Sicherheit: PGP Fulldisk Encryption für OS X verfügbar

[SilentCry]

Für alle, die es interessiert und weil ich sowieso hier die Platinstufe "Paranoia für Fortgeschrittene" habe:

PGP Corporation Delivers PGP Whole Disk Encryption for Mac OS X!

The wait is over! PGP Corporation has released PGP® Whole Disk Encryption for Mac OS X.

This much-anticipated application is part of a major release enhancing the award-winning PGP® Encryption Platform, which includes general availability of PGP® NetShare 9.9, PGP Universal™ Server 2.9, PGP® Whole Disk Encryption 9.9, and the all-new PGP® Whole Disk Encryption for
Mac OS X.

As we outlined in our June 2008 announcement, the latest release of PGP Whole Disk Encryption 9.9 adds pre-boot authentication to the proven PGP Corporation data encryption technology for Intel-based Macs. PGP Whole Disk Encryption is the only product available today for both Windows and Mac OS X that is also FIPS 140-2 validated for use by the U.S. government.

To learn more about this application, visit www.pgp.com.

 

[stonie10]

Ist an sich ja ne super Sache, allerdings habe ich bei diesen kommerziellen Lösungen immer ein etwas mulmiges Gefühl; es kann niemand sichergehen, ob die Programmierer da nicht doch noch eine kleine Sicherheitslücke für den Staat im Falle einer Beschlagnahmung des Rechners eingebaut haben. Oder täusche ich mich da?
Ansonsten aber super

 

[ezi0n]

naja kann oder kann nicht ... aber was viel wichtiger ist, sobald bootcamp aufm system ist, gehts nicht mehr mit crypten ...

 

[Irgendein Held]

Ist an sich ja ne super Sache, allerdings habe ich bei diesen kommerziellen Lösungen immer ein etwas mulmiges Gefühl; es kann niemand sichergehen, ob die Programmierer da nicht doch noch eine kleine Sicherheitslücke für den Staat im Falle einer Beschlagnahmung des Rechners eingebaut haben. Oder täusche ich mich da?
Ansonsten aber super

Es ist Opensource.

naja kann oder kann nicht ... aber was viel wichtiger ist, sobald bootcamp aufm system ist, gehts nicht mehr mit crypten ...

True.

 

[ezi0n]

Es ist Opensource.

naja nicht wirklich, aber der source ist public ...

 

[Irgendein Held]

naja nicht wirklich, aber der source ist public ...

Opensource != Free Software

 

[ezi0n]

Opensource != Free Software

richtig, aber OpenSource = OSI ( Open Source Initiative ) Lizenz = der Quelltext muss auch offen für Bearbeitung und Weiterverbreitung sein ... dass ist der PGP Source eben nicht.

 

[SilentCry]

OK. Einigen wir uns auf "Veröffentlichten Quellcode"?
Tatsache ist doch, dass dadurch heimliche Hintertürchen (und das interessiert mich um einiges mehr als Auslegungen der GNU-oder-sonstwas-Lizenzpolitik) ziemlich offensichtlich würden, ok?

 

[Paganethos]

Nett, danke für die Info! Habe gerade gesehen dass die einen Vertriebspartner ganz in meiner Nähe haben. Wenn ich dazu komme werde ich mir die Software diese Woche kaufen und dann am Wochenende testen.

Hat hier jemand Vorschläge für Tools um die Geschwindigkeit zu ermitteln? Möglichst schon jetzt, dann kann ich zuerst ohne, dann mit Verschlüsselung testen. Die Resultate stelle ich dann natürlich sehr gerne hier rein.

 

[SilentCry]

Das finde ich ganz fein.
Du kannst zwecks Geschwindigkeitsmessung XBench nehmen: http://www.xbench.com/

Wenn Du kannst, testest Du bitte auch:

- Suspend to RAM (ACPI Mode S3, Sleep)
- Suspend to Disk (ACPI Mode S4, Safe Sleep, Hibernation)
- Was passiert wenn man den Rechner hart abschaltet, mehrere Male, wenn geht.

Danke!

 

[Switch2Mac]

bin auch gespannt auf die testergebnisse

BootCamp... endlich mal nen Grund WinXP nur über VMWare laufen zu lassen

 

[ezi0n]

OK. Einigen wir uns auf "Veröffentlichten Quellcode"?
Tatsache ist doch, dass dadurch heimliche Hintertürchen (und das interessiert mich um einiges mehr als Auslegungen der GNU-oder-sonstwas-Lizenzpolitik) ziemlich offensichtlich würden, ok?

auf die einigung kann ich mich einlassen, was das ergebnis des compilierten codes zu "kaufversion" angeht, findet man doch ein paar unterschiede wenn man tief genug gräbt ... wenn du den source compilierst natürlich nicht ...

 

[SilentCry]

Wenn ich dazu komme werde ich mir die Software diese Woche kaufen und dann am Wochenende testen.

Hallo.
Solltest Du mir zuliebe das Deep Sleep (Safe Sleep, S4, Suspend to Disk, Hibernation) testen wollen, folgendes Widget hilft, den Deep Sleep zu erzwingen: http://deepsleep.free.fr/

 

[Paganethos]

Werde ich testen. Es kann allerdings länger dauern als erwartet da die Firma in meiner Nähe nur an Firmen liefert..

 

[Irgendein Held]

Die Whole Disc Encryption brauchte bei meiner 160GB (149,xGB) Festplatte etwa 6 Stunden (iirc).

Wenn das System gestartet wird bekommt man einen netten Bootscreen, wo man sein zuvor gewähltes Passwort eintippen muss. (siehe Bild)



Bezüglich der Performance-Einbußen kann ich keine Aussagen machen, da ich keine vorher/nachher Benchmarks gefahren hab.
Rein subjektiv ist kein großer Verluste wahrzunehmen, wobei jedem klar sein sollte, dass das System nicht so schnell wie vorher ist.
Es hat halt seinen Preis die gesamte Platte zu verschlüsseln.

Hallo.
Solltest Du mir zuliebe das Deep Sleep (Safe Sleep, S4, Suspend to Disk, Hibernation) testen wollen, folgendes Widget hilft, den Deep Sleep zu erzwingen: http://deepsleep.free.fr/

Die Modes funktionieren alle wie gewohnt.


Btw: Es gibt eine free 30-day trial-Lizenz.

 

[Switch2Mac]

also geht die Versclüsselung auf dem laufenden System oder muss ich das dann alles neu installieren oder draufpacken?

Außerdem was passiert nach den 30 Tagen? Läufts dann nicht mehr? wirds automatisch entschlüsselt?

Danke!

Switch2Mac

 

[SilentCry]

Die Modes funktionieren alle wie gewohnt.

erstmal danke. Darf ich Dich dennoch weiter damit nerven [0].
Macht er _wirklich_ ein Suspend to Disk? Also, wird in /var/rm das file "sleepimage" geschrieben und geht der Rechner wirklich aus?
Wenn Deep Sleep (also Suspend to Disk) _wirklich_ funktioniert, dann muss der Apple ja beim Aufwachen die Passphrase abfragen. Sonst kann er ja das Suspendfile nicht lesen. Tut er das?
Wenn er die Passphrase nämlich nicht fragt, dann muss er sie irgendwo vorhalten, damit wäre dsa System kompromittierbar.

Zusatzfrage: Was ist bei Sleep (S3, Suspend to RAM)? Fragt er da ein PWD oder startet er normal durch?

[0] Hintergrund:
Die SW die ich testete war/ist von Checkpoint. Die verhindert Suspend to Disk, d.h. der Apple schreibt zwar das sleepimage, fährt aber dann nicht in den S4-Mode. Und im S3-Mode hält er weiter die Passphrase im RAM. Wenn PGP das besser macht, kaufe ich es sofort. Dann wäre nämlich ein Transport im S4 (und viell. auch im S3?) eines Notebooks wieder möglich.

 

[Irgendein Held]

also geht die Versclüsselung auf dem laufenden System oder muss ich das dann alles neu installieren oder draufpacken?

on-the-fly auf dem aktuellen System.

Außerdem was passiert nach den 30 Tagen? Läufts dann nicht mehr? wirds automatisch entschlüsselt?

We will see. Ich denke man wird noch entschlüssel können..
Aber wenn es dir gefällt, dann kaufst du es halt, ansonsten decryptest du es vorher wieder.

Danke!

Bitte!

erstmal danke. Darf ich Dich dennoch weiter damit nerven [0].
Macht er _wirklich_ ein Suspend to Disk? Also, wird in /var/rm das file "sleepimage" geschrieben und geht der Rechner wirklich aus?
Wenn Deep Sleep (also Suspend to Disk) _wirklich_ funktioniert, dann muss der Apple ja beim Aufwachen die Passphrase abfragen. Sonst kann er ja das Suspendfile nicht lesen. Tut er das?
Wenn er die Passphrase nämlich nicht fragt, dann muss er sie irgendwo vorhalten, damit wäre dsa System kompromittierbar.

Anscheinend wurde in /var/vm das sleepimage nicht berührt.
Zumindest laut Timestamp.

Zusatzfrage: Was ist bei Sleep (S3, Suspend to RAM)? Fragt er da ein PWD oder startet er normal durch?

Er fragt lediglich nach dem normalen Passwort des Systembenutzer, keine weitere Aktion durch PGP.

 

[SilentCry]

Anscheinend wurde in /var/vm das sleepimage nicht berührt.
Zumindest laut Timestamp.

Also, zum Verständnis: Er scheint in den S4 (Suspend to Disk)-Modus zu gehen, berührt aber das sleepimage nicht.
Wenn er aus dem "anscheinenden" S4 aufwacht (aus S4!) - was passiert? Fragt er da die Passphrase oder nicht?
Wenn er sie nicht fragt, kann er de facto nicht wirklich das RAM auf die Platte geschrieben haben. (Oder er würde die Passphrase abspeichern, das wäre ja dann schildbürgerlich.)

: Er fragt lediglich nach dem normalen Passwort des Systembenutzer, keine weitere Aktion durch PGP.

OK. Das war an sich zu erwarten. Schade zwar, denn damit kann man auch mit PGP den S3-Mode vergessen, aber war eben zu erwarten.

 

[Irgendein Held]

Also, zum Verständnis: Er scheint in den S4 (Suspend to Disk)-Modus zu gehen, berührt aber das sleepimage nicht.
Wenn er aus dem "anscheinenden" S4 aufwacht (aus S4!) - was passiert? Fragt er da die Passphrase oder nicht?
Wenn er sie nicht fragt, kann er de facto nicht wirklich das RAM auf die Platte geschrieben haben. (Oder er würde die Passphrase abspeichern, das wäre ja dann schildbürgerlich.)

Nach längerem Rumärgern bestätige ich dashier:
http://forum.pgp.com/pgp/board/message?board.id=54&thread.id=4032

Statement im Forum:
http://forum.pgp.com/pgp/board/message?board.id=54&message.id=4103#M4103

Unfähigkeitsstatement:
http://forum.pgp.com/pgp/board/message?board.id=54&message.id=4113#M4113

Nachtrag..
Man kaufe sich Heißkleber und versiegel die RAM-Slots.