OSX 10.5 komplettes System verschlüsseln

Topolino1979 · 18.05.09

Hallo,
Ich bin ein Umsteiger aus der Windows Welt und habe bisher mein Notebook mit Truecrypt vollkommen verschlüsselt, so dass im Fall eines Diebstahls niemand an meine Daten kommt.

Wie ich leider herausgefunden habe, funktioniert das in der Mac Version von Truecrypt nicht.
Ich habe 2 Lösungen von CheckPoint und von PGP gefunden. Mal abgesehen vom hohen Preis...

Könnt Ihr mir sonst eine Empfehlung geben? Es soll das komplette Macbook verschlüsselt sein. Also nicht nur Filefault der Benutzerordner oder einzelne Images.

Vielen Dank für Eure Tipps.

Gruß
Marco

salome · 18.05.09

Google mal nach Open Firmware Passwort. Und benutze auch die SuFu, dann siehst, was alles passieren kann.
salome

Topolino1979 · 18.05.09

Ist denn durch dieses Open Firmware Passwort die Festplatte komplett verschlüsselt?
Nein oder? Hab ich das falsch verstanden? Die Festplatte soll auch bei einem Ausbau nicht auslesbar sein.

Ich bin absoluter Mac Neuling... vielleicht kann mir jemand auf die Sprünge helfen.
Das wäre sehr nett.

GunBound · 18.05.09

Topolino1979 schrieb:
Die Festplatte soll auch bei einem Ausbau nicht auslesbar sein.

Nein, ist sie dann nicht, aber glaube mir:
Wenn du FileVault aktiviert hast (Systemeinstellungen > "Sicherheit" > "FileVault"), dann kommt man von aussen nur ans System ran — und weil das bei allen Macs gleich/ähnlich ist und sich dort drin normalerweise keine deiner Daten befinden, kannst du getrost auf dessen Sicherung verzichten.

Topolino1979 · 18.05.09

Eben darum will ich NICHT FileFault nutzen. Sondern eine Vollverschlüsselung wie bei Truecrypt auf dem PC.

Es soll eine komplett verschlüsselte Festplatte vorliegen. Mit Startpasswort und allem drum und dran.

Hintergrund, wir nutzen ein Shared-Office... und die Daten sind nicht gerade unwichtig. Da würden sich manche die Hände reiben. Tja und deshalb soll die Festplatte selbst bei ausbau und allem nicht auslesbar sein.

GunBound · 18.05.09

Topolino1979 schrieb:
Eben darum will ich NICHT FileFault nutzen. Sondern eine Vollverschlüsselung wie bei Truecrypt auf dem PC.

Es soll eine komplett verschlüsselte Festplatte vorliegen. Mit Startpasswort und allem drum und dran.

Hintergrund, wir nutzen ein Shared-Office... und die Daten sind nicht gerade unwichtig. Da würden sich manche die Hände reiben. Tja und deshalb soll die Festplatte selbst bei ausbau und allem nicht auslesbar sein.

Himmel, hilf!
Wenn du FileVault benutzen würdest, so wären alle deine wichtigen Daten gesichert! Was kümmert einen Hacker dein Betriebssystem, welches sowieso überall gleich aussieht?
Mehr Infos zum Thema TrueCrypt und Sicherheit findet sich übrigens hier:
http://www.apfeltalk.de/forum/problem-truecrypt-pre-t227275.html

SilentCry · 18.05.09

Es gibt 3 Varianten:
Checkpoint
PGP Desktop
und WinMagic

WinMagics SecureDoc für Mac ist übrigens die einzige SW, die mit den FDE-Drives von Seagate (Enterprise, Momentus FDE.3) eine HARDWAREbasierte Verschlüsselung unterstützt.

SW-basierte Verschlüsselung ist anfällig für die Frozen RAM-Attacke. Daher nur sicher, wenn das Gerät AUS ist. Unglücklicherweise unterstützen PGP Desktop und Checkpoint keinen Suspend to Disk-Modus (S4).

Warum ich kein Securedoc von Winmagic habe? Weil man es nicht kaufen kann es sei denn, man nimmt 10 Lizenzen a 155 Euro. Und die ENTERPRISE-FDE.3-Platten von Seagate haben eine Lieferzeit bis Ende August (!). Ein Auto krieg ich schneller, ebenso ein Haus gebaut. Kein Wunder, dass Seagate Leute entlassen muss, es ginge ihnen sicher besser, wenn man die Produkte die sie herstellen auch kaufen könnte....

MacAlzenau · 18.05.09

Er hat einige seiner Daten anscheinend im Verzeichnis /Für alle Benutzer.
Das wird von FileVault vermutlich nicht verschlüsselt, nehme ich mal an.

GunBound · 18.05.09

MacAlzenau schrieb:
Er hat einige seiner Daten anscheinend im Verzeichnis /Für alle Benutzer.
Das wird von FileVault vermutlich nicht verschlüsselt, nehme ich mal an.

Ok, dann nehme ich das zurück. Es bestünde natürlich die Möglichkeit, in diesen Ordner ein verschlüsseltes Sparseimage zu legen — das hat jedoch den entscheidenden Nachteil, dass man da von Windows aus nicht an die Daten rankommt.

Topolino1979 · 18.05.09

MacAlzenau schrieb:
Er hat einige seiner Daten anscheinend im Verzeichnis /Für alle Benutzer.
Das wird von FileVault vermutlich nicht verschlüsselt, nehme ich mal an.

Jep.. nicht alle Daten liegen im Benutzerverzeichnis. Wie sieht es denn mit Hintertürchen aus?
FileVault ist ja keine Open Source Geschichte.

Paganethos · 18.05.09

Dann leg einfach alle Daten in ein deinen Benutzerordner.

SilentCry · 18.05.09

FileVault ist übrigens eine akzeptable Lösung für Userdaten aber keine besonders hervorragende.
Wen interessiert warum, dem sei eine Suche nach "23C3 FileVault" ans Herz gelegt.

ahuebenett · 18.05.09

SilentCry schrieb:
FileVault ist übrigens eine akzeptable Lösung für Userdaten aber keine besonders hervorragende.
Wen interessiert warum, dem sei eine Suche nach "23C3 FileVault" ans Herz gelegt.

Das sehe ich anders - und auch der 23C3 Beitrag "Unlocking FileVault" kam zu einem anderen Ergebnis als du. FileVault ist unter Berücksichtigung einiger Maßnahmen (die übrigens auch bei anderen "Produkten" anzuwenden sind) als sehr sicher anzusehen. Diese Maßnahmen wären die Verwendung von "sicherem" Virtuellen Speicher und eines ausreichend langen und nicht erratbaren Passwortes.

waschbär123 · 18.05.09

ich weiss nicht welche daten du da aufm notebook mit dir rumträgst, aber filevault und die restlichen daten in ein verschlüsseltem sparseimage sollten doch eigentlich reichen, oder?! natürlich kann man seine daten wie ein Fort Knox sichern, aber sind es wirklich soo sensible daten?

MacAlzenau · 18.05.09

Also für SilentCry ist das, glaube ich, eher eine Grundsatzfrage, er ist da Perfektionist und mit nichts zufrieden, was vor dem endültigen Wärmetod des Universums geknackt werden könnte.
Für Topolino stellt sich wohl eher die Frage, wie man die Daten sicher verschlüsseln kann, während anscheinend dennoch andere Benutzer darauf zugreifen können (Stichwort: shared office).
Ich denke, das hängt stark auch davon ab, wie so der Arbeitsablauf ist - Zugriff auf seinen Rechner kann ja eh nur erfolgen, wenn der irgendwo im Netz hängt. Kann man da nicht Ordner innerhalb des Home-Verzeichnisses freigeben für seine Mitarbeiter? Die wären ja dann durch FileVault mitgeschützt.

waschbär123 · 19.05.09

Aber Moment, im Netzwerk hilft FileVault doch garnichts, genauso wie im Internet. Und dann kann man doch die Shared sachen einfach in den Öffentlichen Ordner machen, der ja im Benutzerordner liegt...

SilentCry · 19.05.09

ahuebenett schrieb:
Das sehe ich anders - und auch der 23C3 Beitrag "Unlocking FileVault" kam zu einem anderen Ergebnis als du. FileVault ist unter Berücksichtigung einiger Maßnahmen (die übrigens auch bei anderen "Produkten" anzuwenden sind) als sehr sicher anzusehen. Diese Maßnahmen wären die Verwendung von "sicherem" Virtuellen Speicher und eines ausreichend langen und nicht erratbaren Passwortes.

Neben FrozenRAM (was Apple übrigens einfach lösen könnte, nur nicht tut!) gefallen mir an Filevault diese Dinge nicht:
- Auch in Leopard geht es nur mit 128Bit AES (ausser mit einem Trick: KLICK)
- Das Master-Passwort wird mit RSA1024 gespeichert (aka wie mit einem 72bit sym. Schlüssel, das sind 9 Zeichen - allerdings aus dem ganzen 8-Bit-Raum, natürlich)
- Man muss den SafeSleep (S4, Hibernation, Suspend to Disk) zwingend abdrehen (KLICK)

waschbär123 schrieb:
ich weiss nicht welche daten du da aufm notebook mit dir rumträgst,

Und so soll es auch bleiben.

natürlich kann man seine daten wie ein Fort Knox sichern, aber sind es wirklich soo sensible daten?

Ich gehe viel weiter: Ob die Platte leer ist oder voll mit Bombenbauplänen ist irrelevant. Alleine schon diese Tatsache ist zu 100% meine Sache. Ein Computer ist die Verlängerung meines Gehirns. Und ich widerspreche JEDEM Ansinnen, in das Gehirn eines Menschen hinein zu sehen. DENKEN darf man nämlich ALLES, ausnahmslos.

MacAlzenau schrieb:
Also für SilentCry ist das, glaube ich, eher eine Grundsatzfrage, er ist da Perfektionist und mit nichts zufrieden, was vor dem endültigen Wärmetod des Universums geknackt werden könnte.

Ja. An sich schon. Eigentlich reicht mir meine eigene Lebenszeit plus etwas "Überzeit" so in der Größenordnung von mehreren hundert Milliarden Jahren :.)

Topolino1979 · 19.05.09

waschbär123 schrieb:
ich weiss nicht welche daten du da aufm notebook mit dir rumträgst, ... aber sind es wirklich soo sensible daten?

Naja, gehen wir davon aus dass die Bildzeitung ne ganze Menge für den nackten Popo eines Stars ausgibt, so kannst Du Dir vielleicht vorstellen, warum ich mein Notebook nicht ungesichert auf dem Schreibtisch stehen lassen kann. Mit Shared Office meine ich ein Büro, in dass sich viel freie Mitarbeiter eingemietet haben und nur darauf lauern, dass jemand mal nen USB Stick auf dem Tisch vergisst.

Ich bin halt mit Truecrypt immer sehr gut gefahren und würde auch 100 Euro für eine vergleichbare Lösung zahlen... nur SICHER soll sie dann sein. Also Vollverschlüsselung mit PW Abfrage vor dem Systemstart... bei Notebook Diebstahl soll die Festplatte schrottreif für den Dieb sein.

Dirk U. · 19.05.09

Kannst du damit was anfangen?

larkmiller · 19.05.09

Vielleicht kann sich der Threadersteller hier kundig machen? Ich glaube, diese Verfasser wissen, wovon sie reden und wie man OS X sicher machen kann.

OSX 10.5 komplettes System verschlüsseln

Jonagold

Golden Noble

Jonagold

Rote Sternrenette

Jonagold

Rote Sternrenette

deaktivierter Benutzer

Golden Noble

Rote Sternrenette

Jonagold

deaktivierter Benutzer

deaktivierter Benutzer

Kaiser Wilhelm

Echter Boikenapfel

Golden Noble

Echter Boikenapfel

deaktivierter Benutzer

Jonagold

Angelner Borsdorfer

Saurer Kupferschmied

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)