[10.11 El Capitan] File Vault - Daten sicher unlesbar machen

[hansolo22]

Hallo, ich habe eine Frage zu FileVault.
Ich will mein Macbook an meinen Schwager verkaufen und sicher stellen, dass Firmendokumente nicht mehr wieder herstellbar sind.
Leider sind Daten auf SSDs ja nur durch einen RESET mittels externem Tool wirklich komplett loeschbar.
Dann ist aber auch das Betriebssystem und alles futsch.

Daher meine Idee:
Auf dem Macbook lief von Anfang an FileVault.
Wenn ich jetzt die Daten noch unter der aktuellen Verschluesselung loesche und dann anschliessend die Platte entschluessele und in Folge mit einem neuem anderen Passwort wieder verschluessele sollten vorher geloeschten Daten auch mittels eines Tools nicht mehr herstellbar sein, oder denke ich da falsch.

Vielen Dank im voraus fuer Eure Antworten und frohe Festtage.

 

[Rastafari]

Es genügt völlig die Daten zu löschen.

 

[hansolo22]

Wie kommst Du darauf?
Ich habe einen Test mit einem Recoverytool gemacht und die Daten sind ALLE wiederherstellbar.
SSDs verhalten sich da leider anders als HDDs.

 

[iFönler]

Nur, wie bitte soll dein Schwager die von File Fault verschlüsselten Daten lesen, so er das nötige Kennwort nicht hat?

Mache deinen Mac nach üblichem Prozedere platt, damit sollte es schon genug sein. Jegliches Dateiverzeichnis, welches jetzt unter deinem Account genutzt wird, ist danach ja weg und ich denke dein Schwager wird da nicht mit irgendwelcher Energie nach den Daten deiner Firma suchen zum Nachgang. Es wäre eh nur mit riesigem Aufwand verbunden...

 

[hansolo22]

Wird er nicht, aber da ich meine MacBooks oefters wechsle und vielleicht auch mal in Zukunft an jemand den ich nicht kenne, interessiert es mich wie ich Daten sicher loesche.
Bei HDDs hab ich frueher halt 7mal random ueberschrieben und gut wars, das aber funktioniert nicht bei SSDs.

 

[Rastafari]

Ich habe einen Test mit einem Recoverytool gemacht und die Daten sind ALLE wiederherstellbar.

Aus dem laufenden System heraus. Waaaahnsinn aber auch.
Dafür gibts übrigens "Papierkorb sicher entleeren".

 

[ImpCaligula]

Ist doch logisch das aus dem angemeldeten laufenden System die Daten wiederherstellbar sind. Du bist ja angemeldet. Sonst könntest Deine eigenen Daten ja auch nicht lesen (im Finder). Und auch logisch, dass Du selbst gelöschte Daten wieder selbst herstellen kannst...

Wenn Du aber - als Beispiel - von USB (oder Recovery) OS X neu installierst, kann der neue Nutzer nichts wieder herstellen! Der kommt an die alten Daten nicht heran...

 

[hansolo22]

Aus dem laufenden System heraus. Waaaahnsinn aber auch.
Dafür gibts übrigens "Papierkorb sicher entleeren".

Was macht denn "sicher loeschen" bei einer SSD ich bitte untertaenigst um Erleuchtung?

Bei einer SSD ist da leider gar nix sicher geloescht.

Ich habe mit einer 128GB SSD in meinem Haecki mal aus Neugier ein Experiment gemacht.
SSD mittels Linux Tool auf Werkseinstellung resettet, leer absolut nichts mehr herstellbar.
Danach ein paar Dateien aufgespielt.
SICHER GELOESCHT
Alle Dateien liesen sich probemlos wiederherstellen

Daten geloescht und anschliessen Platte bis Anschlag mit Daten vollgemacht mit grossen Videodaten.
Daten waren immer noch da, weil SSDs einen Overhead haben.

Ich werde das Experiment einfach mit der noch vorhandenen SSD wiederholen, diesmal mit FileVault und zwei Schluesseln.
Also SSD auf Werkseinstellung zurueck setzen, partitionieren, FileVault an Kennwort X, ein paar Dateien drauf, dann loeschen anschliessend FileVault ausschalten, FileVault wieder an neues Kennwort.

@ImpCaligula
Ich schrieb ja das ich nicht neu installieren will, sondern lediglich den Schluessel wechseln.
Nach meinem Verstaendnis muesste dann auch der "Datenmuell" der auf der Platte herumliegt unlesbar sein.

 

[PitiL]

Dafür gibts übrigens "Papierkorb sicher entleeren".

Auch bei einer SSD?

 

[u0679]

Sofern mir bekannt, ist das OS X an die jeweilige Apple ID gebunden. Demzufolge kannst Du das
Gerät eh nur mit dem Original mitgelieferten OS X weitergeben. Von daher, mach das Gerät mit Cleaninstall platt und gut ist.

 

[Rastafari]

Danach ein paar Dateien aufgespielt.
SICHER GELOESCHT
Alle Dateien liesen sich probemlos wiederherstellen

Märchenstund' hat Gold im Mund?
Auch auf SSD werden beim sicheren Löschen die Dateien erst überschrieben, dann erst entfernt.
Da ist Essig mit Wiederherstellung.

Daten waren immer noch da, weil SSDs einen Overhead haben.

Tja, da hast du jetzt wieder mal was ganz schlaues gelesen, hm?
Ist das nicht ulkig und wundersam, dass der Falteneffekt immer exakt genau dann und dort zutage tritt, wo irgendein Sicherheitszwängler gerade seine Wiederherstellungsversuche macht?
Ist schon eigenartig, wie sehr sich solche ausserordentlich seltenen Fälle häufen. Versuchs mal mit Lotto.

FYI
Nach dem remappen von Speicherblöcken erhalten diese zwangsläufig neue LBA-Adressen.
Bei einer vollverschlüsselten SSD sind diese danach nur noch mit Zahlenmüll gefüllt, weil die Blockschlüssel nicht mehr gültig sind.
Also bleibts dabei: Deine Freizeitbastelei ist vollkommen sinnfreier Unfug.

 

[PitiL]

... sicheren Löschen ...

Stehe ich auf der Leitung? Die Option "sicheres Löschen" gibt es doch bei SSDs gar nicht. Oder wo finde ich die?

 

[Rastafari]

Die Option "sicheres Löschen" gibt es doch bei SSDs gar nicht.

Die gibt es bei internen SSD nicht, deren Inhalt verschlüsselt ist. Aus gutem Grund.

 

[hansolo22]

Stehe ich auf der Leitung? Die Option "sicheres Löschen" gibt es doch bei SSDs gar nicht. Oder wo finde ich die?

Macht nix er empfiehlt es trotzdem weil er sich ja ganz sicher ist......

Das Feature wurde entfernt weil es eben mit SSDs keinen Sinn hat und Apple vermutlich nicht in Haftungsprobleme kommen wollte.
Beim Loeschen durch Ueberschreiben der Daten wird bei einer SSD eben nicht wie bei einer HDD derselbe Block ueberschrieben.

Genau deswegen gibt es auch kein Wipe Free Space in Disk Utility weil es nur die SSD stresst und NULL Effekt hat.

SSDs bzw. Flash Speicher wie auch USB Sticks sind Datensafes.

Abhilfe ist nur das Zuruecksetzen in den Werkszustand z.B. mittels Parted Magic.
Dabei werden allen Zellen in den Zustand Null zurueck gesetzt, dauert ca. 2 Min egal wie gross die Platte ist.

Apple Info dazu:

Available for: Mac OS X v10.6.8 and later

Impact: The “Secure Empty Trash” feature may not securely delete files placed in the Trash
Description: An issue existed in guaranteeing secure deletion of Trash files on some systems, such as those with flash storage. This issue was addressed by removing the “Secure Empty Trash” option.

 

[CheatSheep]

Stehe ich auf der Leitung? Die Option "sicheres Löschen" gibt es doch bei SSDs gar nicht. Oder wo finde ich die?

Also mein rMBP Mid 2013 mit SSD ist FileVault verschlüsselt und bietet mir die (Papierkorb-)Einstellung, Daten normal oder sicher zu löschen. Normal löschen geht in Sekunden, sicher löschen dauert ewig.

Ob das Sinn macht oder so - keine Ahnung. Jedenfalls gibt es "sicheres Löschen" definitiv!

 

[Rastafari]

feature may not securely delete

Hervorhebung hinzugefügt - für die besonders neunmalklugen unter uns.
Die Wahrscheinlichkeit dafür liegt bei heute üblichen SSD (~250G) in der Grössenordnung von ca 1 Schreibvorgang von 250.000 durchgeführten.

Beim Loeschen durch Ueberschreiben der Daten wird bei einer SSD eben nicht wie bei einer HDD derselbe Block ueberschrieben.

Gääääääähn.
Melde dich wieder sobald du ansatzweise verstanden hast, was du darüber mal flüchtig aufgeschnappt hast. Danke.
Bis dahin kannst du Märchenonkel uns ja mal erzählen, mit welchem Werkzeug du die angeblich vom Plattencontroller remappten Sektoren ausgelesen haben willst. Dann werde ich dir gerne erklären, warum das mit gewöhnlichen Tools nicht machbar ist - nicht ohne das ATA Protokoll umgehen und direkt auf die Speicherzellen zugreifen zu können. Und das hättest du ...womit... gleich wieder bewerkstelligt?

 

[raven]

Sorry meiner Zwischenfrage. Bin ich nun betriebsblind? Die Optione *Papierkorb sicher entleeren* sehe ich seit El Capitan nicht mehr. Kein Filefault aktiv keine SSD nur HD im iMac.

Frage geht an @Rastafari

 

[hansolo22]

Lieber Rastafari,
Wenn deine Beitraege so hilfreich waeren wie Deine Ueberheblichkeit, dann wuerden Sie ja was nuetzen.

Die Frage war doch ganz einfach.
Lassen sich geloeschte Daten nach einer Aenderung des FileVault Passwords mit einem Recovery Program wiederherstellen.
Ich vermute nicht.

Ich habe wie gesagt mit Wondershare Data Recovery aus dem Apple Store ohne Probleme alle Dateien wieder hochgeholt wie bereits geschrieben auf einer SSD die NICHT mit FileVault verschluesselt war.
Egal ob formatieren oder ueberschreiben mit FileShredder die Daten waren immer wiederherzustellen.

Das sei als Info an alle User mit SSDs gegeben falls sie Ihr Apple Geraet verkaufen und vorher NICHT File Vault nutzten.

 

[Rastafari]

die Daten waren immer wiederherzustellen

Ja klar - "immer". Hust, hust.
Ich sagte ja schon: Wahrscheinlichkeit etwa 1:250000, aber bei manchen Leuten scheinen sich solche Zufälle derart zu häufen, dass man wohl oder übel von angewandter Magie ausgehen muss.

Kurzer Hinweis übrigens noch:
Apps aus dem AppStore können generell keine Systemfunktionen umgehen und damit auch keinen direkten Hardwarezugriff erlangen.
Und schon gar keinen um eine transparent wirksame Treiber/Protokollschicht herum, geschweige denn gleich um mehrere, wie das zum Auslesen ungenutzter SSD-Blöcke notwendig wäre.
(Selbst ein nicht hilfreicher Direktzugriff auf den dev-node einer internen HD/SSD ist solchen Programmen strikt verboten.)
Es würde mich schon brennend interessieren, wie das bei dir dennoch funktioniert hat.
Du hast einen solchen Super-Mega-Bug hoffentlich sofort gemeldet, oder?

 

[Wuchtbrumme]

nur am Rande: "Papierkorb sicher löschen" gibt es auf 10.11 nicht mehr. Apple hat ein entsprechendes Support-Dokument veröffentlicht.