Truecryptfrage verschlüsselte Partition

[SilentCry]

Hallo Freunde,
Ich sinniere seit einiger Zeit nach praktikablen Methoden, den Schnüffelstaat trotz frozen RAM-Attacke aus meinen Daten zu halten solange Apple meine Idee nicht umsetzt.

Eine Mögichkeit die mir eingefallen ist:
Eine 160GB und eine sagen wir 40GB-Partiton erstellen. Auf der 160er wird ganz normal OS X installiert, FileVault natürlich. Die 40er wird mit TC als ganze Partition verschlüsselt (und natürlich nur in sicherer Umgebung ausschließlich für die Bearbeitung von Red-Flag-Daten (RFD) geöffnet.)
Mittels sleepwatch und einem Script wird beim Zuklappen alles gekillt, was auf diese RFD-Partition zugreift und TC angewiesen, die Partition zu dismounten, damit eine "Notabschaltung" durch Zuklappen möglich ist bzw. der Container nicht "zufällig" offen bleibt.

Die Frage, bevor ich die 200er einbaue und reinstalliere: KANN das aktuelle TC am Mac eine ganze Partition verschlüsseln und auch mit HFS+ formatieren?
Soll heissen: TUT das hier jemand und _funktioniert_ es in der Praxis?

Reines Kopieren von truecrypt.org-Statements sind nicht unerwünscht aber eben minder hilfreich (wiewohl ich eine "OS X-Section" auf der Seite schon vermisse, das würde die Suche vereinfachen).

Vielen Dank!

 

[Katagia]

Es ist ein wenig wackelig.
Partitionen lassen sich am Stück verschlüsseln. Truecrypt formatiert die Partition nur mit FAT.
Im Festplattendienstprogramm kann man das gemountete Truecryptimage dann HFS+ formatieren.

Truecrypt macht auf einem MAC noch nicht viel Spaß. Es war bei mir extrem langsam, allein das Mounten
eines 20GB Image dauert 2Minuten.
Ich wollte, das Timemachine ein Truecrypt Laufwerk verwendet, geht aber leider nicht

 

[SilentCry]

Hallo Katagia,
verwendest Du verschlüsselte _Images_ oder _Partitionen_?
Es ist natürlich wenig nützlich, wenn ich auf das Mounten mehrere Minuten warten muss - aber viell. ist das nur bei Images so?
Falls Du Partitonen verwendest: Ist es wenigstens _stabil_? Denn gerade bei Verschlüsselung ist Stabilität extrem wichtig, beim kleinsten Fehler riskiert man ja den Verlust des kompletten Container- bzw. Partitionsinhaltes.

btw: Und dass TM keine Ziellaufwerke bzw. Images unterstützt, die verschlüsselt sind ist m.A. nach eine unverzeihliche Ignoranz seitens Apple was Sicherheit betrifft, ebenso wie die absolut minderwertige Unterstützung von FileVault durch TM. (Zwei Gründe, die TM für mich vollkommen nutzlos machen und ich weiterhin Intego Backup die Stange halte, die Version X5 ist richtig klasse, da haben sie das Interface schön aufgeräumt, X4 war ja eher ... überladen)

 

[iron_mike]

Ich habe auf meiner externen Platte eine 340 GB Partition mit truecrypt (FAT 32) verschlüsselt. Bis auf die angesprochene Langsamkeit lief bisher alles glatt.

 

[Katagia]

Ob Partition oder Image macht keinen großen Unterschied.
Ich hatte nur einige Probleme, die 200GB Partition formatiert zu bekommen.
Der Festplattenmanager hat zicken gemacht. Egal, wofür gibts die Konsole?

 

[SilentCry]

Ich habe auf meiner externen Platte eine 340 GB Partition mit truecrypt (FAT 32) verschlüsselt. Bis auf die angesprochene Langsamkeit lief bisher alles glatt.

FAT32 verwendest Du, weil Du HFS+ nicht traust, es nicht geht oder weil Du Datenaustausch mit einem Windowssystem via TC-Partiotion machst?

ad "Langsamkeit"... wie verhält sich denn die 320er-Partition? Hochgerechnet von 2 Minuten für 20GB würde das ja dann 32 Minuten zum Mounten dauern... ?

 

[iron_mike]

FAT32 verwendest Du, weil Du HFS+ nicht traust, es nicht geht oder weil Du Datenaustausch mit einem Windowssystem via TC-Partiotion machst?

ad "Langsamkeit"... wie verhält sich denn die 320er-Partition? Hochgerechnet von 2 Minuten für 20GB würde das ja dann 32 Minuten zum Mounten dauern... ?

Ja, ich verwende FAT32 um Dateien mit Windows austauschen zu können. Allerdings ist mir es bei meinem einzigen, halbherzigen Versuch nicht geglückt die Partition auf einem Windows Rechner zu mounten (was nicht heißen muss das der Fehler bei truecrypt liegt).

Von den 320 GB ist ca. die Hälfte belegt, ich bahaupte das es ca. 5 Minuten dauert bis die Partition gemountet ist (bin aber noch nie mit der Stoppuhr daneben gestanden). Meiner Meinung nach noch im vertretbaren Bereich.

 

[Katagia]

Unter Windows dauert das keine 10sek. Von dem her bin ich schon etwas enttäuscht

 

[NoaH11027]

Hast du dir schon mal überlegt PGP statt truecrypt zu verwenden? Ich verwende dienstlich PGP mit einer komplett verschlüsselten Partition mit demselben Tempo auf MacOS wie unter Windows.
Privat war nutze ich "nur" Desktop Home" also die Variante ohne "whole disk encryption", da mir die zuverlässige Arbeit mit Images ausreicht.

Ist aber nicht kostenlos, leider.
NoaH

 

[SilentCry]

Hast du dir schon mal überlegt PGP statt truecrypt zu verwenden?

Unter Leopard? Im Techpaper steht 10.4, deswegen war ich misstrauisch, wie aktuell und gepflegt das Ding ist. Ansonsten wäre es für mich schon eine Option, 5 Minuten für's Mounten...
So, habe jetzt nachgesehen, Leopard wird unterstützt, ich hatte veraltete Information.
Hm. Jetzt gilt es zu überlegen, ob die annual subscription reicht oder ob man die perpetual license nehmen sollte.

Ist aber nicht kostenlos, leider.

In dem Umfang solcher Preise ist mir das egal. Ich habe bei meinem Umstieg nach OS X begriffen, dass im Appleumfeld die "Geiz ist geil"-Mentalität nicht gilt (und finde das ausgezeichnet).

 

[SilentCry]

Hast du dir schon mal überlegt PGP statt truecrypt zu verwenden?

Hallo NoaH1027 - ich muss das nochmal pushen, sag, die "annual subscription" ... was passiert, wenn das Jahr vorbei ist? Verliere ich plötzlich allen Zugriff auf meine verschlüsselten Daten oder kriege ich nur keine Updates mehr (was ja mit der perpetual genauso ist nach einem Jahr Maintainance Basic)?

 

[Bozol]

ad "Langsamkeit"... wie verhält sich denn die 320er-Partition? Hochgerechnet von 2 Minuten für 20GB würde das ja dann 32 Minuten zum Mounten dauern... ?

Ob da nicht wo anders was im Argen liegt? Meine 1TB Raid-1 braucht zum mounten ca. 20 Sekunden.

 

[SilentCry]

Ob da nicht wo anders was im Argen liegt? Meine 1TB Raid-1 braucht zum mounten ca. 20 Sekunden.

Du hast eine TC-verschlüsselte Partition mit 1TB auf einem Raid-1 das 20 Sekunden zum Mounten braucht?
Gut, meine Hochrechnung war ja nur theoretisch, aber bei iron_mike dauert die 320er-Partition 5 Minuten. Ich meine, das ist aus meiner Sicht nicht wirklich praktikabel aber ich zweifle nicht daran, dass es die Wahrheit ist - umso erstaunter bin ich dass Dein Posting nahelegt, es würde für ein Terabyte 20 Sekunden dauern.

 

[Bozol]

Moment, nicht das wir aneinander vorbei reden: ich rede von der Zeit die zwischen dem Mounten im TC-Prog und dem Erscheinen der Platte im Finder. Vielleicht habe ich ja etwas missverstanden...

 

[SilentCry]

Hm. Also mir geht es weniger um eine wissenschaftlich exakte Defintion von "Mounttime".
Nehmen wir die Praxis. Ich sitze vor meinem Rechner und denke "Oh, jetzt bräuchte ich Daten von der Cryptopartition" -> flugs das Programm gestartet, die Passphrase eingegeben und ab nun läuft die Zeit bis ich auf meine verschlüsselten Daten zugreifen kann. _Das_ ist die Zeit, die mich interessiert.

Weiters würde mich natürlich auch ein Dismount interessieren, zeitlich, denn wenn ich per sleepwatcher eine Art "Notabschaltung" plane, sollte das eher in "Sekunden" ablaufen, nicht in Minuten.

 

[Bozol]

Nehmen wir die Praxis. Ich sitze vor meinem Rechner und denke "Oh, jetzt bräuchte ich Daten von der Cryptopartition" -> flugs das Programm gestartet, die Passphrase eingegeben und ab nun läuft die Zeit bis ich auf meine verschlüsselten Daten zugreifen kann. _Das_ ist die Zeit, die mich interessiert.

Dann reden wir von der gleichen Sache. Anbei zwei Screenshots, bitte die Uhr oben rechts beachten. Dismount ist ebenso schnell.

 

[NoaH11027]

Hallo NoaH1027 - ich muss das nochmal pushen, sag, die "annual subscription" ... was passiert, wenn das Jahr vorbei ist? Verliere ich plötzlich allen Zugriff auf meine verschlüsselten Daten oder kriege ich nur keine Updates mehr (was ja mit der perpetual genauso ist nach einem Jahr Maintainance Basic)?

Das kann ich dir leider nicht so genau sagen, da ich eine perpetual license habe. Auf Nachfrage in unserem Backoffice hat man mir Auskunft erteilt das dein Schlüssel (PGP Key) weiter gültig ist, da du den ja eh in verschiedensten Applikationen verwenden kannst (GPG kann den auch nutzen IIRC allerdings nur bis 4096bit). Bei den Images waren sie sich nicht sicher, aber überwiegend der Meinung das du alte Images öffnen kannst, aber keine neuen mehr anlegen.

Du solltest daran denken das es bei PGP auch dazu gehört die das überwacht wird ob die Integrität deines Schlüssels gewahrt ist. Sprich du bekommst regelmässig Mails dich zu verifizieren und damit die Integrität deines Schlüssels zu belegen. Der Service bei PGP ist verdammt gut, ich nutze PGP auch für die Mailverschlüsselung und da ist es ein echtes Problem wenn der private Key nicht mehr akzeptiert wird, ich hatte das Problem zweimal und innerhalb von 30 Minuten war das Problem gelöst, trotzdem ich von hier aus morgens in den USA angerufen habe.
Immer wieder wird ja auch mal behauptet das PGP dem US Goverment eine Backdoor eingebaut hat, was definitiv nicht so ist. Allein schon durch das Verfahren bedingt, die Kombo aus private Key und Passphrase in einer 256bit AES Verschlüsselung die deinen Rechner nie verlässt (nur der public key wird an PGP übermittelt) ist so gut wie nicht zu knacken. Ich glaube der Stanford ASCII White müsste 25 Jahre an einem solchen Schlüssel rechnen, was sich wohl kaum rentieren dürfte bei dem Unterhalt.

NoaH

 

[SilentCry]

Dann reden wir von der gleichen Sache. Anbei zwei Screenshots, bitte die Uhr oben rechts beachten. Dismount ist ebenso schnell.

Merci. Ja, so geht das. Ob das wohl am RAID liegt?
Eine Frage noch: Formatiert hast Du die Partition womit... HFS+? FAT32? SuizideFS#?

Bei den Images waren sie sich nicht sicher, aber überwiegend der Meinung das du alte Images öffnen kannst, aber keine neuen mehr anlegen.

OK, das wäre fair. Es ist nicht so sehr die Summe, aber ich frage mich, warum ich 2,5x soviel Geld zahle wenn ich nicht mehr Support oder Upgradevergünstigungen bekomme, ich kann knapp 3 Jahre jedes Jahr die aktuelle Version kaufen - bei der perpetual bekomme ich dennoch nur 1 Jahr Updates gratis.

Du solltest daran denken das es bei PGP auch dazu gehört die das überwacht wird ob die Integrität deines Schlüssels gewahrt ist. Sprich du bekommst regelmässig Mails dich zu verifizieren und damit die Integrität deines Schlüssels zu belegen.

Nun, ich würde die Mailanbindung als Goodie mitnehmen, aber mein Hauptaugenmerk liegt auf der Partitionsverschlüsselung. Blöderweise finde ich im Onlineshop die Wholedisk-Encryption erstens nur für Windows und zweitens auch nur perpetual für 141 Euro... irgendwie unsinnig.

Ich glaube der Stanford ASCII White müsste 25 Jahre an einem solchen Schlüssel rechnen, was sich wohl kaum rentieren dürfte bei dem Unterhalt.

AES256 knacken? Ich habe das mal ausgerechnet, sogar inkl. Moorschem Gesetz reden wir von Jahrmillionen.

 

[Bozol]

Merci. Ja, so geht das. Ob das wohl am RAID liegt?
Eine Frage noch: Formatiert hast Du die Partition womit... HFS+? FAT32? SuizideFS#?

In HFS+.
Erst mit TC in Fat32 erstellt (dauert bei 1TB ca. 17 Stunden).
Dann im FDP mit HFS+ formatiert.
Obs am Raid liegt kann ich nicht beurteilen (Macpower Taurus mit Hardware Raid-1).

 

[SilentCry]

News: Checkpoint Full HDD Encryption

Soda, neuer Player:
Checkpoint Meldung!