PGP Desktop - Wie sicher?

[exitus]

Servus alle zusammen,

ich hab mal eine kurze Frage. Und zwar interessiere ich mich für die Software von PGP genauer
PGP Desktop für den Mac.

Interessiert bin ich vor allem an der Funktion die komplette Systempartition zu verschlüsseln zu können. Nun ja, wie immer bei Sicherheitssoftware stellt sich nun die Frage, wie sicher ist dieses Programm wirklich?

Es ist nicht Open Source und kommt aus den USA, was für mich normalerweise heißen würde das es nicht wirklich sicher ist. Soweit ich mich erinnern kann, gibt es einen Vertrag bzw. ein abkommen mit Firmen welche Sicherheitssoftware entwickeln, dass eine Backdoor vorhanden sein muss, damit die Behörden der USA auf solche verschlüsselten Medien zugreifen können. Natürlich ist das nur etwas was ich mal im Internet gelesen habe, allerdings bin ich mir trotzdem etwas unsicher inwieweit das so stimmen könnte.

Ich hoffe ihr versteht meine Bedenken nicht falsch. Ich möchte mich nur möglichst gut gegen eingriffe schützen.

Ich würde mich freuen, wenn ihr eure Erfahrungen oder Meinungen zu diesem Programm mit mir teilen würdet.

Hoffe auf einen interessanten Meinungsaustausch.

Gruß exitus

[SilentCry]

Ich bin hier der Forumsparanoiker und ich bin überzeugt, diese Verschwörungstheorien sind völliger Schwachsinn. Ein einziger Schwachpunkt in der Kette und das wird publik und die Firma ist für immer weg vom Markt, die Verantwortlichen finden sich dann vermutlich bei lebendigem Leibe gehäutet mit den Füßen in Beton auf dem Grund eines Flusses wieder, denn Sicherheitssoftware wird nicht nur von Lieschen Müller gekauft.

Einziges Problem (neben der Tatsache, dass PGP Desktop derzeit nicht mit Schneeleopard läuft) ist, dass reine SW-Encryption anfällig für die Frozen RAM-Attacke (auch unter Cold Boot-Attacke bekannt) ist. Aber diese Backdoor-Geschichten sind nur dazu da mögliche Anwender zu verschrecken, frei nach dem Motto: "Nutzt eh nix! Brauchst ned, vergiss es - Die SchäubleSchergen wissen eh alles...." - so hätten es die Unsicherheitsbehörden nämlich gerne: Wir ergeben uns ihrer scheinbaren Allwissenheit und verschlüsseln gleich gar nicht.

[exitus]

Hallo Silent,

vielen Dank für deine ausführliche Antwort. Zum 2ten Absatz deines Beitrags, dies sehe ich genauso und bin überzeugt das die "SchäublerSchergen" das gerne so hätten das sie alles wüssten.

Ich habe bislang TrueCrypt benutzt womit auch alle meine externen HDD's von vorne bis hinten verschlüsselt sind. Nur leider bietet TC ja unter Mac OS X keine Bootpartitions-Verschlüsselung (Whole Disk encryption) an, weshalb ich mir nun halt PGP mal etwas genauer angeschaut habe.

Hat denn irgendjemand Erfahrungen mit PGP gesammelt und könnte mal ein Fazit ziehen was Performance des Rechners und dem alltäglichen Umgang mit diesem Programm anbelangt abgeben?

Das würde mir sicherlich in meiner Meinungsfindung weiterhelfen

Nochmals vielen Dank für die Antwort Silent.

Gruß exitus

[SilentCry]

Andere Möglichkeiten sind noch WinMagic SecureDoc, dazu gibt es im Apple-Supportforum einen Thread und Eingaben von mir : KLICK
Und was auch noch eine Variante ist ist CheckPoint FDE - die haben mir eine Version für SL Mitte Dezember versprochen.

WinMagics SecureDoc hat den Vorteil, das es mit Hardware FDE zusammen arbeitet. D.h. gegen Frozen RAM sicher ist. Wie du meinen Beiträgen im Applesupportforum entnehmen kannst, teste ich das gerade. Vorweg: Die SW arbeitet mit Schneeleopard 10.6.2 UND meiner Seagte FDE.4 Enterprise zusammen!

[zeno]

Hat denn irgendjemand Erfahrungen mit PGP gesammelt und könnte mal ein Fazit ziehen was Performance des Rechners und dem alltäglichen Umgang mit diesem Programm anbelangt abgeben?

Ich hatte grob ein halbes Jahr meine Platte mit PGP WDE verschüsselt, der Performanceeinbruch ist spürbar. Vorallem wenn der Rechner anfängt zu swappen macht das ganze keinen Spaß mehr, das kann man eventuell natürlich mit mehr RAM erschlagen. Programme mit hoher Festplattenaktivität sind auch spürbar träger. Im normalen Web/Mail/IM gebrauch ist der Leistungseinbruch vernachlässigbar gering.

[naich]

Nur leider bietet TC ja unter Mac OS X keine Bootpartitions-Verschlüsselung (Whole Disk encryption) an...

Weiß jemand eventuell, ob es geplant ist, diese Funktion von TC auch für Mac OS zu implementieren? Oder ist es evt. technisch so schwierig, dass sie Abstand davon genommen haben!?

[SilentCry]

Ad Performance haben wir hier: http://www.apfeltalk.de/forum/sicher...t169152-4.html auch schon mal diskutiert. Meine persönliche Empfindung wird durch die Benchmarks bestätigt, man verliert 30% Performance. Deswegen (und wegen der Frozen RAM-Attacke) wäre ja eine Hardwareverschlüsselung besonders wünschenswert. Eigentlich stehe ich mit WinMagic SecureDoc && Seagate Momentus FDE.4 Enterprise unmittelbar vor der Lösung.

[exitus]

Andere Möglichkeiten sind noch WinMagic SecureDoc, dazu gibt es im Apple-Supportforum einen Thread und Eingaben von mir : KLICK
Und was auch noch eine Variante ist ist CheckPoint FDE - die haben mir eine Version für SL Mitte Dezember versprochen.

WinMagics SecureDoc hat den Vorteil, das es mit Hardware FDE zusammen arbeitet. D.h. gegen Frozen RAM sicher ist. Wie du meinen Beiträgen im Applesupportforum entnehmen kannst, teste ich das gerade. Vorweg: Die SW arbeitet mit Schneeleopard 10.6.2 UND meiner Seagte FDE.4 Enterprise zusammen!

Hab mir gerade mal deine Beiträge bezüglich WinMagic und Co durchgelesen und fand sie sehr schlüssig und erklärend. Ich entnehmen dem, dass du mir eher nahe legen würdest WinMagic zu benutzen als PGP, da dort die Frozen Ram attacke nicht durchführbar ist. Wie ich auf der Seite auch gesehen habe, ist die Software ziemlich teuer oder?

Ist es mir damit dann rein prinzipiell genauso möglich die komplette HDD zu verschlüsseln, so wie bei PGP das ich bevor der zum Anmeldefenster geht ich sozusagen mein "pw" eingeben muss damit die Verschlüsselung aufgehoben ist oder wie darf ich mir das Vorstellen? Wäre wirklich nett wenn du mir das etwas genauer erläutern könntest

Schonmal vielen Dank für die vielen Antworten welche mir sehr weitergeholfen haben Ich hoffe das Thema wird so anreichernd weiter geführt.

Lieben Gruß,
exitus

[VictorVD]

Ad Performance haben wir hier: http://www.apfeltalk.de/forum/sicher...t169152-4.html auch schon mal diskutiert. Meine persönliche Empfindung wird durch die Benchmarks bestätigt, man verliert 30% Performance. Deswegen (und wegen der Frozen RAM-Attacke) wäre ja eine Hardwareverschlüsselung besonders wünschenswert. Eigentlich stehe ich mit WinMagic SecureDoc && Seagate Momentus FDE.4 Enterprise unmittelbar vor der Lösung.

Das ist ulkig. Ich habe auch PGP WDE erprobt und keine Verlangsamung bemerkt. Ich habe zwar nicht bebenchmarkt, aber 30% müsste man eigentlich spüren. Vor allem wenn gezielt versucht wurde, intensives Swappen zu erreichen...

[SilentCry]

@ exitus:
WinMagic unterscheidet sich in zwei (plus 1) wesentlichen Punkten von PGP Desktop und auch CheckPoint FDE:
Der "plus 1"-Punkt ist, dass PGP Desktop und CheckPoint _derzeit_ keine 10.6-Unterstützung haben. Ich erwähne das extra, weil das nur temporär so ist. CheckPoint hat mir Mitte Dezember zugesagt, PGP wird vermutlich im Jänner eine SL_Version haben.

Die beiden anderen Punkte sind essentieller:
- Hardwareverschlüsselnde Drives (Enterprise). WinMagic initialisiert und verwaltet HW-Encryptind FDE-Drives (z.B. Seagate Momentus FDE.4, Achtung, auf die Typennummer achten, es gibt BIOS_ONLY-FDE-Platten, die unter OS X mit gar nichts als FDE zu verwenden sind wegen Apples Inkompetenz beim Implementieren von BIOS-Kompatibilität im EFI - andere Hersteller können das). D.h. Sicherheit gegen Frozen RAM (verwirrenderweise als Coldbootattacke bekannt) ist gegeben.

- Beherrschung des Ruhezustandes S4 - Suspend to Disk. PGP und CheckPoint können (zumindest derzeit) nur Suspend to RAM (S3) und nicht Suspend to Disk (S4, auch Hibernation genannt). Warum ist das wichtig, wenn doch die Sicherheit vor Frozen RAM mit Hardware FDE gegeben ist? Weil auch reine SW-Lösungen zumindest im Ruhezustand eine Sicherheit gegen Frozen RAM haben könnten wenn sie S4 zulassen. Denn auf einer vollverschlüsselten Disk das RAM-Image abgelegt könnte es erst wieder nach Eingabe der Passphrase geladen werden. D.h. die SW-Lösung würde ein eigenes PBA (PreBootEnvironment - also einen Bootloader wie GRUB oder dergleichen) mitbringen müssen und den /unverschlüsselt/ starten wenn der Mac aus dem S4 aufwacht.
Leider verschenken die SW-Systeme dieses Plus an Sicherheit. So sind sie also auf S3 beschränkt und damit wie im normalen Betrieb anfällig gegen Frozen RAM.

Ich muss allerdings einschränken, dass ich keine Informationen habe wie anfällig DDR3-RAM (das ja viel schneller getaktet wird) noch für diese Coldboot-Attacke ist. Es könnte sein, dass DDR3 wesentlich weniger Daten hält, auch gefrostet nicht. Aber solange ich keine Informationen darüber habe gehe ich von der gleichen Verletzlichkeit aus.