Bild 1: Bei der symmetrischen Kryptographie kennen Sender und Empfänger den Schlüssel. Der Vorteil dieser Verschlüsselungsmethode ist, dass sie sehr schnell ist und wenig Rechenleistung fordert. (Bild: Hyperstone)
In den letzten Jahren hat Datensicherheit, zum Beispiel bei personenbezogenen und privaten Daten in unserer Gesellschaft stetig an Bedeutung gewonnen. Das Verständnis dafür, was mit den Daten passiert spielt eine kritische Rolle in Bezug auf die Maßnahmen, die es zu ergreifen gilt, damit Familien und Eigentum sicher sind. Abhängig davon, wie wertvoll die gespeicherten Daten sind, greifen teilweise sehr komplexe Sicherheitsmechanismen. Der folgende Artikel reißt die grundlegenden Konzepte einer sicheren Datenspeicherung an.
Was ist der Unterschied zwischen Autorisierung und Authentifizierung?
Wird über Sicherheit gesprochen, kommen üblicherweise einige grundlegende Ideen und Konzepte zur Sprache. Eines ist Authentifizierung, das andere ist Autorisierung. Authentifizierung ist ein Mechanismus, der eine Person identifiziert oder verifiziert, dass diese Person tatsächlich die Person ist, die sie oder er vorgibt zu sein. Es gibt eine Vielzahl an aus dem Alltag bekannten Mechanismen. Dazu gehört zum Beispiel die PIN oder das Passwort das der Nutzer erhält, wenn er einen neuen Account aufsetzt. In dieser Situation beweist der Nutzer seine Identität.
Zusätzlich gibt es die Autorisierung. In diesem Fall wird die Identität nicht nur verifiziert, sondern es wird auch überprüft, ob die Person das Recht besitzt auf bestimmte Daten zuzugreifen. Insbesondere in der digitalen Welt mit unterschiedlichen Zugriffsleveln oder Netzwerken mit zahlreichen Usern oder User-Gruppen ist es wichtig sicherzustellen, dass nur die richtigen Personen Zugriff auf bestimmte Daten erhalten. Letzten Endes ist für die Autorisierung auch eine gewisse Authentifizierung notwendig und Authentifizierung bedeutet nicht zwangsläufig Autorisierung.
Wie lässt sich der Austausch von Wissen absichern?
Wie lassen sich wertvolle Informationen möglichst risikofrei von einer Person an eine andere außerhalb des eigenen Netzwerks senden? Die Antwort ist Kryptographie. Die Anzahl der Kommunikationskanäle nimmt ständig zu und dadurch entstehen unbeabsichtigt Möglichkeiten für unautorisierte Personen, auf Daten zuzugreifen.
Deswegen kommt Kryptographie zum Einsatz, um große wie kleine Datenmengen zu verschlüsseln. Sollten also Daten in die Hände von unautorisierten Personen gelangen, können diese nicht die Informationen aus den Daten entnehmen, da sie nicht wissen, wie die Daten zu entschlüsseln sind. Im Grunde geht es bei der Kryptographie darum, Protokolle zu entwerfen und zu analysieren, die verhindern, dass eine dritte Person die Nachricht lesen kann.
Symmetrische und asymmetrische Kryptographie: Was ist der Unterschied?
Kryptographie lässt sich grob in zwei Kategorien aufteilen: Symmetrische und asymmetrische Kryptographie. Beide Methoden haben ihre Vor- und Nachteile. Im Fall von symmetrischer Kryptographie haben sowohl der Sender als auch der Empfänger den gleichen geheimen Schlüssel, meistens ein Passwort (Bild 1). Mit diesem Verfahren geschieht die Ver- und Entschlüsselung sehr schnell und benötigt verhältnismäßig wenig Rechenleistung. Doch dieses System hat einen inhärenten Nachteil. Da beide Seiten den gleichen Schlüssel nutzen, muss dieser auf eine sichere Weise ausgetauscht werden bevor er zum Einsatz kommt. Dies kann in einigen Fällen sehr schwierig sein. Wenn Person A eine Datei an Person B schicken will, kann Person A das Passwort telefonisch mitteilen.
Es ist gut, dass in diesem Fall zwei unterschiedliche Kommunikationswege genutzt werden. Der Nachteil ist jedoch, dass es ein relativ umständlicher Austausch ist. Darüber hinaus ist für jeden neuen Kontakt ein neues Passwort festzulegen und auszutauschen. Es ist somit eine Herausforderung, viele Kontakte zu verwalten. Das wohl bekannteste Beispiel für symmetrische Kryptographie ist der Advanced Encryption Standard (AES). AES ist ein Algorithmus, der vor allem in Speichersystemen wie SSDs und vielen unterschiedlichen WPA2-Verschlüsselungen für Wi-Fi genutzt wird. Einer der Vorteile von AES ist, dass es von vielen CPUs unterstützt wird.
Asymmetrische Verschlüsselung löst das Problem des sicheren Austauschs des Schlüssels (Bild 2). Sie basiert auf einem System, das einen privaten und einen öffentlichen Schlüssel verwendet. Die Tatsache, dass das System auf zwei unterschiedlichen Schlüsseln basiert, um eine verschlüsselte Kommunikation zu ermöglichen, ist ein großer Vorteil. Die Idee hinter asymmetrischer Verschlüsselung ist, dass der private Schlüssel geheim gehalten wird und zu keinem Zeitpunkt mit einer anderen Person geteilt wird. Der öffentliche Schlüssel hingegen kann ohne weitere Bedenken auf dem üblichen Kommunikationskanal ausgetauscht werden.
Es ist nicht notwendig, einen umständlichen Weg zu finden, den Schlüssel geheim zu halten oder auszutauschen. Er lässt sich einfach an jede Person verschicken. Der Sender nutzt diesen öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Anschließend wird die Nachricht an den Empfänger über den normalen Kommunikationskanal geschickt. Selbst wenn eine dritte Person die Nachricht abfangen sollte und im Besitz des öffentlichen Schlüssels ist, kann sie die Nachricht nicht entschlüsseln. Nur derjenige, für den die Nachricht bestimmt ist hat den privaten Schlüssel, um die Nachricht zu entschlüsseln. Der größte Nachteil an dieser Verschlüsselungsmethode ist, dass sie im Vergleich zur symmetrischen Verschlüsselung relativ viel Rechenkraft benötigt und dadurch auch langsamer ist.
Wie sichert der Flash-Memory-Controller Datentransaktionen?
Zum Senden und Empfangen von Daten gehört oft auch die in Speicherlaufwerken wie SSDs, USB-Flash-Laufwerken und SD-Karten, etwa für Backups. Viele der oben aufgeführten Kryptographie-Algorithmen sind in den Flash-Speicher-Controllern von Hyperstone integriert. Darüber hinaus bietet das Unternehmen Hardware und Firmware an, um abzusichern. So lässt sich z.B. ein Smartcard-Chip als zusätzliche Sicherheit über die ISO/IEC 7816-Schnittstelle hinzufügen. Darüber hinaus gibt es verschiedene andere Möglichkeiten, zusätzliche proprietäre Sicherheitsfunktionen in Controller-basierte Systeme zu implementieren, indem der Anwender seine eigene Firmware-Erweiterungen mit der Anwendungsprogrammierschnittstelle erstellt. Diese Flexibilität ist von unschätzbarem Wert, wenn es darum geht, ein Speichersystem im Kern sicher zu machen.
Wie lassen sich Daten sicher löschen?
Sobald Daten ihren Zweck erfüllt haben, werden sie gelöscht. Dabei ist es sowohl wichtig, Daten zu schützen, solange sie in Verwendung sind, als auch sie effektiv zu löschen, wenn sie veraltet sind. Der Flash-Speicher-Controller ist die Komponente, die für das Löschen von Speicherzellen auf dem Flash-Speicher verantwortlich ist. Um dies effizient zu bewerkstelligen, gibt es verschiedene Methoden.
Eine dieser Methoden wird als Secure Erase bezeichnet. Wenn es um NAND-Flash-Speicher geht, löscht die Controller-Funktion Secure Erase oft nur die Informationen, in denen die Datenblöcke gespeichert sind, aber nicht die Daten selbst. Das bedeutet, dass das sichere Löschen schneller ist als die Sanitize-Funktion. Bei Secure Erase lassen sich Daten jedoch teilweise oder vollständig wiederherstellen.
Sanitize hingegen löscht sowohl die Daten als auch die Karteninformationen. In einigen Fällen werden in diesem Zusammenhang sogar randomisierte Daten auf den Flash geschrieben, um alte Daten zu überschreiben und somit sicherzustellen, dass alle sensiblen Informationen gelöscht sind.
Eine kryptographische Löschung lässt sich nur durchführen, wenn die Daten verschlüsselt wurden, bevor sie auf dem Flash-Chip gespeichert werden. In diesem Fall erfolgt nur eine Löschung der Encryption-Schlüssel. Das Löschen dieser Schlüssel ist schnell und effizient, da es nur eine sehr kleine Menge an Rechenleistung erfordert.
Katrin Wenzel
Sales Manager bei Hyperstone
(na)
