Sicherheit: HW-verschlüsselnde Festplatten am Mac

[SilentCry]

Hallo zusammen,
warum im Cafe? Weil es nirgendwo sonst rein passt und weil es hier zumindest eines bekommt: Aufmerksamkeit.

Ich habe Geld investiert und mir ein Sony TPM-fähiges Notebook gekauft um Cryptodrives auszuprobieren. Mir ist nun völlig klar warum das am Mac nicht funktionieren _kann_.

Kurz: Die HW-Cryptodrives verwenden das sogenannte IDE-Security-Feature, auch als Harddisk-Passwort bekannt. (Jeder kennt das BIOS-Passwort, das dient nur dazu, den Zugriff auf die Maschine bzw. die BIOS-Einstellung abzusichern, daneben gibt es das Harddisk-Passwort, das den Zugriff auf die Platte absichert, den Inhalt aber nicht verschlüsselt.) Dieses HDD-Passwort wird nun an die Platte gereicht die es dazu verwendet, den Inhalt hardwareseitig zu verschlüsseln. Insofern verhält sie sich zum BIOS und zum Betriebssystem transparent wie eine "normale" IDE/SATA-Platte. Das ist gut.
Schlecht für uns Mac-User ist, dass Apple so strunzdumm war, ausschließlich auf EFI zu setzen und keinen BIOS-Mode einzubauen. Damit steht dem Mac einfach KEINE Methode zur Verfügung, das IDE-Security-Passwort beim Boot abzufragen und an die Platte zu reichen.

End of show, der Vorhang ist gefallen, die dicke Dame tot.

Ich sehe da keine Möglichkeit, es sei denn, jemand kennt sich mit refit (klick) aus? Wäre es möglich, mittels refit ein Modul zu entwickeln, das auf Macs die Eingabe eines IDE-Passworts ermöglicht und dieses an die Platte weiterreicht als wäre es ein BIOS mit der entsprechenden Funktion?

 

[SilentCry]

Update: Ich habe einen Feature Request auf rEFIt abgesetzt. Ich möchte keinen Windows PC verwenden müssen. *verzweifelt bin*.
KLICK

 

[SilentCry]

Hahaha... *bitter lach* mein Feature Request ist verschwunden. Kommentarlos gelöscht?
Klasse. Das ist alles chancenlos, glaube ich. Die Welt _will_ verwundbare Macs.

 

[WDZaphod]

Ich denke einfach, dass die Highsecurity-Zielgruppe zu klein ist, leider.

Hatten wir DAS eigentlich schon?

DIE HIER bauen auch gerade an:

"Mac OS X Pre-Boot Authentication support
PGP WDE now supports Mac OS X boot disks."

 

[SilentCry]

Hatten wir DAS eigentlich schon?

Mhm: KLICK

DIE HIER bauen auch gerade an:
"Mac OS X Pre-Boot Authentication support
PGP WDE now supports Mac OS X boot disks."

Yep: KLICK

Sind halt alles SW-Lösungen und daher wertlos gegen die Frozen RAM-Attacke.
Und sie sind nicht einmal halbwegs gut geeignet, da sie alle den S4 (Suspend to Disk) ausschalten, d.h. es gibt nichtmal ein "sicheres Zuklappen".

 

[WDZaphod]

Sorry, hab (anscheinend aus Frust) länger nicht mehr über das Thema nachgedacht. Zusammen mit der allgegenwärtigen ITler-Alzheimer kam es mit wie eine gute neue Nachricht vor :-D
Die praktikabelste Lösung hattest Du doch eh schon vor langem genannt: Sprengfalle.
Vorteil: Man liest in der Zeitung, wo sich sein geklautes Macbook befand.

 

[SilentCry]

*LOL* Trotz der deprimierenden Tatsachen hast Du mich zum Lachen gebracht, danke!

 

[GunBound]

Hardwareverschlüsselte Festplatten sind sowieso nicht sicher… c't beweist das in jeder zweiten Ausgabe. Ich empfehle dir ein Sparseimage und eine Backup-Kopie davon zu Hause irgendwo versteckt…

 

[WDZaphod]

Hardwareverschlüsselte Festplatten sind sowieso nicht sicher… c't beweist das in jeder zweiten Ausgabe. Ich empfehle dir ein Sparseimage und eine Backup-Kopie davon zu Hause irgendwo versteckt…

Ein Sparse-Image ist auch nicht wirklich sicher - schon garnicht im Standby gemounted. Aber das wurde im 2-Stelligen Seitenbereich bereits diskutiert

 

[SilentCry]

Hardwareverschlüsselte Festplatten sind sowieso nicht sicher… c't beweist das in jeder zweiten Ausgabe. Ich empfehle dir ein Sparseimage und eine Backup-Kopie davon zu Hause irgendwo versteckt…

Ich weiss. Die externen Lösungen kranken erheblich. Man muss halt wie bei allem aufpassen, dass man nicht einem Marketinggag aufsitzt.
Nur - und damit driften wir wieder ab - so pauschale Urteile "hardwareverschlüsselte Festplatten sind SOWIESO nicht sicher" helfen nicht weiter. Es ist nicht so, dass C't grundsätzlich alle HW-verschlüsselnden Platten falsifiziert hat.

Abgesehen davon ist so eine Hardware (eine funktionierende Lösung) eben _eine_ Maßnahme von ggf. mehreren. Ist aber eh _Wurscht_ mit Mayo und Reißzwecken weil dank der Kurzsichtigkeit von Apple mit seinem bescheuerten EFI-only-Konzept diese Lösungen nicht arbeiten. Und rEFIt meinen Feature Request einfach gelöscht hat. (gaga?)

Ich stecke im Moment in einer Sackgasse. Ausser meiner bisherigen Methode (Rechner always off wenn ich nicht dabei sitze und die sofortige Vernichtung herbeiführen kann) weiss ich keine Lösung am Mac. Und den Rechner bei jeder Pinkelpause oder beim Kaffeholen runter zu fahren minimiert die Freude am System jetzt mittlerweile seit mehr als einem Jahr drastisch.

 

[MacAlzenau]

Und den Rechner bei jeder Pinkelpause oder beim Kaffeholen runter zu fahren minimiert die Freude am System jetzt mittlerweile seit mehr als einem Jahr drastisch.

Nicht runterfahren, einfach den Laptop unter den Arm klemmen und mitnehmen. Müsste rein technisch sowohl beim Pinkeln als auch beim Kaffeeholen gehen.

 

[GunBound]

Ist aber eh _Wurscht_ mit Mayo und Reißzwecken weil dank der Kurzsichtigkeit von Apple mit seinem bescheuerten EFI-only-Konzept diese Lösungen nicht arbeiten.

Leider hat das nichts mit deinem Problem zu tun. Was hätte Apple denn tun sollen? Ein dreissigjähriges BIOS einsetzen, welches so löchrig wie dein Nudelsieb und so inkompatibel wie MS-DOS mit deinem Mac ist? Man kann nur schwer ein EFI basteln, welches gleichzeitig BIOS ist. Das EFI der Macs hat übrigens einen BIOS-Kompatibilitätsmodus (sonst würde Windows auf dem Mac nicht laufen).

 

[WDZaphod]

Vor allem bedeutet das E in EFI "Erweiterbar" - das lässt zumindest hoffen

Vielleicht kann jemand was coden in der Art:
Alle Volumes dismounten, wenn iPhone nicht mehr in der Nähe? Optimalerweise auch mounten (mit Key auf dem iPhone), wenn wieder da?
Im schlimmsten Fall halt nicht via Bluetooth, sondern über Kabel. Volume-Passwd auf dem Phone

 

[XeroX]

Ich versteh ja die Sorgen mancher bezüglich der Datensicherheit. Aber Attacken wie die Frozen RAM Attacke gehören sicherlich nicht zum Standartrepertoire eines gewöhnlichen Macbookdiebes. Mit anderen Worten: Wenn jemand an eure Daten will, kommt er da auch ran. Da brauchts euch nur kalt von hinten zu erwischen, wenn grad die Platten gemounted sind. Und diese Hemmschwelle ist nicht viel weiter oben anzusiedeln als jene, die man eh schon überschreiten muss, um ein Macbook zu klauen. Meiner Meinung reicht ein verschlüsseltes Sparseimage vollkommen um sensible Daten abzusichern. Sobald man den Rechner verlässt: Image dismounten, ggf. warten bis der Ram leer ist nach dem zuklappen. Die Suche nach einer praktikablen Lösung die maximale Sicherheit gibt, ist sicherlich sinnvoll, aber leider durch Sachen wie EFI usw. eingeschränkt. Dennoch muss jeder für sich selbst entscheiden was er will: veraltetes BIOS oder EFI ohne HD PW.

aloha,
Grischa

 

[SilentCry]

Zum Thema BIOS-Kompatibilität: Das EFI am Mac hat keine BIOS-Kompatibilität (oder wie definieren wir jetzt "kompatibel"). Es kann die ganz einfachen Dinge nicht wie zB. ein BIOS-Passwort setzen (das kann man über ein Tool als OpenFirmware-Passwort machen) oder eben, und das schlägt hier gnadenlos zu, ein ATA-Security-Passwort setzen bzw. abfragen. Ich nenne das _inkompatibel_. Nur weil ein sch...reckliches Windows mit Knuff und Kniff installierbar ist, ist es noch lange nicht _kompatibel_.
Ich kenne KEINEN PC, der nicht BIOS- und HDD-PWDs setzen lässt. Die billigste Kiste verramscht zwischen Gurken und Gammelfleisch kann das. Es würde der Stabilität und Exklusivität Apples nicht zuwider laufen, hätten sie diese Grundfunktionen eingebaut.

 

[MaXXiMuM]

Ich weiß ned was manche so vom BIOS Passwörtern halten. Bootdiskette oder Batterie entfernen oder Jumper setzen und Passwort ist gelöscht. Was daran sicher sein soll...?
Und die Liste der Master Passwörter wird auch laufend erweitert...

 

[SilentCry]

Ich weiß ned was manche so vom BIOS Passwörtern halten. Bootdiskette oder Batterie entfernen oder Jumper setzen und Passwort ist gelöscht. Was daran sicher sein soll...?
Und die Liste der Master Passwörter wird auch laufend erweitert...

Ich möchte die Verwirrung mal etwas aufklären:

- Ein BIOS-Passwort (aka Maschinen-Password) ist kein besonderer Schutz. Bestenfalls den neugierigen Kollegen/Partner hält es von einem schnellen Boot mir eigener "Analyse"-CD ab bzw. legt es im Falle des Entfernens per Batterie einen Manipulationsversuch offen.
Ähnlich verhält es sich mit dem am Apple verfügbaren "Open Firmware Password" (das übrigens immer noch so heisst obwohl es eigentlich EFI-Password heissen sollte).

- Wovon wir aber HIER SPRECHEN ist das ATA-Security Feature (siehe heise oder Wikipedia) . Wird zwar auch im BIOS gesetzt und der Fehler, es zu verwechseln ist verzeihlich (den macht sogar der HERSTELLER von FDE Drives hier: KLICK)

Ich hoffe, das klärt Dein Unverständnis etwas auf.

EDIT: Und diese ominösen Masterpasswörter sind kein Problem für das ATA-Feature vor allem wenn dieses bei einem FDE-Drive zum Verschlüsseln verwendet wird. Wenn gewünscht erkläre ich, wie diese sog. "Master-Passwörter" funktionieren.

 

[MaXXiMuM]

Ok da lag ich wohl wirklich einem Irrtum auf, mea culpa. Danke für die Info.