Vorsicht bei einem Hardreset bei verschlüsselter Speicherkarte

Windows Mobile 6 hat einen ganz wunderbaren Mechanismus: Mit internen Funktionen kann eine Speicherkarte verschlüsselt werden, und das Gerätebezogen. Um auszuschliessen, dass der Benutzer seinen Verschlüsselungs-Key sorglos wählt oder vergisst und damit entweder nicht mehr an seine eigenen Daten kommt oder aber jemand anders den Schlüssel erraten kann, generiert sich das Betriebssystem seinen Schlüssel selbst und legt ihn im Gerät ab.

Ist die Speicherkarte im selben Gerät, dann authentifiziert es sich automatisch und die Daten können gelesen werden. Wird die Speicherkarte in ein anderes Gerät gelegt, dann hat dieses gesprochen den Schlüssel nicht und kann zwar anzeigen, welche Daten auf der Speicherkarte sind, aber nicht drauf zugreifen (bildlich gesprochen: Es kann in den Keller schauen, aber die Weinflaschen nicht anfassen und öffnen).

Schon die alten Römer kannten die Schwäche einer solchen Lösung: Quis custodit custodes? Hat der Wächter den Schlüssel immer am Schlüsselbund und ist selbst ungeschützt, dann ist der Schlüssel schnell geklaut und der Keller schneller leer, als die erste Flasche Wein… Soll heissen: Ein mobiles Gerät mit verschlüsselter Speicherkarte, das aber selber ohne Zugangsschutz benutzt werden kann, ist ungefähr so sicher wie eines komplett ohne jeden Schutz…

Nun lasse der geneigte Leser sich obigen “Wächter-Schlüssel-Schloss”-Sachverhalt nochmal im Zusammenhang mit einem Hardreset durch den Kopf gehen: Man entlässt quasi den Wächter mit dem Schlüssel… aber was ist dann mit dem Keller? Das Windows Mobile Team Blog kommentiert dies lakonisch: “If the device is reset and internal flash is cleared, the decryption keys are lost. If the keys were preserved, it would be easy to access the storage card of a stolen device by just cold booting the stolen device and clearing its storage, then re-inserting the stolen card.” Oder kurz zusammengefasst: Wenn ein Hardreset durchgeführt wird, dann gehen auch die Schlüssel verloren. Sonst könnte man ein gestohlenes Gerät zurücksetzen (hier wird vorausgesetzt, dass das Gerät selbst einen Zugangsschutz hat) und dann auf die Karte zugreifen. Bildlich gesprochen aber bleibt dem Anwender so nichts anders übrig, als das Schloss auszutauschen, um noch in den Keller zu kommen, denn der Wächter hat den Schlüssel quasi in den Finger implantiert.

In der Summe aber bleibt nur eines: Vor einem Hardreset die Speicherkarte entschlüsseln, dann den Hardreset durchführen und die Karte wieder neu verschlüsseln. Der “neue Wächter” (also das frisch aufgesetzte System) bringt dann gleich Schloss und Schlüssel selbst mit.