Zugriffsschutz durch Hardware-Verschlüsselung

Band- und Disk-Verschlüsselung

Einige Festplatten bieten mittlerweile die Möglichkeit, geschriebene Daten "on-the-fly" verschlüsselt auf den Magnetscheiben zu speichern. Von der Firma Digitrade werden sogenannte hochsichere Festplatten mit hardwarebasierter AES-Verschlüsselung angeboten. Diese sind in einem Gehäuse mit einem Eingabefeld auf der Oberseite ausgestattet. Der Anwender benötigt eine Smartcard und eine dazugehörige achtstelligen PIN, um seine Daten zu verwalten.

Im Bereich der magnetischen Aufzeichnung auf Bändern hat sich LTO/Ultrium als Standard durchgesetzt. Die LTO-Methode, die auch als Linear-Tape-Open-Technologie bezeichnet wird, ist ein Magnetbandformat, das linear mehrere Spuren gleichzeitig und bi-direktional auf das Band schreibt. Der LTO-Standard ist bis zur Generation 8 vordefiniert und bietet von Anfang an eine Hardwaredatenkompression. Durch das optimierte Spurlayout und die sehr effektive Fehlerkorrektur konnten Kapazität und Performance kontinuierlich gesteigert werden. Seit Generation 4 (LTO-4) bietet der Standard eine hardwarebasierte Tape-Verschlüsselung für LTO-4- und LTO-5-Laufwerke. Die Verschlüsselung erfolgt meist direkt nach der Datenkompression.

Die Implementierung von AES in Hardware in die jeweiligen Produkte ist jedoch den Herstellern überlassen. Möchte man dieses Feature bei einem LTO-Laufwerk nutzen, sollte man vorher beim Hersteller abklären, ob es auch im Produkt verfügbar ist. LTO-Laufwerke nutzen den AES-Algorithmus im Modus Galois/Counter mit 192-Bit-Schlüsseln (AES256-GCM). GCM ist für Blocklängen von 128 Bit und für eine Parallelverarbeitung optimiert. Dieser Modus der Blockverknüpfung ist somit wesentlich schneller als beispielsweise Cipher Block Chaining (CBC).

Die LTO-Verschlüsselung ist konform zu folgenden Standards: Galois/Counter-Mode-Betrieb (GCM), Advanced Encryption Standard (AES), IEEE SPC-4 SCSI Primary Commands, IEEE SSC-3 SCSI Stream Commands und IEEE P1619.1TM/D13, Draft Standard for Authenticated Encryption with Length Expansion for Storage Devices.

Obwohl die LTO-Roadmap die AES-Datenverschlüsselung als Standard definiert, ist das Schlüsselmanagement nicht Teil der Definition. Somit kann dieses in Third-Party Software, wie der Backup-, Library- oder anderer Software, realisiert sein. Untereinander ist die Verschlüsselung aber kompatibel. Wird ein Band in einem Laufwerk verschlüsselt, so sollte es sich mit dem richtigen Schlüssel auch in einem anderen Tape-Drive dekodieren lassen.