MacMark
Jakob Lebel
- Registriert
- 01.01.05
- Beiträge
- 4.874
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
Verschlüsslung,Sicherheit,MacBook
- Ersteller chihan
- Erstellt am
mds
Süssreinette (Aargauer Herrenapfel)
- Registriert
- 04.10.07
- Beiträge
- 406
Damit ist nicht zu rechnen. Geplant ist PBE für Windows … aus den gleichen Gründen, wie andere Hersteller an PBE für den Mac scheitern, dürfte es auch bei TrueCrypt nicht gelingen.
Martin
Bei vielen Macs ist die Festplatte schneller ausgebaut als das Firmware-Passwort abgedreht werden kann.
FileVault ist nicht der Weisheit letzter Schluß, das glauben jedoch viele Leute. Temporäre Dateien werden dadurch ebensowenig verschlüsselt wie Swap Dateien. (Letztere kann man zwar verschlüsseln lassen, dies ist aber nicht die Standardeinstellung.) Dadurch komme ich unter Umständen zwar nicht direkt an die per FileVault geschützten Daten dran, aber recht wahrscheinlich an Teile davon oder gar diverse Zugangspasswörter. Wer dann nicht überall unterschiedliche Passwörter verwendet dessen FileVault Passwort habe ich dann so auch schon rausgefunden. Hier hülfe nur Volldiskverschlüsselung und zu Verhindern, daß Unbefugte physischen Zugang zum Gerät bekommen.
Sinnvoll wären so Features wie ein ATA Passwort, was aber niemand sinnvoll implementiert (außer ein paar Datenerpressern).
Gruß Pepi
FileVault ist nicht der Weisheit letzter Schluß, das glauben jedoch viele Leute. Temporäre Dateien werden dadurch ebensowenig verschlüsselt wie Swap Dateien. (Letztere kann man zwar verschlüsseln lassen, dies ist aber nicht die Standardeinstellung.) Dadurch komme ich unter Umständen zwar nicht direkt an die per FileVault geschützten Daten dran, aber recht wahrscheinlich an Teile davon oder gar diverse Zugangspasswörter. Wer dann nicht überall unterschiedliche Passwörter verwendet dessen FileVault Passwort habe ich dann so auch schon rausgefunden. Hier hülfe nur Volldiskverschlüsselung und zu Verhindern, daß Unbefugte physischen Zugang zum Gerät bekommen.
Sinnvoll wären so Features wie ein ATA Passwort, was aber niemand sinnvoll implementiert (außer ein paar Datenerpressern).
Gruß Pepi
Volldiskverschlüsselung ist Hirnfick.
Die Sache ist nämlich die, es gibt grundsätzlich zwei Arten von Dieben:
Die einen wollen deine Hardware haben - für die ist FileFault oder ein verschlüsselter Container fürs kritische Zeug voll und ganz ausreichend. Wer nämlich so dämlich ist zu glauben, dass der Diebstahl eines rasant im Wert verfallenden und ohnehin spottbilligen, aber trotzdem rekordverdächtig einfach zu identifizierenden Massenkonsumprodukts wie eines Computers ein wirklich lohnendes Unterfangen sei, der kann nicht sonderlich viel in der Birne haben - ausser tierischen Entzugserscheinungen vom weissen Zeug vielleicht. Der stellt keine sonderliche Gefahr dar, wenn dir Privatsphäre das wichtigste ist. Im Gegenteil, denn der wird in der Hoffnung Beweismittel zu vernichten deine Festplatte so schnell wie nur möglich plattmachen so gut er nur kann. Der will deine persönlichen Daten nicht, die sind vielmehr das was er am schnellsten loswerden will.
Die andere Art von Dieben hat sich auf Daten und Informationen spezialisiert. Das sind die etwas schlaueren und die zielen nur auf die Klientel, von der sie wissen dass sich der Coup lohnt. Wenn diese Leute dein Gerät in die Finger bekommen, nehmen sie es gar nicht mit. Sie lassen dir sogar noch was da. Vor einem Hardware-Keylogger in Form einer Miniaturwanze, die jeden deiner Tastenanschläge in Echtzeit im UHF-Band über mehr als 200 m übertragen kann, schützt dich kein Verschlüsselungssystem der Welt. Ein ambitionierter Bastler kann sich sowas aus wenigen Einzelteilen im Wert von etwa 15-20 Euro aus Teilen zusammenbasteln, die es in jedem gutsortierten Elektronikkramladen im Wühlregal gibt. Fix und fertige Keylogger gibt es für wenige Euro im Netz zu kaufen, schön getarnt als USB-Stecker oder Hub. Oder auch mal zum Einbau in gängige Markenkeyboards oder Mäuse.
(Kein Witz - ich brauche genau DREI Bauteile, um eine Mighty Mouse in einen funktionsfähigen VHF-Radiosender zu verwandeln. Der ist dann zwar nicht unbedingt in der ästhetischen Qualität von Radio Moskau, aber er funktioniert very well. Als dazu passender Empfänger genügt jedes handelsübliche Transistorradio, ein Spulentrimmer und etwas Lötzinn.)
Das ganze unauffällig in einem "normalen" Rechner einzupflanzen ist meist ein Akt von wenigen Sekunden. Deckel auf, Stecker rein, Deckel zu. Oder auch nur: Maus ab, andere Maus dran.
Und falls der Dieb der Kategorie B dir deinen Rechner dann vielleicht doch irgendwann mal klaut, tut er es nur um die Spur zu verschleiern, die zu ihm führt - und um dich auch noch in Zukunft erfolgreich ausplündern zu können, ohne dass du Verdacht hegst. Meistens findet sich in der örtlichen Bahnhofsgegend ein Kleinganove der Kategorie A, der diesen Trotteljob dankbar übernimmt. Wann du zuhause bist und wann nicht, das kann ihm B ja vorher stecken, denn deinen Terminkalender kennt er besser als du.
Und deine Verschlüsselung findet der sicher sehr, sehr lustig. Mehr aber auch nicht.
Sinnvoll wäre wenn Computerbenutzer begreifen würden, dass es *keine* absolute Sicherheit geben kann. Schon gar nicht, wenn du sie dort einkaufst wo auch andere sie ebenfalls kaufen können. Und schon dreimal nicht, wenn andere unbeaufsichtigt ihre Hände an deinen Rechner legen können, und sei es auch nur für einen kleinen, aber entscheidenden Moment.
Wenn dir jemand die totale Sicherheit verspricht, hat er dich auch schon beschissen. Wer sich das selber verspricht, ist nur ein Trottel. Einer, dem Forrest Gump erst mal die Welt erklären müsste.
SilentCry
deaktivierter Benutzer
- Registriert
- 03.01.08
- Beiträge
- 3.831
Das ist ja ganz hervorragend. Ich kannte das Sandboxing, allerdings kannte ich eben nur die Aussage, dass das ein Programm selbst machen muss. Das man das von Aussen steuern kann, ist klasse.
Etwas hakelig ist es (oder sagen wir: Nicht sehr benutzerfreundlich). Und mangels Leopard kann ich es auch noch nicht ausprobieren, aber es klingt ansatzweise gut.
Jetzt muss Apple nur noch erkennen, welches Potential das hat und mit ordentlichen GUI-Optionen ("always run sandboxed" -> Profile location: ...) anwendertauglich machen.
Das verwende ich schon, ist schon ok, aber eben keine pre-boot-Auth. mit FullHDD-Encryption.
Darüber kann ich aber hinweg sehen, man könnte trefflich diskutieren, in welchen Fällen FullHDDEnc hilft und in welchen nicht, egal, ich _hätte_ es gerne, kann aber damit leben wenn nicht. TrueCrypt ist auch ohne preboot-Auth am Mac wünschenswert und ich erwarte es sehnsüchtig.
Danke nochmals für die Links zur Sandbox.
MacMark
Jakob Lebel
- Registriert
- 01.01.05
- Beiträge
- 4.874
Mit den Sandbox-Funktionen ist es wie mit den erweiterten Attributen und ACLs: Als sie eingeführt wurden, waren sie noch nicht per GUI steuerbar und meist ein privates Framework. Mit einem späteren Release werden sie dann offiziell und tauchen auch in der GUI auf.
Für Januar hat es leider nicht mehr gereicht.
http://www.truecrypt.org/future.php
F u t u r e TrueCrypt 5.0
Release scheduled for: February 4, 2008
The following features are planned to be implemented in future versions:
http://www.truecrypt.org/future.php
F u t u r e TrueCrypt 5.0
Release scheduled for: February 4, 2008
- Windows system partition encryption with pre-boot authentication
- Mac OS X version
- GUI for Linux versions of TrueCrypt
- Parallelized and pipelined read/write
The following features are planned to be implemented in future versions:
- Support for external authentication modules (cryptographic tokens)
- 'Raw' CD/DVD volumes
- TrueCrypt API
Die neue Version 5 ist endlich da.
Allerdings scheint der Server den vielen Anfragen nicht standzuhalten.
Hatte jemand von euch schon Glück die neue Version unter Mac OS 10 zu testen?
Heise.de hat ebenfalls einen Bericht verfasst
http://www.heise.de/newsticker/meldung/103054
Bin mal gespannt auf weitere Postings
Allerdings scheint der Server den vielen Anfragen nicht standzuhalten.
Hatte jemand von euch schon Glück die neue Version unter Mac OS 10 zu testen?
Heise.de hat ebenfalls einen Bericht verfasst
http://www.heise.de/newsticker/meldung/103054
Bin mal gespannt auf weitere Postings
zeno
Lane's Prinz Albert
- Registriert
- 05.11.05
- Beiträge
- 4.894
Aber hallo Freunde der Verschlüsselung. FileVault und Co umgehen in dem man die RAM Riegel tiefkühlt und an nem anderem Rechner ausliest.
SilentCry
deaktivierter Benutzer
- Registriert
- 03.01.08
- Beiträge
- 3.831
Ja, das klingt richtig übel. Mir ist jetzt durch und durch schlecht. Das NeuGeStaSiPo-Pack hat ja wirklich alle Chancen, der aktuelle IT-Markt ist sicherheitstechnisch der allerletzte Dreck.
Ich habe mir auch die Kommentare durchgelesen. Eigentlich hilft dagegen nur noch eine Spreng- bzw. Thermitfalle _im_ Gerät, direkt im RAM-Slot.
Eine Verbesserung dieser Situatuin kann man erreichen, wenn man FileVault zwar einsetzt, zusätzlich aber kritische Daten mit einem anderen Produkt (TrueCrypt, PGP.com) verschlüsselt und das dmg wirklich nur für den spezifischen Zugriff mountet.
Es hilft nichts, da muss eine andere Lösung her - eine Full-HDD-Encryption, dann kein S3 mehr sondern nur S4 (gemeinhin als "Hibernation" oder "suspend to disk" bekannt) und beim Aufwachen vorher die Passphrase abgefragt, sonst öffnet sich das Drive nicht. Dann kann man den Laptop wenigstens im S4-Modus transportieren.
Ich habe mir auch die Kommentare durchgelesen. Eigentlich hilft dagegen nur noch eine Spreng- bzw. Thermitfalle _im_ Gerät, direkt im RAM-Slot.
Eine Verbesserung dieser Situatuin kann man erreichen, wenn man FileVault zwar einsetzt, zusätzlich aber kritische Daten mit einem anderen Produkt (TrueCrypt, PGP.com) verschlüsselt und das dmg wirklich nur für den spezifischen Zugriff mountet.
Es hilft nichts, da muss eine andere Lösung her - eine Full-HDD-Encryption, dann kein S3 mehr sondern nur S4 (gemeinhin als "Hibernation" oder "suspend to disk" bekannt) und beim Aufwachen vorher die Passphrase abgefragt, sonst öffnet sich das Drive nicht. Dann kann man den Laptop wenigstens im S4-Modus transportieren.
SilentCry
deaktivierter Benutzer
- Registriert
- 03.01.08
- Beiträge
- 3.831
Leider nicht. Die Boot-HDD kann nur unter dem Windows-System verschlüsselt werden.
Mac-User stehen immer noch im Regen.
Desweiteren müsste man herausfinden, wie man ein MB(P) dazu zwingt, Suspend to Disk zu machen wenn der Deckel zugeht und sicherstellen, dass der Speicher auch bei dem Vorgang ausgewischt wird.
zeno
Lane's Prinz Albert
- Registriert
- 05.11.05
- Beiträge
- 4.894
Hatte ich vor ein paar Tagen irgendwo gelesen.. mal schauen ob ich den Link noch finde..
SilentCry
deaktivierter Benutzer
- Registriert
- 03.01.08
- Beiträge
- 3.831
Das wär schon mal was. Allerdings fehlt die wichtigste Komponente dann immer noch: Die Boot-HDD-Fulldisk-Encryption.
SilentCry
deaktivierter Benutzer
- Registriert
- 03.01.08
- Beiträge
- 3.831
Danke. Nun nur noch Full Boot HDD-Encryption und eine Passphraseabfrage vor dem Aufwachen und wir haben's. Da es das aber für Macs (noch?) nicht gibt, überlege ich derweil ernsthaft, das RAM mit Superkleber fest zu machen. Ein defekter RAMbaustein bedeutet dann zwar einen Totalschaden aber anders scheint es nicht zu gehen.
Wie klebt man am besten das RAM in ein MB? Ich meine, ich will den Rechner ja nicht _dadurch_ ruinieren.
Edit: Was mich besonders ärgert: Ein Vista-Notebook mit Bitlocker (richtig konfiguriert) und der Verwendung von S4-Mode ist tatsächlich praktisch mit Bordmitteln sicher (solange der Rechner nicht im laufenden Betrieb gekapert wird).
Edit2: Je mehr ich mich damit beschäftige desto verzweifelter werde ich. Das macht eigentlich den Einsatz eines Laptops völlig (!) unbrauchbar, man kann sich ja nirgendwo mehr hinsetzen damit. Ich denke, festkleben ist wirklich der einzige Schutz. (Und natürlich OF-Passwords damit ein warm-reboot nicht wirkt (klick))
Wie klebt man am besten das RAM in ein MB? Ich meine, ich will den Rechner ja nicht _dadurch_ ruinieren.
Edit: Was mich besonders ärgert: Ein Vista-Notebook mit Bitlocker (richtig konfiguriert) und der Verwendung von S4-Mode ist tatsächlich praktisch mit Bordmitteln sicher (solange der Rechner nicht im laufenden Betrieb gekapert wird).
Edit2: Je mehr ich mich damit beschäftige desto verzweifelter werde ich. Das macht eigentlich den Einsatz eines Laptops völlig (!) unbrauchbar, man kann sich ja nirgendwo mehr hinsetzen damit. Ich denke, festkleben ist wirklich der einzige Schutz. (Und natürlich OF-Passwords damit ein warm-reboot nicht wirkt (klick))
Nur in Verbindung mit einem TCPA-konformen System.
Vielleicht liest du erst mal das hier, damit du weisst wovor du *wirklich* Angst haben solltest. Du gehörst durch deine Anforderungen leider mit zu den Steigbügelhaltern einer solchen, dort aufgezeigten Entwicklung.
Wenn du selbst Daten hieb- und stichfest vor anderen verbergen kannst, dann können auch andere das vor dir tun - und zwar auf deinem Rechner - der dann genaugenommen gar nicht mehr "deiner" ist.
SilentCry
deaktivierter Benutzer
- Registriert
- 03.01.08
- Beiträge
- 3.831
Habe ich nicht bestritten. Ich sage nur dass es OS X nicht schafft, ein Hibernationfile (sic) sicher abzulegen.
Das wird philosophisch. Ich stimme dem übrigens im Ansatz nicht zu. Momentan kann ich zB. in meinem Gehirn Daten speichern, die anderen völlig unzugänglich sind. Andere können das in meinem Hirn aber nicht. Und meine Computerdaten sollen genau so sicher sein wie meine Ideen, Vorstellungen, Visionen und Passphrasen in meinem Gehirn.
Das nennt sich "Safe Sleep Image".
Keine Angst vor den allesprügelnden Staatsschergen und einer Runde "Waterboarding"? Das verwundert etwas.
Auch das ist philosophisch. Andere tun das Tag für Tag in deinem Gehirn, ohne dass du das auch nur wahrnehmen würdest. Glaubst du nicht?
Dann sag mir: Welche Farbe hat der Strom?
Siehst du - klappt doch ganz gut.
Lass mich mal raten: Ein FKK-Urlaub ist nicht so dein Ding, oder?
2003-2024 Apfeltalk | Made on a Mac