Full-Disk-Encryption?

[volla-user-x]

Hallo Forum,

mit einem Vollaphone 22 mit neustem Update (also VollaOS 14.0) möchte ich Folgendes erreichen:
Ich möchte, dass alle Speichermedien (also interner Speicher sowie eingesteckte SD-Speicherkarte) verschlüsselt sind und dass niemals unverschlüsselte Daten auf diese Datenträger im Betrieb geschrieben werden. Damit, wenn das Vollaphone mal in falsche Hände geraten sollte, niemand ohne das Passwort zu wissen auf die Daten zugreifen kann. Also auch dann nicht, wenn man internen Speicher oder Speicherkarte mit irgendwelchen forensischen Tools ausliest.

Ähnlich wie eine vollständige Verschlüsselung auf Systemebene mit TrueCrypt oder LUKS.

Früher lief sowas unter dem Begriff "Full-Disk-Encryption":
Bevor der Rechner überhaupt das Betriebssystem bootet, muss man erst mal ein Passwort eingeben.

Mir ist deswegen nicht klar, wie das konkret mit einem Android/Vollaphone/VollaOS-Phone eingerichtet werden kann bzw. ob das überhaupt möglich ist?

In den Systemeinstellungen gibt es eine Einstellung/Information "Smartphone verschlüsseln". Diese steht (standardmäßig?) auf "Verschlüsselt".
Es gibt ferner ein Tool "IsPhoneEncrypted", wohl aus dem F-Droid-Store. Das zeigt einen grünen Haken.

Was für eine "Verschlüsselung" ist hier konkret gemeint?
Zu diesem Zeitpunkt ist ja nirgends ein Passwort bestimmt worden?

Also inwiefern ist da irgendwas sicher "verschlüsselt"?

Nehme ich die Speicherkarte aus dem Vollaphone und schaue sie mir mit einem Disktool am PC an, gibt es zwei Partitionen die "unknown" sind, was ja schon mal aussieht als wären die verschlüsselt, was gut ist.
Aber wieder: Mit welchem Passwort überhaupt?

Wie kann das "verschlüsselte" System überhaupt booten, wenn man kein Passwort zum Entsperren der "verschlüsselten" Datenträger eingeben muss?

Danke vorab für Erhellungen.

[waldbursche]

Deine EntsperrPIN ist gleichzeitig das Passwort.

Wenn die SDcard als mobiler Speicher eingerichtet wurde (dringend empfohlen) ist diese standardmäßig nicht verschlüsselbar.

[franco_bez]

Auch bei einer Full Disk Encryption am PC ist die Boot-Partition nicht verschlüsselt, sonst wäre ja auch die Software die zum entschlüsseln gebraucht wird nicht verfügbar.

Bei Android finden sich etliche Partitionen einige sind read-only und enthalten beispielsweise den Kernel und die Module, die IMEI Nummern, die Seriennummer und ähnliche Grundlegende Daten.
Aber auch die Betriebssystem Partition ist wohl nicht verschlüsselt.
Nur die User-Partition, die alle nachträglich installierten Apps, alle User Daten usw. enthält ist verschlüsselt.
Wenn man das Gerät "rootet" oder auf Werkseinstellungen zurücksetzt dann wird diese Partition überschrieben und neu formatiert.

[volla-user-x]

Wenn die SDcard als mobiler Speicher eingerichtet wurde (dringend empfohlen) ist diese standardmäßig nicht verschlüsselbar.

Wenn die SD-Karte nicht verschlüsselbar ist, dann möchte ich die Speicherkarte wieder entfernen und nur den internen Speicher benutzen.

Kannst Du mir sagen, wie ich die vorgehen muss?

Einfach die Karte raus oder muss diese vorher irgendwie deaktiviert werden, damit die möglicherweise darauf gespeicherten Daten zurück in den internen Speicher umgelagert werden.

Ausserdem sieht es für mich so aus, als würden bestimmte Daten auf die SD-Karte "gespiegelt" werden, denn wenn ich mir die Speicherverwendung ansehe, scheinen bestimmte Daten sowohl im internen Speicher wie auch auf der SD-Karte gleich viel Speicherplatz in Anspruch zu nehmen (ohne dass ich das vorher irgendwo selbst so eingestellt hätte)?

[volla-user-x]

Auch bei einer Full Disk Encryption am PC ist die Boot-Partition nicht verschlüsselt, sonst wäre ja auch die Software die zum entschlüsseln gebraucht wird nicht verfügbar.

Ja, das ist mir bewusst.

Bei Android finden sich etliche Partitionen einige sind read-only und enthalten beispielsweise den Kernel und die Module, die IMEI Nummern, die Seriennummer und ähnliche Grundlegende Daten.
Aber auch die Betriebssystem Partition ist wohl nicht verschlüsselt.
Nur die User-Partition, die alle nachträglich installierten Apps, alle User Daten usw. enthält ist verschlüsselt.
Wenn man das Gerät "rootet" oder auf Werkseinstellungen zurücksetzt dann wird diese Partition überschrieben und neu formatiert.

Und diese User-Partition ist dann also verschlüsselt mit der Entsperr-PIN als Passwort?
D.h. für starke Verschlüsselung sollte die Entsperr-PIN möglichst lang sein, richtig? Sind ja aber nur Ziffern möglich und damit nicht besonders stark, oder?
Und wenn ich die Entsperr-PIN mal ändere, müßte das System wieder die gesamte User-Partition komplett neu mit dieser neuen PIN als Passwort verschlüsseln? Hab ich jetzt noch nicht getestet, aber läuft das dann wirklich so ab? Weil wenn nicht, kann das ja nicht stimmen mit der Entsperr-PIN als Entschlüsselungspasswort.

Und was ist wenn man andere Methoden zur Entsperrung einrichtet, wie zum Beispiel Fingerabdruck?

[franco_bez]

Die Details der Android Verschlüsselung sind mir nicht bekannt, aber sehr wahrscheinlich wird die Partition NICHT mit der Pin verschlüsselt.
Wie z.B. bei LUKS wird wohl der eigentliche Schlüssel mit der PIN verschlüsselt und so ließe sich sehr einfach die PIN wechseln.

Der Fingerabdruck kann beim System Start nicht zum entsperren/entschlüsseln verwendet werden. Da braucht man die PIN.
Fingerabdrücke lassen sich nur hinzufügen wenn vorher auch eine PIN festgelegt wurde.
Wenn ich mich recht erinnere kann man die PIN auch alphanumerisch machen.
Erst nachdem man beim Kaltstart die PIN oder das Passwort eingegeben hat kann man beim nächsten Mal einen Fingerabdruck oder ähnliches zum entsperren verwenden. Sobald man das Gerät wieder ausschaltet oder neustartet braucht man dann wieder zuerst die PIN / das Passwort.

[waldbursche]

Kannst Du mir sagen, wie ich die vorgehen muss?

Die alles entscheidende Frage wäre:

Wurde die SDCARD als
a) mobiler Speicher
b) interne Speichererweiterung
von Dir eingerichtet?

[volla-user-x]

Die alles entscheidende Frage wäre:

Wurde die SDCARD als
a) mobiler Speicher
b) interne Speichererweiterung
von Dir eingerichtet?

Leider habe ich aus unerfindlichen Gründen trotz Abo keine Benachrichtigungen über neue Antworten in diesem Thread erhalten...

Zwischenzeitlich habe ich Dein Tutorial über die SD-Karten-Formatierungsmöglichkeiten gelesen.
Das Tutorial ist wirklich top, dankeschön!

Die SD-Karte habe ich dann wohl als interne Speichererweiterung eingerichtet, was aus den im Tutorial beschriebenen Gründen wohl nicht gut ist.

Wie kann ich diese Einrichtung als interne Speichererweiterung denn rückgängig machen?
Man soll die Karte ja nicht einfach entfernen...

[waldbursche]

Besten Dank für Deine Motivation.

In dem Fall wird man um ein komplettes Rücksetzen nicht vorbeikommen.

Das bedeutet:

1. Sichern aller persönlichen Dateien und Appsettings (bei Apps, welche das anbieten) viewtopic.php?f=141&t=1452

2. Rücksetzen des Phones auf Werkseinstellungen (kompletter Datenverlust)

3. Entfernen der SD Card und Formatierung dieser am PC viewtopic.php?f=141&t=1606

4. Einrichtung des Phones und einsetzen der SD Card

[volla-user-x]

Wirklich?

Ein Graus!

*kotz*

Da das aber ein wesentlicher Aspekt ist und so nicht explizit erwähnt wird, sollte das meiner Ansicht nach unbedingt in das Tutorial aufgenommen werden!

"Die Formatierung als interner Speicher ist irreversibel und die Einbindung der SD-Karte in den internen Speicher des Andoid-Smartphones kann später auch nicht mehr rückgängig gemacht werden. Das heisst außerdem, dass man bzgl. System-Konfiguration die Karte bei einem Defekt auch nicht mehr ersetzen kann. Das gesamte System muss dann mit einem Reset in den Werkszustand gebracht werden, erst dadurch kann eine als interner Speicher formatierte SD-Karte wieder vom System getrennt bzw. die SD-Karten-Konfiguration wieder neu festgelegt werden."

Oder so...