Verschlüsselung sorgt für Verärgerung...
Es gibt Kollegen, die einem persönlich wie fachlich lieb und wert sind, und um so mehr freut man sich, wenn man von solchen Kollegen um Hilfe gebeten wird. Dann zu wollen, aber nicht zu können, ist bitter. Manchmal helfen eben keine kleinen, blauen Pillen... :-D
So auch heute: Der Kollege hatte seinen HTC Touch komplett zurückgesetzt und dabei auf eines nicht geachtet: Die Speicherkarte. Windows Mobile 6 hat einen ganz wunderbaren Mechanismus: Mit internen Funktionen kann eine Speicherkarte verschlüsselt werden, und das Gerätebezogen. Um auszuschliessen, dass der Benutzer seinen Verschlüsselungs-Key sorglos wählt oder vergisst und damit entweder nicht mehr an seine eigenen Daten kommt oder aber jemand anders den Schlüssel erraten kann, generiert sich das Betriebssystem seinen Schlüssel selbst und legt ihn im Gerät ab. Ist die Speicherkarte im selben Gerät, dann authentifiziert es sich automatisch und die Daten können gelesen werden. Wird die Speicherkarte in ein anderes Gerät gelegt, dann hat dieses gesprochen den Schlüssel nicht und kann zwar anzeigen, welche Daten auf der Speicherkarte sind, aber nicht drauf zugreifen (bildlich gesprochen: Es kann in den Keller schauen, aber die Weinflaschen nicht anfassen und öffnen).
Schon die alten Römer kannten die Schwäche einer solchen Lösung: Quis custodit custodes? Hat der Wächter den Schlüssel immer am Schlüsselbund und ist selbst ungeschützt, dann ist der Schlüssel schnell geklaut und der Keller schneller leer, als die erste Flasche Wein... Soll heissen: Ein mobiles Gerät mit verschlüsselter Speicherkarte, das aber selber ohne Zugangsschutz benutzt werden kann, ist ungefähr so sicher wie eines komplett ohne jeden Schutz...
Von den Unbillen dieses Windows Mobile-Grundprinzips mal ganz abgesehen lasse der geneigte Leser sich obigen "Wächter-Schlüssel-Schloss"-Sachverhalt nochmal im Zusammenhang mit einem Hardreset durch den Kopf gehen: Man entlässt quasi den Wächter mit dem Schlüssel... aber was ist dann mit dem Keller? Das Windows Mobile Team Blog kommentiert dies lakonisch: "If the device is reset and internal flash is cleared, the decryption keys are lost. If the keys were preserved, it would be easy to access the storage card of a stolen device by just cold booting the stolen device and clearing its storage, then re-inserting the stolen card." Oder kurz zusammengefasst: Wenn ein Hardreset durchgeführt wird, dann gehen auch die Schlüssel verloren. Sonst könnte man ein gestohlenes Gerät zurücksetzen (hier wird vorausgesetzt, dass das Gerät selbst einen Zugangsschutz hat) und dann auf die Karte zugreifen. Bildlich gesprochen aber bleibt dem Anwender so nichts anders übrig, als das Schloss auszutauschen, um noch in den Keller zu kommen, denn der Wächter hat den Schlüssel quasi in den Finger implantiert.
Das stell ich mir jetzt besser nicht weiter bildlich vor... :-D In der Summe aber bleibt nur eines: Vor einem Hardreset die Speicherkarte entschlüsseln, dann den Hardreset durchführen und die Karte wieder neu verschlüsseln. Der "neue Wächter" (also das frisch aufgesetzte System) bringt dann gleich Schloss und Schlüssel selbst mit.
Somit zum fachlichen Teil. Nun hatte der Kollege den Hardreset bereits durchgeführt, ohne um die oben bechriebenen Umstände zu wissen... und nun kommt der eigentliche Problemfall: Ein Backup einer lauffähigen Konfiguration des Geräts hatte er auf die Speicherkarte gepackt. Ist ja sicher und verschlüsselt, damit kann keiner was anfangen. Klingelt´s? Richtig: Den Schlüssel des Wächters kopiert und dann unter der Kellertür durch in den Keller geschoben, da isser ja sicher. Aber wie kommt man ohne den Schlüssel für den Keller an den Schlüssel für den Keller im Keller?! :-D
Abgesehen davon: So klein der Windows Mobile-Mikrokosmos sein mag, er entspricht doch immer wieder dem wahren Leben. Haben nicht einige Firmen in den vergangenen Jahren gelernt, dass man sich, wenn man wahllos Mitarbeiter feuert, nicht unbedingt einen Gefallen tut, weil man Dinge, die nur sie konnten, nicht mehr machen kann? Siehste... :-D
Dieser Beitrag wurde geschrieben von Andreas Erle am Samstag, 1. März 2008 um 14:27 und eingeordnet unter Blog , Spitze Zunge , Windows Mobile , Windows Phone .