Envelope Encryption - Definition
Envelope Encryption, auf Deutsch Hüllverschlüsselung, ist ein kryptografisches Verfahren, bei dem Nutzdaten mit einem einmalig verwendeten oder periodisch rotierten Datenschlüssel verschlüsselt werden. Dieser Datenschlüssel wird anschließend mit einem separaten Hauptschlüssel verschlüsselt. In der Praxis bedeutet das eine Trennung zwischen dem Schutz des Inhalts und dem Schutz des Schlüssels, mit dem dieser Inhalt verschlüsselt wurde. Dieses Modell wird in Systemen eingesetzt, die große Dateien verarbeiten, darunter Fotos und Videoaufnahmen mit Gesichtern und Kfz-Kennzeichen.
In der technischen Literatur entspricht dies der Kombination aus symmetrischer Datenverschlüsselung und Key Wrapping oder dem Einsatz asymmetrischer Kryptografie zum Schutz des Datenschlüssels. NIST beschreibt Key Wrapping in der Publikation SP 800-38F aus dem Jahr 2012 und das Management des Schlüssel-Lebenszyklus in SP 800-57 Part 1 Rev. 5 aus dem Jahr 2020. In Produktionsumgebungen werden Daten meist mit dem AES-Algorithmus verschlüsselt, während der Datenschlüssel mit einem in einem KMS oder HSM gespeicherten Schlüssel oder mithilfe asymmetrischer Kryptografie geschützt wird.
Im Kontext der Anonymisierung von Fotos und Videos ersetzt die Hüllverschlüsselung weder das Verpixeln von Gesichtern noch das Unkenntlichmachen von Kennzeichen. Sie erfüllt eine andere Funktion. Sie schützt das Quellmaterial, Zwischenstände, Exporte und die bei der Verarbeitung verwendeten Schlüssel. Besonders wichtig ist sie, wenn eine Organisation das Risiko eines unbefugten Zugriffs auf Aufnahmen vor der Anonymisierung, während der Verarbeitung und nach deren Abschluss begrenzen muss.
Wie Hüllverschlüsselung bei der Verarbeitung von Fotos und Videos funktioniert
Der Mechanismus ist konzeptionell einfach, entscheidend sind jedoch die operativen Details. Für jede Datei oder jedes Dateibündel erzeugt das System einen Datenschlüssel. Mit diesem Schlüssel werden das Bild, die Aufnahme oder das resultierende Archiv verschlüsselt. Anschließend wird der Datenschlüssel mit einem Hauptschlüssel verschlüsselt. In der Datei oder im Metadatensatz werden dann der verschlüsselte Datenschlüssel, die Kennung des verwendeten Hauptschlüssels sowie die für die Entschlüsselung erforderlichen Parameter gespeichert, zum Beispiel Nonce oder IV.
In einem System zur Anonymisierung visueller Materialien sieht dieser Ablauf typischerweise wie folgt aus:
- die Eingabedatei wird in einem verschlüsselten Speicher abgelegt,
- für die Dauer der Bearbeitung wird ein kontrollierter Zugriff auf die entschlüsselten Daten bereitgestellt,
- das KI-Modell erkennt Gesichter und Kfz-Kennzeichen,
- das Ergebnis der Anonymisierung wird als neue Datei gespeichert, ebenfalls verschlüsselt,
- die Datenschlüssel für die Eingangs- und Ausgangsversion können unterschiedlich sein,
- die Rotation des Hauptschlüssels erfordert keine erneute Verschlüsselung der gesamten Dateien, sondern nur die erneute Absicherung der Datenschlüssel.
Gerade dieser letzte Punkt ist der wichtigste Vorteil der Hüllverschlüsselungs-Architektur bei großen Volumina an Videodaten. Die erneute Verschlüsselung von Terabytes an Material wäre rechnerisch und operativ sehr aufwendig. Die erneute Absicherung der Datenschlüssel allein ist deutlich schneller.
Die Rolle der Hüllverschlüsselung bei der Anonymisierung von Fotos und Aufnahmen
Bei der visuellen Anonymisierung treten mindestens zwei Arten von Risiken auf. Das erste betrifft die fehlerhafte oder unvollständige Erkennung von Gesichtern und Kfz-Kennzeichen. Das zweite betrifft die Offenlegung von Material vor der Anonymisierung oder den Zugriff auf die Quellversion nach dem Export. Die Hüllverschlüsselung adressiert diesen zweiten Bereich.
In der Praxis bedeutet das: Selbst wenn eine Datei aus einem Repository oder von einem Backup-Medium kopiert wird, bleibt sie ohne Zugriff auf den korrekten Hauptschlüssel und die kryptografischen Metadaten unlesbar. Für den Datenschutzbeauftragten ist wichtig, dass diese Maßnahme den Grundsatz der Vertraulichkeit und Integrität gemäß Art. 5 Abs. 1 lit. f DSGVO sowie die Sicherheit der Verarbeitung nach Art. 32 DSGVO unterstützt. Die Verschlüsselung allein macht Daten jedoch nicht anonym. Entsprechend dem Ansatz des EDSA und der Aufsichtsbehörden handelt es sich um eine Sicherheitsmaßnahme und nicht um eine Technik der Anonymisierung.
Zentrale technische Elemente und Parameter
Die Beurteilung der Qualität einer Implementierung sollte sich nicht auf die Aussage beschränken, dass Daten verschlüsselt werden. Entscheidend sind die Algorithmen, die Schlüssellängen, die Art der Zufallsgenerierung und das Modell des Schlüsselmanagements.
Element | Typische Lösung | Praktische Bedeutung
|
|---|---|---|
Datenverschlüsselungsalgorithmus | AES-256-GCM | Vertraulichkeit und Integrität in einem AEAD-Modus. NIST SP 800-38D, 2007. |
Datenschlüssel | DEK - Data Encryption Key | Verschlüsselt eine konkrete Datei, ein Segment oder ein Datenbündel. |
Hauptschlüssel | KEK oder CMK | Dient zur Absicherung des DEK. Er sollte in einem KMS oder HSM geschützt werden. |
Key Wrapping | AES Key Wrap | Standardisierter Mechanismus zum Schutz von Schlüsseln. NIST SP 800-38F, 2012. |
Zufälligkeit | CSPRNG | Kritisch für die Sicherheit von Nonce, IV und Schlüsseln. |
Schlüsselrotation | Periodisch oder ereignisbasiert | Begrenzt die Folgen einer Schlüsselkompromittierung und unterstützt das Management des Schlüssel-Lebenszyklus. |
Beispielhafte Kennzahlen und Attribute, die in einem System zur Verarbeitung von Fotos und Videos bewertet werden sollten:
- Zeit für die Entschlüsselung und Bereitstellung einer Datei zur Bearbeitung - in der Regel in ms oder s pro Datei gemessen,
- Storage-Overhead - Metadaten, Authentifizierungs-Tag, verschlüsselter DEK,
- Zeit für die Rotation des Hauptschlüssels - abhängig von der Anzahl der Vorgänge zur erneuten Absicherung von Schlüsseln,
- RPO und RTO für die Wiederherstellung von Schlüsseln nach einem Ausfall,
- Anzahl der Personen und Rollen mit Zugriff auf die Entschlüsselung des Quellmaterials,
- Grad der Isolation zwischen Produktions-, Test- und Backup-Umgebung.
Wenn das System AES-GCM verwendet, muss die Eindeutigkeit des Nonce für den jeweiligen Schlüssel sichergestellt werden. Ein Verstoß gegen diese Regel kann zum Verlust der Sicherheit führen. Das ist eine technische Anforderung, keine Konfigurationsoption.
Praktischer Einsatz in einer On-Premises-Umgebung
In On-Premises-Umgebungen, die bei der Arbeit mit sensiblen Materialien häufig anzutreffen sind, erleichtert die Hüllverschlüsselung die Trennung von Zuständigkeiten. Der Applikationsserver kann Dateien verarbeiten, der Hauptschlüssel verbleibt jedoch außerhalb dieses Servers, zum Beispiel in einem HSM oder einem dedizierten KMS. Dadurch muss die Kompromittierung einer einzelnen Komponente nicht automatisch einen unmittelbaren Zugriff auf den vollständigen Inhalt der Aufnahmen bedeuten.
Im Fall von Gallio PRO ist das für die Organisation eines sicheren Dateikreislaufs relevant. Die Software macht Gesichter und Kfz-Kennzeichen automatisch unkenntlich, anonymisiert jedoch keine anderen Kategorien von Daten, die im Material sichtbar sind. Deshalb ist der Schutz der Quelldateien und der Arbeitskopien besonders wichtig. Die Hüllverschlüsselung kann Material vor der Bearbeitung, nach der Bearbeitung und im Archiv absichern. Das ändert nichts am Umfang der Erkennungsfunktionen des Systems - Logos, Tätowierungen, Namensschilder, Dokumente oder Inhalte auf Monitorbildschirmen werden nicht automatisch erkannt und erfordern manuelle Maßnahmen im Editor.
Einschränkungen und häufige Fehler
Hüllverschlüsselung ist ein ausgereiftes Verfahren, wird jedoch mitunter fehlerhaft implementiert. Dann führen formale Vorteile nicht zu realer Sicherheit.
- Speicherung des Hauptschlüssels auf demselben Server wie die verschlüsselten Dateien,
- fehlende Schlüsselrotation und fehlende Verfahren zur Schlüsselrücknahme nach einem Sicherheitsvorfall,
- Einsatz veralteter Modi ohne Authentifizierung, zum Beispiel reines CBC ohne zusätzlichen Integritätsschutz,
- fehlerhaftes Management von Nonce oder IV,
- Behandlung von Verschlüsselung als Ersatz für Anonymisierung,
- Zurücklassen unverschlüsselter temporärer Dateien und Caches während der Videoverarbeitung.
Außerdem muss zwischen kryptografischer Sicherheit und der Wirksamkeit der Anonymisierung unterschieden werden. Selbst optimal verschlüsseltes Material kann nach der Entschlüsselung weiterhin sichtbare personenbezogene Daten enthalten, wenn die Erkennung von Gesichtern oder Kfz-Kennzeichen unvollständig war.
Normative Verweise und Quellen
Die folgenden Dokumente werden bei der Konzeption und Auditierung einer solchen Lösung am häufigsten herangezogen. Es handelt sich um technische und regulatorische Quellen, nicht um Marketingkommentare.
- NIST SP 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, 2007.
- NIST SP 800-38F, Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping, 2012.
- NIST SP 800-57 Part 1 Rev. 5, Recommendation for Key Management, 2020.
- FIPS 197, Advanced Encryption Standard (AES), redaktionelle Aktualisierung 2023, ursprüngliche Veröffentlichung 2001.
- DSGVO - Verordnung (EU) 2016/679, Art. 5 und Art. 32.
- ENISA, Materialien zu Pseudonymisierung und kryptografischen Maßnahmen im Datenschutz, ergänzend verwendet bei der Bewertung technischer Maßnahmen.
Im terminologischen Teil begegnen einem zwei gebräuchliche Ansätze. Der eine unterscheidet DEK und KEK als getrennte Schlüsselrollen. Der andere verwendet anbieterspezifische Bezeichnungen, zum Beispiel Data Key und Customer Managed Key. Der Unterschied ist überwiegend terminologischer Natur, solange die Architektur dieselbe funktionale Trennung beibehält.