtet, dann erkennt der PC/Notebook die SD-Karte nicht mehr, wenn man sie einsteckt bzw. mit Kartenleser anschließt. Auch in einem anderen Handy konnte ich nicht auf die Karte zugreifen. Endlich brauche ich mir keine Sorgen mehr machen, dass jeder Hinz und Kunz meine Karte auslesen könnte. Schließlich habe ich auch geschäftliche Dinge darauf gesichert.



.

 

[taiman23]

@DanX War mir eigentlich klar. Thx für den Test.

 

[DanX]

Zumindest kann ich mir jetzt sicher sein, dass es funktioniert.

 

[xor2000]

Leider ist beim Honor 8 in Sachen Verschlüsselung nicht alles so, wie es sein sollte: Zwar ist der interne Speicher verschlüsselt, aber offenbar immer nur mit dem öffentlich bekannten Standardpasswort. Solange man den Bootloader nicht entsperrt, ist das kein großes Sicherheitsproblem, da man dann eh nicht ohne weiteres auf den internen Speicher zugreifen kann.

Sehr schlecht sieht die Sache allerdings aus, wenn man den Bootloader entsperrt: in diesem Fall liegen die Daten offen. Nachvollziehen kann man das zum Beisiel, wenn man TWRP als Recovery installiert. Dort ist ein Zugriff auf die data-Partition möglich, ohne irgendein Kennwort eingeben zu müssen.

Technische Details habe ich hier (auf englisch) hinterlegt: Internal Storage Encryption

 

[taiman23]

@xor2000 Deshalb sollst du deinen Bootloader nicht entsperren und dadurch ein Sicherheitsleck schaffen
Aber dennoch sollte sich das Default PW ändern bzw. mit PIN / PW synchronisieren bzw. sollte es über Emui änderbar sein. Ist mE ein Bug.