Anleitung: Benutzerverzeichnis mit TrueCrypt verschlüsseln

[Der_Apfel]

Hallo,

also ich habe soeben auf SL aktualisiert und mein Homeverzeichnis mountete sich wie erhofft. Auch nach mehreren Neustarts hat es immer wieder geklappt. Ich nutze MacFUSE 2.1.5 ...

[Sequoia]

Bei Snow Leo ist wohl das Problem, dass man einfach keine neuen Container erstellen kann. Ich sitze auch gerade vor dem Problem
Es kommt immer eine Fehlermeldung.

[Der_Apfel]

Dann erstell deinen Container doch auf einem anderen Mac/PC.

Ich habe mir aber auch schon Sorgen gemacht, das Öffnen würde nicht vernünftig klappen, weil

some errors in loading existing volumes - but retry and it will open

(http://snowleopard.wikidot.com/o-t).

[Der_Apfel]

So ... Mit TrueCrypt 6.3 läuft es jetzt auch sicher auf Snow Leopard, da nun TC offiziell auf SL läuft.

Full support for Mac OS X 10.6 Snow Leopard.

(http://www.truecrypt.org/docs/?s=version-history)

Und Probleme mit meinem Script macht 6.3 natürlich auch nicht.

Es gibt die Anleitung jetzt übrigens auch auf http://veltrus.de/blog/2009/10/25/an...verschlusseln/, wenn dort Änderungen sind, wird's hier natürlich erwähnt.


Ach, hat eigentlich irgendjemand die Anleitung mal ausprobiert?

[koppensb]

Hallo,

habe etwas über die Anleitung nachgedacht und bin aus Sicherheitssicht zu dem Schluss gekommen, dass eine Authentifizierung via Keyfile nicht unbedingt optimal ist!

Zum einen kann das Keyfile verloren gehen zum anderen kann es gestohlen werden, wenn es auf einem USB-Stick, SD-Karte usw. gespeichert wird.
Eine Zweifaktor Authentifizierung wäre wohl die besser Möglichkeit.

Darum habe ich mir überlegt das Passwort in der Keychain zu speichern und via Loginhook-Script mittels Terminalprogramm security darauf zuzugreifen. Somit wäre der Truecrypt-Container relativ sicher, wenn man davon ausgeht, dass für die Anmeldung ein ausreichend starkes Passwort gewählt wird.

Bitte um Kommentare dazu!

P.S.: Werde in den nächsten Tagen ein angepasstes Skript veröfftenlichen

Lg Bernhard

[Der_Apfel]

Du hast natürlich Recht, dass es verloren gehen oder gestohlen werden kann (darüber muss man ja auch nicht lange nachdenken).

Mit security müsstest du ja irgendwie während des Login-Prozesses Tastatureingaben (das Passwort) abfangen können. Und da fällt mir leider nicht ein, wie das gehen soll (dass ein An-, Ab- und nochmaliges Anmelden für mich keine Option ist, habe ich ja bereits irgendwo geschrieben).

Ich bin auf dein Skript gespannt.

[koppensb]

Es geht gar nicht darum die Tastatureingaben abzufangen sondern einfach auf den gespeicherten Schlüssel zu zugreifen.
Angemeldet bin ich ja zur Zeit der Ausführung des Loginhooks schon, also habe ich auch Zugriff auf meine eigene Keychain ohne irgendwelche Schlüssel anzugeben. Daher meine ich ja, dass es wichtig ist ein sicheres Loginpasswort zu wählen.

Und mit nachdenken meinte ich damit wie man deine Idee noch etwas verbessern könnte.
Da ich sie im Prinzip sehr gut finde, aber mir das Wissen über Loginhooks usw. gefehlt hat.

[Der_Apfel]

Mh. Aber dann müsste doch beim Anmelden der Schlüsselbund ~/Library/Keychains/login.keychain (nicht auf dem TrueCrypt-Container, sondern bevor er gemountet wird) existieren. Und der ist ja mit dem Login-Passwort verschlüsselt, also nicht mit TrueCrypt, sondern proprietär von Apple. Dann könnte man ja genauso gut FileVault benutzen, oder?

[koppensb]

Würde das Passwort nicht in die Login Keychain speichern sondern in die System-Keychain. Soll ja nur als zusätzlicher Schutz zum Keyfile dienen.
Die Trennung in einem Multiusersystem erledigt das Keyfile.

Zum anderen geht es mir nicht darum, dass FileVault proprietär ist sondern, dass ich via Windows nicht darauf zugreifen kann.

[Der_Apfel]

Okay, unter dieser Begründung hat es für dich natürlich Sinn. Für mich aber nicht, habe Bootcamp gar nicht installiert...