Original-URL des Artikels: https://www.golem.de/news/android-5-lollipop-verschluesselt-noch-besser-1411-110547.html    Veröffentlicht: 14.11.2014 11:59    Kurz-URL: https://glm.io/110547

Android 5

Lollipop verschlüsselt - noch besser

Mehr Sicherheit für persönliche Daten: Ab Android 5.0 aktiviert Google die automatische Verschlüsselung. Es ist nur eine von vielen zusätzlichen Sicherheitsfunktionen in Lollipop.

Die US-Bundespolizei FBI ist aufgeschreckt: Künftig verschlüsselt Android 5 alias Lollipop standardmäßig sämtliche privaten Daten auf einem Smartphone oder Tablet. Google habe diese Option aktiviert, um die persönlichen Daten im Falle eines Smartphone-Diebstahls zu schützen, heißt es vom Android-Hersteller. Strafverfolgungsbehörden in den USA sehen sich in ihren Ermittlungen behindert. Google hat seinem mobilen Betriebssystem nebenbei noch zusätzliche Sicherheitsfunktionen spendiert, etwa einen Inkognito-Modus.

Die Verschlüsselung des Systems ist seit Android 4.3 möglich. Die Option ist in den Einstellungen eines Geräts mit Stock-Android unter Sicherheit zu finden. Auch in angepassten Versionen von Android, etwa von Samsung, ist die Verschlüsselung integriert.

Sichere Technik

Bei der Verschlüsselung in Android 4 und 5 wird zunächst ein Hauptschlüssel mit 128 Bit erstellt. Mit diesem wird das Dateisystem entsperrt, das mit dem Linux-Werkzeug Dm-crypt verschlüsselt wird. Im Stock-Android gelten dafür die Voreinstellungen 128 AES sowie CBC (Cipher-Block Chaining) und ESSIV:SHA265. Der Hauptschlüssel wird dann mit 128 Bit AES-verschlüsselt und durch die PIN oder das Passwort des Nutzers geschützt. Unter Android 5 wurde zudem Scrypt integriert, um das Passwort oder die PIN eines Nutzers zusätzlich gegen Brute-Force-Angriffe zu schützen.

Um die Verschlüsselung zu beschleunigen, werden ab Android 5 nur noch bereits mit Daten gefüllte Blöcke in der Partition /data verschlüsselt. Dazu wird ein kompatibles Dateisystem benötigt, unter Android sind das die Dateisysteme Ext4 und Samsungs F2FS. Die nachträgliche Verschlüsselung dauert auf einem frisch installiertem Smartphone weniger als 15 Minuten. Je mehr Daten sich angesammelt haben, desto mehr Zeit muss eingerechnet werden. Die Zugriffszeiten auf den Datenspeicher und auf die SQLite-Datenbanken im System erhöht sich nur unwesentlich.

Daten sichern vor dem Zurücksetzen

Die Verschlüsselung lässt sich nicht wieder rückgängig machen. Es bleibt unter Android 4.x nur die Möglichkeit, auf den Werkszustand zurückzusetzen. Dabei gehen aber alle persönlichen Daten verloren. Auch beim Zurücksetzen unter Android 5 wird der ursprüngliche Hauptschlüssel gelöscht. Für alle Android-Versionen gilt daher: Sämtliche persönlichen Daten sind zu sichern, damit sie später wieder aufgespielt werden können. Android-Geräte lassen sich auch aus der Ferne zurücksetzen. Falls ein Gerät gestohlen wird, kann der Besitzer so verhindern, dass der Dieb seine Daten einsehen kann.

Mit Android 5 ist die Verschlüsselung automatisch aktiviert, zumindest auf den Geräten, die mit Lollipop ausgeliefert werden, etwa dem Nexus 9. Wer ein unverschlüsseltes Gerät auf Android 5 aktualisiert, muss die Verschlüsselung später in den Einstellungen manuell aktivieren. Bei bereits verschlüsselten Geräten werden die Einstellungen bei einem OTA-Update übernommen. Wer hingegen Android 5 per Flash auf sein verschlüsseltes Gerät einspielt, verliert seine persönlichen Daten. Das gilt auch, wenn Android zuvor nicht verschlüsselt war.

Anmelden ohne PIN und als Inkognito-Benutzer

Es gibt in Android 5 aber noch andere, wesentliche Änderungen bei der Verschlüsselung. Unter Android 4.x muss das Passwort oder die PIN nicht nur beim Systemstart eingegeben werden, sondern auch, um den Bildschirm zu entsperren. Unter Android 5 ist das trotz Verschlüsselung gar nicht mehr nötig. Beim Systemstart kann eine Eingabe wegfallen, und auch der Sperrbildschirm lässt sich dann beispielsweise ganz ohne Sicherheitseingabe deaktivieren. Dazu muss in den Einstellungen lediglich die Displaysperre deaktiviert werden. Setzt der Nutzer später doch ein neues Passwort oder eine PIN für die Displaysperre, kann er auswählen, ob deren Eingabe auch für den Systemstart nötig sein soll. Dazu muss zusätzlich noch die Option "Ein/Aus sperrt Gerät" aktiviert sein.

In Android 5 kann die Displaysperre beispielsweise auch mit Smartlock aufgehoben werden. Damit lassen sich Android-Geräte automatisch entsperren, wenn zuvor berechtigte Bluetooth-Geräte oder NFC-Tags gekoppelt werden. Das funktioniert mit entsprechenden Smartwatches ebenso wie mit Bluetooth-Headsets. Solange solche Geräte verbunden sind, bleibt das Smartphone oder Tablet entsperrt. Alternativ können Nutzer hier eine Gesichtserkennung einrichten.

Mehrbenutzersystem mit Inkognitomodus

Wer sein Android-Tablet oder Smartphone auch anderen Benutzern zur Verfügung stellen will, ohne dass diese Zugriff auf seine persönlichen Daten bekommen, kann ab Android 5 mehrere Benutzerprofile anlegen. Neue Nutzer bekommen ein eigenes Profil mit getrennten persönlichen Daten und können eigene Apps installieren. Zusätzlich lassen sich eingeschränkte Profile anlegen. Beim Einrichten lässt sich beispielsweise festlegen, auf welche Apps dieser Nutzer zugreifen darf. Zudem gibt es den Benutzer Gast, der ähnlich funktioniert wie der Inkognito-Modus in aktuellen Browsern. Alle dort gesammelten Daten und sogar Apps, die über eine einmalige Anmeldung im Play Store zunächst installiert werden können, werden wieder gelöscht, wenn das Gastprofil gelöscht wird. Es wird über die Einstellungen unter "Nutzer" zunächst aktiviert und bleibt solange als Auswahl im Sperrbildschirm, bis es wieder gelöscht wird.

Unter Android 5 wurden im System noch weitere Funktionen hinzugefügt, die die Sicherheit des mobilen Betriebssystems erhöhen sollen. Google hat beispielsweise die aktuellen TLS-Versionen 1.1 und 1.2 samt AES-GCM für HTTPS und TLS/SSL aktiviert und wo möglich, wird Forward Secrecy verwendet. Außerdem wurden schwache Verschlüsselungsverfahren wie MD5 und 3DES deaktiviert. Um die Sicherheitsfunktion ASLR zu erweitern, müssen ausführbare Dateien mit PIE (Position-Independent Executables) erstellt werden. Dadurch lässt sich der Offset von ausführbarem Code in Binärdateien verschleiern.  (jt)


Verwandte Artikel:
Eee Pad Transformer: Asus verteilt Update auf Android 4.0   
(27.02.2012, https://glm.io/90078 )
Android-Verbreitung: Android 7.1 knackt endlich die 1-Prozent-Marke   
(09.08.2017, https://glm.io/129387 )
Galaxy S9 und S9+ im Test: Samsungs Kamera-Kompromiss funktioniert   
(08.03.2018, https://glm.io/133164 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Librem 5: Purism-Smartphone bekommt Smartcard für Verschlüsselung   
(09.03.2018, https://glm.io/133248 )

© 1997–2019 Golem.de, https://www.golem.de/