PGP Desktop - Wie sicher?

[_stephan_]

Die kommenden INTEL-CPUs (erstmal die mit 32nm) erhalten spezielle Befehle um AES zu beschleunigen. Soll einen richtigen Schub geben.

http://www.forum-3dcenter.org/vbulle...&postcount=144

[exitus]

ok, soweit so gut, wie teuer ist die software denn so ? bin allerdings wirklich am überlegen ob ich es einfach mal ausprobieren soll mit PGP ich meine ich habe FileVault an und PGP würde dazu kommen, die externe ist mit TC verschlüsselt und naja eigentlich ist damit doch ein realtiv hoher sicherheitsstandard gegeben oder?

klar wenn genug energie aufgebracht wird kann man alles umgehen und knacken aber ich denke das bedarf eine menge zeit und kapital oder?

wie realistisch ist denn eine frozen ram attacke? und wie kann man bzw. wer kann diese durchführen? also nicht da ich das anwenden können will oder so, im gegenteil, mich interessiert viel mehr wie man dem vll noch weiter vorbeugen kann.

somit wäre ich weiterhin über einen tipp mit kaufempfehlung erfreut

gruß exitus

[SilentCry]

Meine Empfehlung: PGP Desktop ist OK, sobald eine Version für Schneeleopard raus kommt. Der Preis bewegt sich dort, wo sich auch die SW-Alternative Checkpoint Security FDE (auch noch nicht für SL) bewegt.
Checkpoint kann ich aus eigener Erfahrung als wirkungsvoll und stabil empfehlen.
FileVault benötigst du dann nicht mehr.

Einen derartigen Schutz zu knacken bedarf eine Potenz von so vielen Jahren wie das ganze Universum in Sekunden alt ist. Das Kapital spielt keine Rolle, auch wenn Cloudfanatiker Bruteforce natürlich bis zu 1000x schneller ausführen können ist das bei den Zeiträumen nichts.

ABER der Schutz existiert nur im OFF-Zustand des Rechners. Im Betrieb ist er viel einfacher verletzlich, das ist ein Designproblem von Software-FDE, der Key muss im RAM sein. (Eine Abhilfe wäre die Frozen Cache-Methode
(KLICK) aber die muss vom Hersteller implementiert werden und hilft nur, wenn sie auch z.B. beim Bildschirmschoner schon aktiv geschaltet werden kann.)


Zum Thema Frozen RAM: Magst du das Video schauen: KLICK
Wie gesagt, die Bezeichnung "cold boot" ist irreführend. Jeder sagt dann "ok, dann setze ich ein Open Firmware Passwort und bin sicher weil man dann meinen Mac nicht von einem anderen Medium booten kann" und JA, _booten_ nicht aber ausbauen und auslesen kann man das RAM.

Wer das durchführen kann? Jeder trainierte Affe. Vorausgesetzt er erwischt den Mac laufend oder in S3 (achja: In S4 ist eh alles egal, denn da wird der RAM-Inhalt gleich auf die Platte geschrieben. Eine FDE würde das zwar sichern, aber da PGP-Desktop den Suspend to Disk Modus abschaltet bleibt als Ruhezustand nur Suspend to RAM -> Anfällig für die ColdBoot-Attacke.

Ich will das klar sagen: Eine SW-FDE ist eine gute Lösung. Aber man ist nicht in dem Maße sicher in dem man sich sicher glaubt und vor allem nicht gegen die Leute, die mittlerweile zur größten Bedrohung für den freien Bürger geworden sind. Früher war das leicht: Die Mafia hatte zu wenig Interesse an meinen Daten um mir Boris und Janusch nach Hause zu schicken und der Laptopdieb um die Ecke hat mehr Interesse daran mein Gerät zu verhökern als eine Software-FDE zu brechen. (Obwohl natürlich auch das machbar ist, wenn er ein Freak ist).
Aber die SchäubleSchergen haben keine Wirtschaftlichkeit zu beachten. Nur ein Hype auf KP oder Rechtspropaganda oder Linkshetze oder Islamterror oder eine falsche Googlesuche auf Geritatrifizierung... schwupp stehen die Schergen vor der Tür.
Passiert nicht? Denkste. Ist schon. Mehrfach. Lappalien, Bagatellen, falsche Verdächtigungen. In Österreich haben die Behörden die gesuchten Beweise dem Täter sogar potentiell "untergeschoben" (ich meine, es wäre denkbar, denn sie sind ja wie Verbrecher eingedrungen und haben heimlich Programme auf seinem Rechner installiert - ein Schelm wer denkt, was man da findet könnte vielleicht gar nicht von ihm sein...)

Eine Vollverschlüsselung ist meines Erachtens unter diesen Bedingunen Pflicht. Je uneinnehmbarer desto besser. Denn die Bedrohungslage hat sich drastisch verändert: Die Regierungen Europas fürchten sich vor ihren Bürgern, daher nehmen die Instrumentarien der polizeistaatlichen Prävention und Überwachung zu. Der klassische Kriminelle hat als Feindbild faktisch ausgedient.

EDIT: Für Interessiert, ich habe im Thread "das sichere MacBook" ein Fazit: KLICK

[exitus]

Also ich weiss gerade nicht wo ich Anfangen soll. Ich danke dir nochmals vielmals für die super klasse Antworten die du hier erteilst.

Ich muss ehrlich gestehen, ich bin verblüfft wie einfach es ist eine Frozen RA auszuführen. Das Video war eine Lehrstunde welche ich erstmal verarbeiten musste.

Desweiteren hast du im Ende deines Beitrags im Prinzip den Kern meines Vorhabens erwischt. Wie du sie so schön nennst, sind die SchäubleSchergen nicht gerade die beliebtesten mit denen man gerne den Rechner teilt ^^

Wäre es nicht auch z.B. eine Möglichkeit, ein MacBook z.B. ohne Akku zu Betreiben? Somit ist ja eigentlcih gegeben, dass wenn man es vom Strom nimmt es sich Abschaltet (klar auf eine hart Art und weise) und somit nicht im eingeschalteten Zustand angetroffen werden kann?

Ich bin wirklich am überlegen wie man seinen Rechner (in meinem Falle mein MacBook + eine externe 1TB Platte) vor eine unliebsamen Sichtung von Daten schützen kann. Du sagtest, das PGP schon Ok sei, daraus schließe ich allerdings das es nicht Optimal ist und nur Sekundär taugt.

Die Welt in der wir leben befindet sich wirklich im stetigen Wandel und man muss den unliebsammen Gästen immer 1 oder 2 Schritte voraus sein....

Nocheinmal vielen Dank für die Ausführlichen Infos. Bin nun wirklich am überlegen wie ich es nun anstelle bzw. wleches Programm ich dafür in Betracht ziehe.

Gruß exitus

Ps: Ich habe nun eine PGP Desktop Lizenz + Software von einem Kollegen bekommen welcher die zum EK bekommen hatte - drauf machen oder nicht drauf machen?

[SilentCry]

Eine Software FDE schützt dich zu 100% bei abgeschalteter Maschine. Sie schützt soweit auch bei laufendem Mac solange der Angreifer nicht Frozen RAM anwendet.

Das Betreiben eines MacBooks ohne Akku wird ala long nicht mehr möglich sein, das feste Verbauen von Akkus wird bei Apple vermutlich durchgängig beibehalten. Und auch dann hast du nur den "Notreset", laufen lassen darfst du die Maschine nicht, im S3 transportieren darfst du sie nicht und S4 funktioniert nicht mehr mit SW-FDE (ausser WinMagic)...

Wenn du dich nicht zu der Hardware-Software-Kombi (Seagate Hardware FDE und Winmagic) entschließen kannst dann ist PGP Desktop (Achtung: Derzeit NICHT für Schneeleopard tauglich) eine gute Lösung. Gut. Nicht perfekt. Meine ganzen obigen Vorbehalte sind eben zu beachten, SW-FDE ist eine OFF-Sicherung.

[exitus]

Ok alles klar, ich besitze noch ein etwas "älteres" (letztes Jahr) MacBook

Ein Nachteil welcher in meinen Augen besteht ist das PGP derzeit keine BootCamp Verschlüsselung etc. erlaubt, wo ich leider im Moment eine Partition am laufen habe.

Hm dann werde ich wohl mal PGP Desktop installieren und mir das mal überlegen was die FDE angeht - mit dieser Software.

Danke nochmal

[mds]

Es ist nicht Open Source und kommt aus den USA, was für mich normalerweise heißen würde das es nicht wirklich sicher ist.

http://www.pgp.com/developers/sourcecode/index.html

Die Frage ist, wogegen Du Dich schützen möchtest. Ich verwende vollständige Systemverschlüsselung um die Daten auf meinem abgeschaltetes Notebook beim Transport von A nach B für den Fall eines Diebstahls zu schützen.

PGP-spezifisch bin ich mit der Software zufrieden, warte aber schon seit Monaten auf eine finale Snow Leopard-kompatible Version. Bislang gibt es erst eine BETA von Ende September 2009 und dieser möchte ich meine Daten nicht anvertrauen. Die Lokalisierung ist im Übrigen (noch?) katastrophal und die übrigen PGP-Funktionen sind teilweise fehlerhaft, BETA halt … die Leistung des Systems leidet bedauerlicherweise durch vollständige Systemverschlüsselung, aber daran führt wohl kein Weg vorbei.

Im Rückblick würde ich PGP wieder kaufen – und zwar wieder über den amerikanischen Store zum USD-Preis, denn dieser ist nicht ganz so hoch wie der EUR-Preis im europäischen Store.

Martin