• Beitrags-Kategorie:Cloud
  • Lesedauer:4 min Lesezeit

Office365 bietet mit “Customer Key” eine zusätzliche Verschlüsselungs-Ebene. Mit dieser sogenannten “service encryption” lassen sich die eigenen Dokumente zusätzlich mit einem privaten Schlüssel verschlüsseln und damit die Sicherheit der eigenen Daten noch weiter erhöhen.

Doch vor wem verschlüssele ich die Dokumente? Was gewinne ich dadurch und warum habe ich am Ende doch keine direkte Kontrolle über die Verschlüsslung? Darum dreht sich dieser Artikel.

Mit dem Thema Customer Key habe ich mich schon einige Monate befasst bis ich endlich das GO für einen Proof of Concept (POC) hatte. Die Vorgabe ist simple: Erstelle einen eigenen Key in einem Azure KeyVault, verschlüssle damit die Office365 Subscription, lade Dokumente hoch, lösche danach die Keys und schau was passiert.

Auf ans Werk.

Voraussetzungen

Um überhaupt an Customer Key zu denken benötigt man

  • einen Microsoft Tenant
  • Office365 E5 Lizenzen
  • 2x Azure Subscriptions (verbunden mit dem oben genannten Tenant)

Erfüllt man alle Voraussetzungen kann man sich in die Konfiguration und den mühsamen Genehmigungsprozess machen. Warum mühsam? Microsoft benötigt für die “Customer Key-Freischaltung” einige Informationen. Die Kommunikation erfolgt hier über einige Mails und man wartet hier oft eine Woche auf eine Antwort.

Konfiguration

Die Konfiguration und einzelnen Schritte werde ich jetzt nicht durchgehen, diese sind auf der offiziellen Dokumentation gut beschrieben.

Ist man am letzten Schritt „Validate file encryption“ angelegt und zeigt der Powershell Befehl „registered“ an hat man es geschafft. Die Office365 Umgebung ist verschlüsselt.

„registered“ ist übrigens der einzige Beweis, dass die Dokumente wirklich verschlüsselt sind. Mehr gibt es nicht.

Test

Die Subscription ist verschlüsselt. Doch wie testet man das? Einfach die erstellen Keys im KeyVault löschen .. oder? Dabei aber aufpassen, dass Soft-Delete aktiviert ist um die Keys danach wiederherstellen zu können.

Schon probiert?

Achtung Spoiler

Das löschen der Keys hat auf den Betrieb und Erreichbarkeit der Daten keine Auswirkung. (Außer dass dich die Umgebung etwas zäh anfühlt). Alle Dokumente sind nach wie vor zugänglich. Laut der Logik sollte das ja nicht möglich sein. Wäre da nicht die Sache mit dem „Availability key“.

Availability key?

Kurz zusammengefasst, der Availability key ist ein zusätzlicher, von Microsoft erstellter (General-)Schlüssel, der parallel mit unserem Customer Key eingesetzt wird um die Dokumente zu verschlüsseln. Das ist als „Notfalls-Lösung“ (break-glass) gedacht, wenn man aus Versehen beide KeyVaults löscht. Einen Zugriff auf diesen zusätzlichen Schlüssel hat man nicht.

In case you lose access to your customer keys, Microsoft 365 also encrypts the TIK with an availability key and stores this along with the TIKs encrypted with each customer key. The TIK encrypted with the availability key is used only when the customer calls Microsoft to enlist the recovery path when they have lost access to their keys, maliciously or accidentally.

https://docs.microsoft.com/en-us/microsoft-365/compliance/customer-key-availability-key-understand?view=o365-worldwide

Was der Availability key genau ist und wie er funktioniert wird auf der folgenden Seite gut dokumentiert.

Was bedeutet das jetzt?

Das bedeutet, dass man die KeyVaults löschen und trotzdem weiterarbeiten kann und man dadurch keine direkte Kontrolle über die Verschlüsselung hat. Möchte man Microsoft den Zugang auf seine Dokumente entziehen, muss zuerst ein Ticket bei Microsoft aufgegeben werden mit der Bitte, den Availability key zu löschen.

Ende

Sieht man in Customer Key eine Möglichkeit, Microsoft von seinen Daten auszusperren bzw. beim Verlassen von Office365 seine Daten unbrauchbar zu machen hängt alles am Vertrauen zum Anbieter. Sieht man also keine weiteren Vorteile einer E5 Lizenz oder an der zusätzlichen Verschlüsselung mit Customer Key kann man sich meiner Meinung das Geld sparen und sollte lieber auf Data Loss Prevention oder Azure Information Protection setzen.

P.S.: Alle Daten in Office365 sind auch ohne Customer Key bereits verschlüsselt.

Nachtrag 06.12.2020

In diversen Beiträgen zu den Entschlüsselungsplänen der EU liest man oft von einer staatliche Ermächtigung, mit Unterstützung des “Dienstleistungsanbieters” um auf die (verschlüsselten) Daten eines Benutzers zuzugreifen zu können. Das Konzept wird “Exceptional Access” genannt und kommt vom dem hochrangigen Techniker des GCHQ (Partner der Five Eyes) namens Ian Levy.

Verbindet man diese Information mit dem Generalschlüssel “Availability key” macht einem das schon nachdenklich.

5 / 5. 1

Schreibe einen Kommentar

*

code