Filehosting: Box legt Schlüssel beim Kunden ab

Wer vertrauliche Daten auch verschlüsselt bei öffentlichen Filehostern ablegt, hat ein Problem: Per Durchsuchungsbefehl können Behörden die Herausgabe des Schlüssels erzwingen. Auch Angreifer könnten seiner habhaft werden. Dann lassen sich die Daten einsehen. Dem will der Filehoster Box künftig mit dem kostenpflichtigen Zusatzdienst Box Enterprise Key Management (Box EKM) entgegentreten.

Geschäftskunden können darüber einen eigenen privaten Schlüssel beantragen. Dieser wird auf eigenen Hardware-Sicherheitsmodulen (HSMs) generiert und abgelegt. Diese werden in Kooperation mit dem Unternehmen Safenet von Box bereitgestellt. Jeder Kunde erhält zwei, einer bei den Amazon Web Services, der andere beim Kunden selbst. HSMs sind Peripheriegeräte, die speziell für die Kryptografie gedacht sind. Zwar verwaltet der Kunde diese HSMs selbst, erlaubt aber Box den Zugriff über eine gesicherte und abgeschottete Verbindung.

Eigene HSMs für private Schlüssel

Jede vom Kunden auf die Box-Server hochgeladene Datei wird zunächst wie üblich von Box selbst verschlüsselt. Dieser einzigartige Schlüssel wird dann an das HSM gesendet und dort nochmals mit dem privaten Schlüssel des Kunden verschlüsselt. Dort wird auch jede Transaktion protokolliert. Damit kann die so verschlüsselte Datei nur vom Kunden selbst wieder entsperrt werden.

Welche Verschlüsselung genau verwendet wird, und welche HSMs aus dem Angebot des Unternehmens Safenet provisioniert werden sollen, darüber verrät der Blogeintrag nichts. Ohnehin richtet sich der Dienst Box EKM nur an Geschäftskunden. Bislang befindet sich Box EKM in einer Beta-Phase. Laut Box soll es noch einige Monate dauern, bis das von dem Unternehmen patentierte Verfahren allgemein zugänglich gemacht wird.