Am 10. März 2021 wurde auf der DRACOON Cloud im Rahmen einer neuen DRACOON-Version ein Update für die clientseitige Verschlüsselung veröffentlicht. Dadurch wird die clientseitige Verschlüsselung von DRACOON noch sicherer. Dies wird erreicht, indem Dateischlüssel, persönliche Entschlüsselungskennwörter und Notfallkennwörter jetzt mit Schlüsseln der Länge 4096 Bit statt wie bisher 2048 Bit verschlüsselt werden. Im Rahmen der Umstellung müssen DRACOON-Endbenutzer bzw. -Administratoren ihre persönlichen Entschlüsselungskennwörter bzw. Notfallkennwörter einmalig neu eingeben.
Im Folgenden erhalten Sie weitere Informationen zu dieser Änderung.
Was genau wurde beim Update der clientseitigen Verschlüsselung in DRACOON geändert?
An den bisherigen Verfahren der clientseitigen Verschlüsselung in DRACOON gibt es aus Sicht von Benutzern und Administratoren keine gundlegenden Änderungen. Jedoch werden die Schlüssel für Dateien in verschlüsselten Datenräumen, die Notfallkennwörter für einzelne Datenräume, das DRACOON-weite Notfallkennwort sowie die persönlichen Entschlüsselungskennwörter der einzelnen Benutzer nun stärker verschlüsselt in DRACOON abgespeichert, nämlich mit Schlüsseln der Länge 4096 Bit statt wie bisher 2048 Bit.
Warum werden Dateischlüssel usw. von DRACOON in Zukunft mit 4096 statt mit 2048 Bit verschlüsselt? Sind 2048 Bit für die Sicherheit nicht mehr ausreichend?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Schlüssellängen von 2048 Bit, wie sie DRACOON bisher verwendete, bei asymmetrischen Verschlüsselungsverfahren bis Ende 2023 als nach wie vor absolut sicher an, empfiehlt danach jedoch eine Erhöhung der Schlüssellänge auf mindestens 3000 Bit. Der Grund: Es ist nicht auszuschließen, dass bis Ende 2023 deutlich leistungsfähigere Computer mit entsprechender Rechenleistung verfügbar sein werden, mit denen Schlüssellängen unter 3000 Bit womöglich geknackt werden können.
DRACOON geht mit seinem Verschlüsselungsupdate noch einen Schritt weiter als die BSI-Empfehlung und erhöht die Schlüssellänge sogar auf 4096 Bit – was eine prognostizierte Zukunftssicherheit der clientseitigen Verschlüsselung von DRACOON für mindestens die nächsten 10 Jahre bedeuten wird.
Siehe: Technische Richtlinie BSI TR-02102-1
Wird die Arbeit mit verschlüsselten Dateien durch die Erhöhung der Schlüssellänge merklich langsamer?
Die Berechnung von 4096-Bit-Schlüsseln ist generell komplexer als die von 2048-Bit-Schlüsseln, was sich auch auf die Berechnungsdauer entsprechend auswirkt. Wie stark der Unterschied z.B. in der DRACOON Web App vom Anwender spürbar ist, hängt vom verwendeten Webbrowser ab. Beim Hochladen in einen verschlüsselten Datenraum ist in Chrome, dem neuen Microsoft Edge oder Firefox kaum ein Unterschied im Vergleich zu 2048-Bit-Schlüsseln festzustellen (Millisekundenbereich), beim Herunterladen ist der Unterschied etwas deutlicher, fällt jedoch in der Praxis dennoch kaum ins Gewicht (0,2 Sekunden typische Berechnungsdauer für einen Dateischlüssel pro Dateidownload z.B. in Chrome, dem neuen Microsoft Edge oder Firefox). Da die Umstellung lediglich die Dateischlüssel betrifft und nicht die Dateien selbst, ist die Größe der Dateien unerheblich.
Müssen DRACOON-Administratoren und -Benutzer irgendwelche Aktionen durchführen, um die neuen Schlüssellänge von 4096 Bit nutzen zu können, oder erfolgt die Umstellung automatisch?
Die Umstellung der bisherigen Schlüssel in DRACOON von 2048 auf 4096 Bit kann nicht automatisch erfolgen. Denn für die Neuberechnung der Schlüssel mit 4096 Bit werden die mit den Schlüsseln verbundenen Kennwörter benötigt – und daher einmalig von den entsprechenden DRACOON-Benutzern angegeben werden müssen, da die Kennwörter nicht in DRACOON gespeichert sind und somit nicht automatisch für eine Neuberechnung der Schlüssel verwendet werden können.
- Damit der Schlüssel für das systemweite Notfallkennwort auf 4096 Bit umgestellt wird, muss ein Benutzer mit der Rolle Konfigurationsmanager das systemweite Notfallkennwort einmalig neu eingeben. Dabei kann alternativ auch ein neues systemweites Notfallkennwort vergeben werden, was bisher nicht möglich war.
- Jeder verschlüsselte Datenraum kann alternativ zum systemweiten Notfallkennwort ein eigenes Raumnotfallkennwort besitzen. Damit die vorhandenen Raumnotfallkennwörter auf 4096 Bit umgestellt werden, muss ein Raum-Administrator eines jeden verschlüsselten Datenraums der obersten Ebene das bestehende Notfallkennwort des Datenraums erneut eingeben oder alternativ ein neues Notfallkennwort für den Datenraum festlegen. Dies ist nur für verschlüsselte Datenräume auf der obersten Ebene erforderlich, nicht für verschlüsselte Unterräume.
- Damit die Schlüssel der einzelnen Dateien in verschlüsselten Datenräumen auf 4096 Bit umgestellt werden, müssen Benutzer von verschlüsselten Datenräumen ihr bisheriges persönliches Entschlüsselungskennwort einmalig angeben (außer sie verwenden DRACOON für Windows/Mac und haben dort ihr Entschlüsselungskennwort hinterlegt, siehe unten). Bei dieser Gelegenheit können sie dieses auch ändern, wenn gewünscht.
Wie werden die Benutzer in DRACOON auf die erforderlichen Aktionen zur Umstellung auf 4096-Bit-Schlüssel aufmerksam gemacht?
Den betroffenen Benutzern wird in der DRACOON Web App oben eine Aufgabe angezeigt, die sie z.B. zur Eingabe des persönlichen Entschlüsselungskennworts auffordert. Die Aufgabe bleibt auch nach dem Beenden der DRACOON Web App erhalten und wird beim nächsten Öffnen erneut angezeigt, bis sie erledigt wurde.
Beispiel:
Benutzer, die DRACOON für Windows/Mac ab Version 4.3 verwenden und dort ihr Entschlüsselungskennwort hinterlegt haben, erhalten in der Web App keine Aufforderung, das Entschlüsselungskennwort neu einzugeben, wenn die Umstellung auf die 4096-Bit-Dateischlüssel bereits automatisch durch DRACOON für Windows/Mac mit dem dort hinterlegten Entschlüsselungskennwort durchgeführt werden konnte.
Raum-Manager erhalten beim Betreten eines betroffenen verschlüsselten Raums eine Aufforderung, das Raum-Notfallkennwort erneut einzugeben, damit auch dieses auf 4096 Bit umgestellt werden kann.
Konfigurationsmanager erhalten beim Login eine zusätzliche Aufgabe, das systemweite Notfallkennwort zur Umstellung auf 4096 Bit erneut einzugeben.
Was geschieht, wenn Benutzer die erforderlichen Aktionen zur Umstellung der Dateischlüssel ignorieren und z.B. ihr Entschlüsselungskennwort nicht eingeben?
In diesem Fall werden automatisch die vorhandenen Dateischlüssel (in 2048 Bit) weiterverwendet.
Benutzer der DRACOON Web App wurden jedoch bereits in früheren Versionen immer dazu aufgefordert, ihr Entschlüsselungskennwort einzugeben, sobald sie den ersten verschlüsselten Datenraum in einer Sitzung öffnen. Ohne Eingabe des Entschlüsselungskennworts können z.B. keine neuen Dateien in verschlüsselte Datenräume hochgeladen werden. Daher ist davon auszugehen, dass die Benutzer ohnehin regelmäßig ihr Entschlüsselungskennwort in der DRACOON Web App eingeben (sofern sie Zugriff auf verschlüsselte Datenräume haben).
Werden die neuen Dateischlüssel in 4096 Bit auch von anderen DRACOON-Clients als der DRACOON Web App unterstützt?
Ja, für alle offiziellen DRACOON-Clients wurden Updates veröffentlicht, die die neuen Dateischlüssel mit 4096 Bit verwenden können. Folgende Versionen der DRACOON-Clients unterstützen die neuen Dateischlüssel mit 4096 Bit:
- DRACOON für Windows/Mac ab Version 4.3
- DRACOON für Outlook ab Version 5.11
- DRACOON für iOS ab Version 6.1
- DRACOON für Android ab Version 5.10
Wenn Sie verschlüsselte Datenräume verwenden und eine ältere Version von DRACOON für Windows/Mac als 4.3 oder eine ältere Version von DRACOON für Outlook als 5.11 installiert haben, müssen Sie Ihre installierten Versionen updaten, um weiterhin mit verschlüsselten Datenräumen arbeiten zu können.
Für Entwickler eigener DRACOON-Lösungen wurden aktualisierte Fassungen der Crypto SDKs für DRACOON mit Unterstützung für 4096-Bit-Dateischlüssel bereitgestellt.
Sind die Änderungen auch relevant, wenn keine verschlüsselten Datenräume genutzt werden und die Verschlüsselung für die DRACOON-Umgebung nicht in den Einstellungen aktiviert wurde?
Wenn Sie keine verschlüsselten Datenräume verwenden und in den Einstellungen die Verschlüsselung für Ihre DRACOON-Umgebung nicht aktiviert haben, sind keine Aktionen Ihrerseits oder durch Ihre Benutzer im Zuge der Umstellung erforderlich. Wenn Sie die Verschlüsselung später aktivieren, werden alle Schlüssel automatisch in 4096 Bit erzeugt werden.
Warum wurde die Erhöhung der Schlüssellänge von 2048 auf 4096 Bit von DRACOON nicht schon früher durchgeführt?
4096-Bit-Schlüssel sind deutlich länger als 2048-Bit-Schlüssel, ihre Berechnung ist daher entsprechend komplexer und nimmt mehr Zeit in Anspruch. Erst die jüngsten Verbesserungen in den JavaScript-Engines der gängingen Webbrowser sowie bei der verfügbaren Rechenleistung auf mobilen Endgeräten lässt nun die Berechnung derart komplexer Schlüssel zu, ohne dass es für die DRACOON-Endbenutzer zu spürbaren Verzögerungen kommt, z.B. bei der Nutzung von verschlüsselten Datenräumen in der DRACOON Web App. Nachdem der Internet Explorer, dessen veraltete JavaScript-Engine für die Berechnung von 4096-Bit-Schlüsseln zu langsam gewesen wäre, seit Juli 2020 für die DRACOON Web App nicht mehr unterstützt wird, ist auch diesbezüglich erst jetzt der Weg frei geworden für die Verwendung von 4096-Bit-Schlüsseln in DRACOON.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.