Voraussichtlich im Januar 2021 wird auf der DRACOON Cloud im Rahmen einer neuen DRACOON-Version ein Update für die clientseitige Verschlüsselung veröffentlicht. Dadurch wird die clientseitige Verschlüsselung von DRACOON noch sicherer. Dies wird erreicht, indem Dateischlüssel, persönliche Entschlüsselungskennwörter und Notfallkennwörter zukünftig mit Schlüsseln der Länge 4096 Bit statt wie bisher 2048 Bit verschlüsselt werden. Im Rahmen der Umstellung werden DRACOON-Endbenutzer bzw. -Administratoren Ihre persönlichen Entschlüsselungskennwörter bzw. Notfallkennwörter einmalig neu eingeben müssen.
Im Folgenden erhalten Sie weitere Informationen zu dieser Änderung.
Was genau wird beim kommenden Update der clientseitigen Verschlüsselung in DRACOON geändert?
An den bisherigen Verfahren der clientseitigen Verschlüsselung in DRACOON wird sich aus Sicht von Benutzern und Administratoren nichts Grundlegendes ändern. Jedoch werden die Schlüssel für Dateien in verschlüsselten Datenräumen, die Notfallkennwörter für einzelne Datenräume, das DRACOON-weite Notfallkennwort sowie die persönlichen Entschlüsselungskennwörter der einzelnen Benutzer zukünftig stärker verschlüsselt in DRACOON abgespeichert, nämlich mit Schlüsseln der Länge 4096 Bit statt wie bisher 2048 Bit.
Warum werden Dateischlüssel usw. von DRACOON in Zukunft mit 4096 statt mit 2048 Bit verschlüsselt? Sind 2048 Bit für die Sicherheit nicht mehr ausreichend?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Schlüssellängen von 2048 Bit, wie sie DRACOON bisher verwendet, bei asymmetrischen Verschlüsselungsverfahren bis Ende 2023 als nach wie vor absolut sicher an, empfiehlt danach jedoch eine Erhöhung der Schlüssellänge auf mindestens 3000 Bit. Der Grund: Es ist nicht auszuschließen, dass bis Ende 2023 deutlich leistungsfähigere Computer mit entsprechender Rechenleistung verfügbar sein werden, mit denen Schlüssellängen unter 3000 Bit womöglich geknackt werden können.
DRACOON wird mit seinem Verschlüsselungsupdate noch einen Schritt weiter gehen als die BSI-Empfehlung und die Schlüssellänge sogar auf 4096 Bit erhöhen – was eine prognostizierte Zukunftssicherheit der clientseitigen Verschlüsselung von DRACOON für mindestens die nächsten 10 Jahre bedeuten wird.
Siehe: Technische Richtlinie BSI TR-02102-1
Wird die Arbeit mit verschlüsselten Dateien durch die Erhöhung der Schlüssellänge merklich langsamer?
Die Berechnung von 4096-Bit-Schlüsseln ist generell komplexer als die von 2048-Bit-Schlüsseln, was sich auch auf die Berechnungsdauer entsprechend auswirkt. Wie stark der Unterschied z.B. in der DRACOON Web App vom Anwender spürbar ist, hängt vom verwendeten Webbrowser ab. Beim Hochladen in einen verschlüsselten Datenraum ist in Chrome, dem neuen Microsoft Edge oder Firefox kaum ein Unterschied im Vergleich zu 2048-Bit-Schlüsseln festzustellen (Millisekundenbereich), beim Herunterladen ist der Unterschied etwas deutlicher, fällt jedoch in der Praxis dennoch kaum ins Gewicht (0,2 Sekunden typische Berechnungsdauer für einen Dateischlüssel pro Dateidownload z.B. in Chrome, dem neuen Microsoft Edge oder Firefox). Da die Umstellung lediglich die Dateischlüssel betrifft und nicht die Dateien selbst, ist die Größe der Dateien unerheblich.
Werden DRACOON-Administratoren und -Benutzer irgendwelche Aktionen durchführen müssen, um die neuen Schlüssellänge von 4096 Bit nutzen zu können, oder erfolgt die Umstellung automatisch?
Die Umstellung der bisherigen Schlüssel in DRACOON von 2048 auf 4096 Bit wird nicht automatisch erfolgen können. Denn für die Neuberechnung der Schlüssel mit 4096 Bit werden die mit den Schlüsseln verbundenen Kennwörter benötigt – und daher einmalig von den entsprechenden DRACOON-Benutzern angegeben werden müssen, da die Kennwörter nicht in DRACOON gespeichert sind und somit nicht automatisch für eine Neuberechnung der Schlüssel verwendet werden können.
- Damit der Schlüssel für das systemweite Notfallkennwort auf 4096 Bit umgestellt wird, wird ein Benutzer mit der Rolle Konfigurations-Manager das systemweite Notfallkennwort einmalig neu eingeben müssen. Dabei wird alternativ auch ein neues systemweites Notfallkennwort vergeben werden können, was bisher nicht möglich war.
- Jeder verschlüsselte Datenraum kann alternativ zum systemweiten Notfallkennwort ein eigenes Datenraum-Notfallkennwort besitzen. Damit die vorhandenen Datenraum-Notfallkennwörter auf 4096 Bit umgestellt werden, muss ein Raum-Administrator eines jeden verschlüsselten Datenraums der obersten Ebene das bestehende Notfallkennwort des Datenraums erneut eingeben oder alternativ ein neues Notfallkennwort für den Datenraum festlegen. Dies ist nur für verschlüsselte Datenräume auf der obersten Ebene erforderlich, nicht für verschlüsselte Unterräume.
- Damit die Schlüssel der einzelnen Dateien in verschlüsselten Datenräumen auf 4096 Bit umgestellt werden, müssen Benutzer von verschlüsselten Datenräumen ihr bisheriges persönliches Entschlüsselungskennwort einmalig angeben. Bei dieser Gelegenheit können Sie dieses auch ändern, wenn gewünscht.
Wie werden die Benutzer in DRACOON auf die erforderlichen Aktionen zur Umstellung auf 4096-Bit-Schlüssel aufmerksam gemacht?
Den betroffenen Benutzern wird in der DRACOON Web App oben eine Aufgabe angezeigt, die sie z.B. zur Eingabe des persönlichen Entschlüsselungskennworts auffordert. Die Aufgabe bleibt auch nach dem Beenden der DRACOON Web App erhalten und wird beim nächsten Öffnen erneut angezeigt, bis sie erledigt wurde.
Beispiel:
Benutzer, die DRACOON für Windows/Mac Version 4.3 verwenden und dort ihr Entschlüsselungskennwort hinterlegt haben, erhalten in der Web App möglicherweise keine Aufforderung, das Entschlüsselungskennwort neu einzugeben, da die Umstellung auf die 4096-Bit-Dateischlüssel bereits automatisch durch DRACOON für Windows/Mac mit dem hinterlegten Entschlüsselungskennwort durchgeführt werden konnte.
Für die Eingabe der neuen Datenraum-Notfallkennwörter wird aus technischen Gründen keine Aufgabe angezeigt – Raum-Administratoren erhalten stattdessen eine Aufforderung beim Betreten des betreffenden Datenraums.
Was geschieht, wenn Benutzer die erforderlichen Aktionen zur Umstellung der Dateischlüssel ignorieren und z.B. ihr Entschlüsselungskennwort nicht eingeben?
In diesem Fall werden automatisch die vorhandenen Dateischlüssel (in 2048 Bit) weiterverwendet.
Benutzer der DRACOON Web App werden jedoch bereits jetzt generell dazu aufgefordert, ihr Entschlüsselungskennwort einzugeben, sobald sie den ersten verschlüsselten Datenraum in einer Sitzung öffnen. Ohne Eingabe des Entschlüsselungskennworts können z.B. keine neuen Dateien in verschlüsselte Datenräume hochgeladen werden. Daher ist davon auszugehen, dass die Benutzer ohnehin regelmäßig ihr Entschlüsselungskennwort in der DRACOON Web App eingeben (sofern sie Zugriff auf verschlüsselte Datenräume haben).
Ab wann wird die neue Schlüssellänge von 4096 Bit nutzbar sein?
Auf der DRACOON Cloud wird ein DRACOON-Update mit der Unterstützung für 4096-Bit-Schlüssel voraussichtlich im Januar 2021 zur Verfügung stehen.
On-Premises-Kunden werden die Unterstützung für 4096-Bit-Schlüssel im Rahmen des nächsten DRACOON-Releases (DRACOON Server) erhalten.
Werden die neuen Dateischlüssel in 4096 Bit auch von anderen DRACOON-Clients als der DRACOON Web App unterstützt?
Ja, für alle offiziellen DRACOON-Clients wurden Updates veröffentlicht, die die neuen Dateischlüssel mit 4096 Bit verwenden können. Folgende Versionen der DRACOON-Clients unterstützen die neuen Dateischlüssel mit 4096 Bit:
- DRACOON für Windows/Mac ab Version 4.3
- DRACOON für Outlook ab Version 5.11
- DRACOON für iOS ab Version 6.1
- DRACOON für Android ab Version 5.10
Für Entwickler eigener DRACOON-Lösungen wurden aktualisierte Fassungen der Crypto SDKs für DRACOON mit Unterstützung für 4096-Bit-Dateischlüssel bereitgestellt.
Sind die Änderungen auch relevant, wenn keine verschlüsselten Datenräume genutzt werden und die Verschlüsselung für die DRACOON-Umgebung nicht in den Einstellungen aktiviert wurde?
Wenn Sie keine verschlüsselten Datenräume verwenden und in den Einstellungen die Verschlüsselung für Ihre DRACOON-Umgebung nicht aktiviert haben, sind keine Aktionen Ihrerseits oder durch Ihre Benutzer im Zuge der Umstellung erforderlich. Wenn Sie die Verschlüsselung später verwenden, werden alle Schlüssel automatisch in 4096 Bit erzeugt werden.
Warum wurde die Erhöhung der Schlüssellänge von 2048 auf 4096 Bit von DRACOON nicht schon früher durchgeführt?
4096-Bit-Schlüssel sind deutlich länger als 2048-Bit-Schlüssel, ihre Berechnung ist daher entsprechend komplexer und nimmt mehr Zeit in Anspruch. Erst die jüngsten Verbesserungen in den JavaScript-Engines der gängingen Webbrowser sowie bei der verfügbaren Rechenleistung auf mobilen Endgeräten lässt nun die Berechnung derart komplexer Schlüssel zu, ohne dass es für die DRACOON-Endbenutzer zu spürbaren Verzögerungen kommt, z.B. bei der Nutzung von verschlüsselten Datenräumen in der DRACOON Web App. Nachdem der Internet Explorer, dessen veraltete JavaScript-Engine für die Berechnung von 4096-Bit-Schlüsseln zu langsam gewesen wäre, seit Juli 2020 für die DRACOON Web App nicht mehr unterstützt wird, ist auch diesbezüglich erst jetzt der Weg frei geworden für die Verwendung von 4096-Bit-Schlüsseln in DRACOON.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.