Zugriffsschutz durch Hardware-Verschlüsselung

SATA-zu-SATA-Verschlüsselung

Im Bereich von Standard-Disk-Systemen können für eine Verschlüsselung in Echtzeit spezielle Adapter eingesetzt werden. Diese lassen sich in die SATA-Verbindung vom Mainboard zur Disk einschleifen. Die Firma Enova Technology bietet dafür speziell entwickelte ASICs (Application Specific Integrated Chip) an, die direkt im Mainboard oder in ein Disk-Gehäuse integriert werden können. Hardwaremäßig wird dabei der komplette Datenstrom mit AES (128 bis 256 Bit) mit einer Bandbreite von bis zu 150 MByte/s verschlüsselt. Als Protokoll werden SATA 1.0a und 2.0 unterstützt, die nach NIST und CSE zertifiziert sind.

Die Datenmodifizierung erledigt der X-Wall MX-256 ASIC, der auch die SATA-Protokolle beherrscht und somit in die SATA-Verbindung eingefügt wird. Die Authentifizierung kann dabei auf verschiedene Arten erfolgen: über ein Trusted Platform Modul (TPM), einen Fingerprint-Sensor, eine Smart-Card, ein Key-Token oder eine Passwort-Eingabe-Maske.

Auch die Firma Hiddn bietet SATA-Adapter und USB-Crypto-Boxen für diesen Anwendungsfall an.

USB-Speicher mit AES-HW-Verschlüsselung

Im Bereich der USB-Sticks bietet unter anderem die Firma Kingston USB-Speicher der Serie DataTraveler USB an, die alle auf Hardwareebene mit AES-256 verschlüsselt sind. Der DataTraveler 4000 ist sogar nach FIPS 140-2 zertifiziert.

Neben gesicherten USB-Sticks gibt es von verschiedenen Anbietern auch Kryptoboxen mit AES-Verschlüsselung für SATA-, SAS-, SCSI- und Fibre Channel. Somit kann fast jedes Speichergerät transparent mit einem erhöhten Zugriffsschutz versehen werden.

Neben der vollen Disk-Verschlüsselung (FDE) kann man auch nur Teile davon schützen. Ein sogenannter Container im Dateisystem kann die zu schützenden Dateien aufnehmen, während der Rest der Daten auf der Disk ungeschützt ist.