Über die Probleme der Android-Verschlüsselung haben wir im Beitrag zur App SnooperStopper bereits berichtet und diese auch gleichzeitig als Lösung vorgeschlagen. Aber ist das auch bei Android 7 noch nötig und überhaupt möglich? Nougat ist nun schon länger auf dem Markt und neuere Androiden haben es standardmäßig im Gepäck — Zeit also zu überprüfen, ob Google aus vergangenen Fehlern gelernt hat.
Rückblick
Mit Android 4 wurde die Komplettverschlüsselung (Full-Disk-Encyption) eingeführt. Diese Verschlüsselung hält den Inhalt eures Geräts verschlüsselt, wenn es ausgeschaltet ist. Ist es eingeschaltet, kann ein Angreifer allerdings alle Daten einsehen. Das ist vergleichbar mit einem Tresor, der entweder offen (Handy ist an) oder geschlossen (Handy ist aus) ist. Dafür hält das eingeschaltete Telefon den Schlüssel im Speicher (RAM). Das ist jedoch eine generelle Schwachstelle bei der Komplettverschlüsselung, denn der Schlüssel kann aus dem RAM ausgelesen werden, etwa von einem Spezialisten in einem forensischen Labor. Bei Desktop-PCs und Laptops ist diese Schwachstelle schwerer auszunutzen als bei Mobiltelefonen, die überall mit hin kommen und jederzeit eingeschaltet sind. Nur die Displaysperre schränkt den Zugang hier ein wenig ein. Und selbst diese Sperre hat diverse Schwächen:
Den Entsperrcode mit dem Entschlüsselungscode zu verschweißen ist eine äußerst ungeschickte Lösung. Zwar steigt die Benutzerfreundlichkeit für den normalen Anwender, der sich für die einfache Methode mit der PIN entscheidet, doch bleibt der sicherheitsbewusste Anwender enttäuscht. Denn bei der PIN steht und fällt unsere Handy-Verschlüsselung mit dieser kurzen und somit unsicheren Zahlenfolge.
Um die negativen Folgen einer kurzen PIN abzuschwächen, fehlte außerdem die Möglichkeit, das Handy nach einigen Fehlversuchen herunterzufahren und so den sichersten Zustand herzustellen: den des abgeschlossenen Tresors.
Neuerungen
Die Einführung von Android Nougat bringt natürlich einige Neuerungen und Verbesserungen mit sich.
Zuerst die positive Nachricht:
Der Entsperrcode für den Bildschirm kann jetzt unabhängig vom Entschlüsselungscode gesetzt werden. Unter Sicherheit -> Verschlüsselungspasswort ändern könnt ihr jederzeit das Passwort ändern. Mit Verschlüsselungspasswort ersetzen könnt ihr das Passwort bei Bedarf auch vom Gerät entfernen und die Passworteingabe beim Gerätestart abschalten.
Jetzt zur negativen Nachricht:
Google hat wieder eine unnötige Limitierung eingebaut, diesmal bei der maximalen Passwortlänge. Mehr als 16 Zeichen dürfen es nicht sein. Das ist gerade mal die Länge, die aktuell als sicher gilt. Da die Rechenleistung von Computern von Jahr zu Jahr steigt und sichere Passwörter bald noch mehr Zeichen benötigen werden, ist das nicht sehr vorausschauend. Zukunftssicherheit sieht anders aus.
Chance nicht genutzt
Nougat löst die Komplettverschlüsselung ab und führt die dateibasierte Verschlüsselung ein. Das könnte das oben beschriebene Problem des offenen Tresors lösen. Hierzu werden — vereinfacht gesagt — zwei Schlüssel eingeführt, der Geräte- und der Nutzer-Schlüssel. Mithilfe des Geräteschlüssels stehen bestimmte Dateien dem System schon vor der Passworteingabe zur Verfügung. Der Vorteil: Android startet schneller.
Der Nutzerschlüssel wird — genau wie bei der Komplettverschlüsselung — beim Gerätestart eingegeben. Richtig angewendet sollte er sensible Dateien entschlüsseln, aber nach kurzer Zeit aus dem Speicher gelöscht werden, wenn das Telefon gesperrt ist. So wären diese Dateien verschlüsselt, obwohl das Gerät eingeschaltet ist. Erst das Entsperren des Displays würde sie wieder entschlüsseln.
Leider hat sich Google dazu entschieden, diese Funktion nicht einzubauen. Stattdessen wurde sie nur im Quellcode vorgemerkt: “// TODO: remove from kernel keyring”. Deswegen ergibt sich im Vergleich zur Komplettverschlüsselung kein wesentlicher Vorteil für den Nutzer.
SnooperStopper unter Android 7
SnooperStopper funktioniert nicht mehr richtig unter Nougat. Wir hatten bei der Verwendung mit verschiedenen Geräten und verschiedenen ROMs unterschiedlich viel Erfolg. Die unser Meinung nach wichtigste Funktion, das Herunterfahren nach gescheiterten Entsperrversuchen, klappt nur in manchen Fällen. Tut sie es, bietet euch die App praktisch dieselbe Sicherheit wie vorher unter Android 6. Wenn ihr Nougat bereits verwendet, probiert am besten einfach aus, ob ihr die Funktion wie gewohnt verwenden könnt.
Unter Android 7 funktioniert das Ändern des Passworts nicht mehr. Das liegt an der neuen “Direct Boot”-Funktion, die zur Verschlüsselung eingesetzt wird. Das für die Full-Disk-Encrytion zuständige Kernelmodul dm-crypt wird nicht mehr verwendet — aber genau darauf greift SnooperStopper zu. Schade, denn wir hätten gerne ein Passwort mit mehr als 16 Zeichen gewählt.
In jedem Fall bleibt uns auch in Zeiten von Android 7 nichts anderes übrig, als auf die Hilfe von freien Entwicklern zu hoffen, die die Fehler von Google für uns ausbessern.
Fazit
Die dateibasierte Verschlüsselung unter Android 7 ist wahrscheinlich nicht unsicherer als die bisher verwendete Komplettverschlüsselung, doch könnt ihr nur einen Vorteil daraus ziehen: Euer Handy wird schneller starten. Leider gebt ihr dafür etwas Sicherheit auf, denn ihr bekommt eine maximale Passwortlänge vorgeschrieben.
Wir sind enttäuscht, denn die dateibasierte Verschlüsselung ist ein vielversprechendes Feature, das bei Android nicht hält, was es verspricht — noch nicht. Ob und wann Google den fehlenden Code nachliefert und ob das reibungslos funktioniert, steht in den Sternen.
Dass es funktionieren kann, wissen wir bereits von Apple und etwa dem iPhone. Apple implementierte dieses Feature bereits 2010 (!), allerdings gleich in vollem Umfang und nicht nur halbfertig, wie Google es mit Nougat getan hat.
Nach dem Motto “besser gut kopiert als schlecht selbst gemacht” haben wir hier mehr von Google erwartet.
Wie sind eure Erfahrungen mit SnooperStopper unter Android 7? Schreibt uns ein Kommentar.
– Eure Datenschutzhelden