Full-disk encryption vs file based encryption
Bij full-disk encryption (FDE) wordt de volledige opslag versleuteld, wat inhoudt dat het niet mogelijk is om iets te doen met gegevens, foto’s en andere data van gebruikers, totdat er een wachtwoord of code wordt opgegeven. Deze methode van beveiliging biedt als voordeel dat deze relatief snel is. Een nadeel is dat het bijvoorbeeld niet mogelijk is om een wekker af te laten gaan tot de gebruiker het toestel ontgrendeld heeft: de gegevens over op welke tijd de wekker staat, zijn immers versleuteld en nog niet in te zien.
Bij file based encryption (FBE) worden verschillende bestanden opgeslagen met verschillende sleutels. Dat houdt ook in dat sommige bestanden ook beschikbaar te maken zijn zonder dat de gebruiker eerst zijn wachtwoord opgeeft. Hierdoor is het mogelijk om wekkers af te laten gaan of om telefoongesprekken te ontvangen op het moment dat de gebruiker zijn wachtwoord nog niet opgegeven heeft.
De sleutels die gebruikt worden om bestanden te versleutelen, zijn opgeslagen in een beschermd gedeelte van het geheugen. Dit gedeelte, de ‘TrustZone’, moet zelfs veilig blijven op het moment dat het systeem zelf gehackt is. Bij het controleren van een onjuiste code, wachtwoord of patroon, zal TrustZone een (steeds groter wordende) vertraging gebruiken om het raden van een code of patroon lastig te maken. Bij een eenvoudig patroon (4 punten) zal het door TrustZone 4 jaar duren om alle combinaties te proberen.
Nieuwe techniek
Doordat het systeem bij verschillende mappen of zelfs aparte bestanden gebruik moet maken van verschillende sleutels, heeft dit invloed op de prestaties. Dat zorgt er voor dat FBE langzamer is dan FDE. Daarnaast voldeed de huidige ‘standaard’ voor dit soort versleuteling bij op Android-gebaseerde systemen, eCryptFS, volgens Google niet aan de snelheidseisen.
Eén van de makers van eCryptF, Michael Halcrow, heeft echter samengewerkt met de ontwikkelaar verantwoordelijk voor het op Android veelgebruikte bestandssysteem ext4, Ted Ts’o. Samen hebben ze ondersteuning voor encryptie toegevoegd aan ext4 en volgens Google is het resultaat dat de prestaties vergelijkbaar zijn met die van full-disk encryption. Android is de eerste toepassing van de nieuwe ext4-functie.
Google heeft zelf ook nog wat aanpassingen gedaan, zodat gebruik gemaakt kan worden van speciale hardwaremogelijkheden die de Pixel-smartphones bieden. Hierdoor is het mogelijk om versleutelde data veel sneller op te slaan.
Beschikbaarheid
Momenteel is de nieuwe manier van beveiliging alleen te vinden in de Google Pixel en Pixel XL, maar verwacht wordt dat andere fabrikanten hier ook gebruik gaan maken. De code voor de implementatie van Google is al te vinden in het Android Open Source Project.
Bron: Android Developers Blog
Reacties
Inloggen of registreren
om een reactie achter te laten
Heel interessant! Wel ingewikkelde materie