ROM für Vollverschlüsselung

[BlackMatrix]

Hallo,

ich möchte gerne mein Samsung Galaxy S2 (i9100) in einen Zustand versetzen, sodass man es als sicheres Device für 2FA und ähnliches benutzen kann.
Es sollte sich dabei nach der Einrichtung bestenfalls gar nicht mehr mit dem Internet verbinden und jegliche Schnittstellen inkl. USB sollten deaktiviert sein. Eine Vollverschlüsselung muss dabei auch gewährleistet sein, sodass bei Verlust mit dem Gerät nichts anzufangen ist.
Ich frage mich wie ich das bestmöglichst erreiche. Welches ROM kommt dafür bestmöglichst in Frage? Sollte man ein möglichst altes Stock ROM nehmen, weil dort noch am ehesten keine Sicherheitslücken zu finden sind (im Gegensatz zu den Nightly ROMs) und durch die fehlende Verbindung zur Außenwelt auch die fehlenden Patches kein allzugroßes Problem darstellen. Oder wäre es besser ein möglichst aktuelles ROM zu nehmen, was sicherhlich auch mit Geschwindigkeitseinbußen bei der Bedienung nach sich ziehen würde, aber bereits kritsche Bugs behebt und somit noch die beste Sicherheit gewährleistet wird?
Kein Root ist klar, aber gibt es sonst noch etwas auf das man achten sollte? Die 2FA App zusammen mit dem aufzuspielenden ROM auf die SD Karte schieben, Hashabgleiche machen und nachdem alles drauf ist, die SD Karte entfernen.

Vielleicht habt ihr sowas schon mal gemacht und könnt mir auch eure Erfahrungen teilen. Ist jetzt nicht unbedingt S2 spezifisch, aber ich habe vor es auf einem S2 einzurichten.

Vielen Dank schon mal für eure Hilfe

 

[BlackMatrix]

Darf ich pumpen?

 

[BOotnoOB]

@BlackMatrix Nimm ein Handy ab Android 6, denn die sind standardmäßig verschlüsselt. Ohne die Displaysperre aufzuheben kommt keiner an die Daten ran. Flugmodus einschalten, dann hast du keinerlei Verbindungen. USB deaktivieren? Wozu? Datenverbindungen müssen standardmäßig freigegeben werden.
Da du eh keine Verbindungen zulassen willst, ist es auch völlig egal, welchen Stand die Security Patches haben.

Beiträge automatisch zusammengeführt: 27.02.2021

Und warum kein Root? Kennt man sich einigermaßen gut aus, bist du mit Root definitiv besser geschützt als ohne, weil du kompletten Zugriff hast. Nur weil das Handy Root hat, kann noch lange nicht jede App auf alles zugreifen.

 

[BlackMatrix]

Du meinst generell ein Handy, bei dem das Stock ROM bei mindestens Android 6 vorhanden war oder macht es eigentlich keinen Unterschied mein Galaxys S2 mit einem Custom ROM aufzuspielen, welches mindestens auf dem Stand von Android 6 ist?

Nun, wenn man keine Rootrechte aktiviert hat, gehe ich grundsätzlich davon aus, dass Handys, die dann per USB verbunden werden auch eine weit weniger große Angriffsfläche bieten, als mit Rootrechten. Nicht zuletzt habe ich häufiger gelesen, Rootrechte und USB Debugbridges bieten Möglichkeiten noch Zugriff auf Handys mit geschrottete Display zu erlangen. Wenn also Root und sogar die USB Verbindung deaktiviert wäre, klingt das für mich nach einem noch sicheren System.

 

[BOotnoOB]

Du meinst generell ein Handy, bei dem das Stock ROM bei mindestens Android 6 vorhanden war oder macht es eigentlich keinen Unterschied mein Galaxys S2 mit einem Custom ROM aufzuspielen, welches mindestens auf dem Stand von Android 6 ist?

Alle Geräte, die mit Android 6 ausgeliefert wurden, sind von Hause aus verschlüsselt. Eine Custom ROM mit Android 6 wird dein Gerät vermutlich nicht verschlüsseln, da sich die Entwickler meist an der Ausgangssituation orientieren (müssen).
Das Gerät könnte aber manuell über die Einstellungen verschlüsselt werden, unabhängig von der installierten Android-Version.

Rootrechte und USB Debugbridges bieten Möglichkeiten noch Zugriff auf Handys mit geschrottete Display zu erlangen

Dazu ist kein Root nötig, nur USB-Debugging muss aktiviert sein und muss bestätigt werden, bevor eine Verbindung hergestellt werden kann.

Wie gesagt, Root bedeutet nicht, dass jede App alles machen darf. Das ist ein Irrglaube. Sind deine Daten verschlüsselt, MUSS die entsprechende PIN/Passwort etc. eingegeben werden, um die Daten lesen zu können. Selbst mit Root führt daran kein Weg vorbei. Entweder PIN oder mal freundlich bei der NSA nachfragen, ob die einen Tipp haben, wie eine AES-256-Verschlüsselung zu knacken ist. Mein Kenntnisstand ist, dass selbst die es bisher noch nicht geschafft haben. Und die haben bessere Tools als Root zur Verfügung.

 

[BlackMatrix]

Dank dir für deine Hilfe. Das war mir nicht bekannt. Da ich schon gerne das S2 benutzen möchte, werde ich mir wohl ein Custom ROM mit mindestens Android 6 zulegen.
Dass AES-256 geknackt werden kann, darüber mache ich mir wenig Gedanken. Viel größer sehe ich das Problem, dass eben so ein Custom ROM noch sehr viele Sicherheitslücken aufweist und da eben kein Block für den Bruteforce der PIN bzw. des Passworts passiert oder aber erst gar nicht ein PIN eingegeben werden muss und man direkt an der eigentlichen Sperre vorbeikommt. Das wäre weniger schön und daher wollte ich auch alle Verbindungen am besten unaktivbar deaktivieren beim ROM aufspielen oder so
Hab zwar nicht mit der NSA am Hut, aber dennoch bin ich da wahrscheinlich immer ein wenig paranoid, dass jemand an meine 2FA rankommen könnte.

 

[BOotnoOB]

und da eben kein Block für den Bruteforce der PIN bzw. des Passworts passiert

Wenn jemand bei dir einbrechen sollte und das Handy klaut, kann er den PIN nicht unbegrenzt falsch eingeben, ohne eine zeitliche Sperre dazwischen zu haben.

man direkt an der eigentlichen Sperre vorbeikommt.

Unmöglich! Ein Bypass der Sperre bringt dir absolut gar nichts. Die Sperre ist der Key, um die Verschlüsselung aufzuheben. Würdest du also die Sperre umgehen, blieben deine Daten weiterhin verschlüsselt.

Sind deine Daten verschlüsselt, kann ohne Bestätigung am Gerät keine Verbindung via USB aufgebaut werden.

 

[BlackMatrix]

Weißt du zufällig was ich noch installieren muss damit ich eine APK installieren kann? Ich möchte weder F-Droid noch GApps installieren, aber wenn ich meine APK im Dateiexplorer öffnen will, zeigt er mir nur den Inhalt des ZIP Archivs an.

 

[BOotnoOB]

@BlackMatrix

Split APKs Installer (SAI) APKs - APKMirror

 

[BlackMatrix]

Danke. Komisch jetzt konnte ich es direkt installieren.

 

[BlackMatrix]

Eine Custom ROM mit Android 6 wird dein Gerät vermutlich nicht verschlüsseln, da sich die Entwickler meist an der Ausgangssituation orientieren (müssen).
Das Gerät könnte aber manuell über die Einstellungen verschlüsselt werden, unabhängig von der installierten Android-Version.

Du meinst hiermit sicher, dass man sobald das Custom ROM installiert ist, man über die Android Einstellungen die Verschlüsselung anstößt?

ich hätte mich wohl vorher mal informieren sollen, ob es überhaupt möglich ist, das GT-i9100 zu verschlüsseln. All meine Versuche jetzt mit verschiedenen LOS und TWRP Versionen mein Gerät zu verschlüsseln, waren bisher erfolglos. Der Android Roboter erscheint kurz, danach passiert nichts mehr oder das Gerät startet direkt neu

 

[BOotnoOB]

@BlackMatrix Brauchst du überhaupt eine Verschlüsselung? Hat jemand Zugriff auf das Handy außer dir?

 

[BlackMatrix]

Ich möchte das Handy als mein 2-Faktor Keygenerator Backup verwenden. Möglicherweise möchte ich noch andere sicherheitskritische Anwendungen installieren, die keinen Netzwerkzugriff benötigen. Ja, eine Verschlüsselung ist fast meine einzige Anforderung

 

[BOotnoOB]

@BlackMatrix Aber wenn die Anwendungen so dermaßen sicherheitskritisch sind, warum nimmst du dann so ein altes Gerät und willst mit Custom ROMs arbeiten? Wird das Handy deine eigenen vier Wände überhaupt jemals verlassen, sobald es eingerichtet ist? Denn diese Verschlüsselung schützt das Gerät nur vor physischem Zugriff und sonst vor nichts.

 

[BlackMatrix]

Ich hatte mir erhofft, dass dadurch, dass das Gerät sowieso keinen Netzzugriff bekommt, ich kein Root zulasse und das Gerät komplettverschlüsselt wird, dann auch niemand den Inhalt auslesen kann. Zusätzlich ist der Keygenerator nochmal mit einem Passwort versehen. Ich hätte mir jetzt eigentlich erhofft, dass es da keinen großen Unterschied macht, ob ich jetzt ein 10 Jahre altes Gerät damit bestücke und es nutzen kann bis es den Geist aufgibt, oder ich ein jetzt aktuelles Gerät nehme, was ich auch noch in 10 Jahren nur für diesen Einsatzzweck verwende und dann auch wieder alt wäre. Es soll halt ein Backup werden und es wäre schön, wenn ich das auch verlieren kann ohne, dass ich erst all meine 2 Faktorauthentifiziererungen mit neuen Private Keys bestücken müsste.

 

[BOotnoOB]

@BlackMatrix Installier die Stock ROM und deaktiviere die OEM-Entsperung. Das ist der erste Schritt zu einem völlig sicheren Gerät. Dann suchst du in den Einstellung unter Sicherheit nach "Gerät verschlüsseln". Unter Android ist das jedenfalls der Weg, kann bei Samsung abweichen.
Sollte es diese Option nicht geben (was ich bezweifle), kannst du dieses Feature bei der Stock ROM nicht selber implementieren.

Eine Custom ROM und völlige Sicherheit ist nicht zu 100% vereinbar. Aber diese Option könnte bei so einer ROM evtl. vorhanden sein, wenn sie bei der Stock ROM nicht zu finden ist. Müsste man ausprobieren, indem man einzelne ROMs installiert.

Du musst diese Optiin in den Einstellungen finden, ansonsten geht es nicht.

 

[BlackMatrix]

Ich werde das mal ausprobieren, vielen Dank.

Ein was fällt mir gerade noch ein, was ich dich fragen möchte. In irgendeiner Konstellation hatte ich es sogar mal geschafft, dass die Verschlüsselung scheinbar beim Custom ROM funktioniert hat? Leider habe ich es noch nicht erneut hinbekommen, aber die Verschlüsselung war in sehr kurzer Zeit scheinbar fertig (ohne das das irgendwie bestätigt wurde), aber ich musste dann, noch bevor irgendwas gestartet wurde, tatsächlich mein Passwort eingeben. Das fand ich etwas sonderbar, da es so schnell ging und keine Bestätigung kam, dass er fertig war. Ich vermute mal stark, dass da nicht wirklich was verschlüsselt wurde, aber dennoch die Abfrage immer hochkam.

 

[BOotnoOB]

@BlackMatrix Als 08/15-User bekommst du gar nicht mit, ob deine Daten verschlüsselt sind oder nicht. Weder ein zusätzliches Passwort noch PIN oder sonst was ist dabei nötig. Lediglich die Displaysperre entschlüsselt deine Daten. Auch, wenn es nur eine Wischgeste ist.

Das fand ich etwas sonderbar, da es so schnell ging und keine Bestätigung kam, dass er fertig war.

Wie lange so eine manuelle Verschlüsselung dauert und ob eine Bestätigung kommt, weiß ich nicht. Besonders nicht bei Samsung, denn da ist vieles anders als bei normalem Android.
Ich kenne nur die Oberfläche von Android und dort ist in den Einstellungen zu sehen "Smartphone ist verschlüsselt" oder "Smartphone nicht verschlüsselt" (s. Anhang). Sonst gibt es darüber keine Info in den Einstellungen.

 

[BlackMatrix]

In den Einstellungen stand tatsächlich, dass das Telefon verschlüsselt war, aber ich hab dem dennoch nicht geglaubt. Das ging zu schnell, auch wenn ich es direkt nach dem ROM flashen gestartet habe.

Ich habe jetzt mal intensiv nach "Encryption" im xda Forum gesucht und scheinbar haben es wohl doch einige unter gewissen Umständen zum Laufen bekommen.

[ROM][UNOFFICIAL][10.0.0][r41][I9100] LineageOS 17.1

Aber nicht bei mir. Evtl. mache ich noch irgendwas falsch. Nichtsdestotrotz würdest du für mein Vorhaben eher empfehlen, das Stock ROM zu verwenden um dort die Verschlüsselung anzustoßen? Ich habe die Befürchtung, dass ich mit Android 4 ziemlich eingeschränkt bin. z.B. andOTP, welches ich vorhatte primär einzusetzen, verlangt mindestens 5.1

 

[BOotnoOB]

Ich habe jetzt mal intensiv nach "Encryption" im xda Forum gesucht

In der Datei "fstab.XXX" (XXX steht für den CPU-Hersteller) steht drin, ob Verschlüsselung standardmäßig oder erst durch Einstellungen aktiv ist. Für jemanden, der weder Erfahrung beim entpacken einer Firmware noch eines boot.img hat, ist es relativ kompliziert, diese Datei zu extrahieren.

Zufälligerweise habe ich mir genau die von dir verlinkte FW eben schon angesehen. Dort ist eingetragen, dass die Datenpartition via Einstellungen verschlüsselt werden kann.

ABER: TWRP wird es 100%ig nicht entschlüsseln können. Das ist die berühmte Schwachstelle bei TWRP, die es selbst dann nicht immer schaffen, wenn sie es müssen.
Bedeutet für dich im Klartext, du hast im günstigsten Fall via TWRP keinen Zugriff mehr auf deine Datenpartition, kannst es aber sonst normal benutzen. Läuft es ungünstig, bleibt TWRP hängen und lässt sich nicht starten.

Klar, wenn eine App Android 5.0+ braucht, kannst du mit einer Version darunter nichts anfangen, bzw. die App nicht benutzen.

Beiträge automatisch zusammengeführt: 14.03.2021

Die Verschlüsselung dauert übrigens nicht so lange, weil es eine FDE (Full Disk Encryption) ist. Es wird also "nur" die Partition und nicht jede einzelne Datei (FBE = File Based Encryption) verschlüsselt. Die FBE kommt erst bei späteren Versionen zum Einsatz und ab Android 8 oder 9 ist sie verpflichtend für Entwickler.