1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

loop-aes oder Vergleichbares unter Darwin / Mac OS X?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Der_Flieger, 02.08.06.

  1. Hallo allerseits,

    als langjähriger Linux-Nutzer spiele ich zunehmend mit dem Gedanken, ob der nächste Notebook nicht ein MacBook werden könnte. Was ich allerdings nach bisherigen Recherchen vermisse, ist eine "saubere" Lösung zur Verschlüsselung des Home-Verzeichnisses, die folgenden Kriterien gerecht wird:

    - open source (backdoor-check)
    - Einbindung bereits beim Systemstart und nicht erst beim User-Login (auch wenn der User nicht eingeloggt ist, ist sein Homeverzeichnis für root, Backupdienste etc. dekodiert zu sehen).
    - "Crash-Tolerantes" Konzept (also keine Hin- und Her-Kopiererei von Cryptofiles wie offenbar bei FileVault).

    Unter Linux ist da seit langem loop-AES das Mittel der Wahl. Aber nach einigem googlen scheint es da noch keinem Port nach Darwin zu geben, oder? Was käme evtl. statt dessen in Betracht?

    Es dankt

    Der Flieger
     
  2. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Schmunzel. Drollig.
    Guckst du: http://www.opensource.apple.com/darwinsource/

    Das konterkariert zwar jegliche Verschlüsselungsmassnahme vollständig, aber wenn du solche Hardcore-Schildbürgerstreiche magst:
    Niemand hindert dich daran, das FileVault Krypto-Image auch ohne Anmeldung des Nutzers zu mounten. Voraussetzung ist nur die Kenntnis von Nutzer- oder Generalpasswort.

    Welche "Kopiererei" ?????

    Das gleiche, auf das auch FileVault aufbaut: man hdiutil
     
  3. Ist FileVault denn Teil von Darwin? Ich dachte, es sei darauf aufsetzende closed source...

    Wieso das? Kommt doch wohl drauf an, wogegen die Verschlüsselung schützen soll. Ich vermute mal, du denkst an einen Zugriff durch andere Benutzer auf dem gleichen System? Ich dagegen denke (als alleiniger Nutzer meines Notebooks, im Übrigen würde ich mich was den Fremd-User-Zugriff angeht doch erstmal aus die Darwin-Dateirechte verlassen...) an den (im Zweifel schraubenzieherbasierten) Zugriff des Finders meines (ausgeschalteten) Notebooks.

    Das klingt schon interssanter :) Und wie würde ich das entsprechende mounten konfigurieren (bin wie gesagt noch Darwin-Laie und im Moment nur am "trockenschwimmen")? Lässt sich das in /etc/fstab machen (falls die Datei für mount-Konfiguration unter Darwin so heißt, wie unter Linux)?

    Ok, präziser Verschieberei bzw. Umbenennerei ;) Wie ich es bisher verstanden habe: Bei User-Login /Users/>USER</>USER<.sparseimage -> /Users/.>USER</.>USER<.sparseimage und dieses gemounted auf /Users/>USER<. Bei Logout das ganze retour. Ergo: Bei Crash im eingelogten Zustand nach dem Neustart unerwartete Anordnung. Mag ja sein, dass Mac OS X dafür Reparatur-Routinen enthält (ist das so?), aber irgendwie bleibt dennoch der Eindruck ziemlichen Pfuschs....

    Ok, das scheint das zentrale und mir bisher unbekannte Stichwort zu sein ;) Und hdiutil ist vermutlich Bestandteil von Darwin und damit open source?

    Bliebe - wie eben schon oben gefragt - noch zu klären, wie man das so konfiguriert, dass beim Bootvorgang das Passwort abgefragt und das Image gemounted wird. Aber ok, da muss ich mich wohl noch ein bisschen in Darwin einlesen. Aber dass es geht, kannst du schon mal bestätigen?

    Der Flieger
     
  4. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Mir ist nicht so ganz klar, woher du die These beziehst, OpenSource könne dich vor Bugs oder Backdoorfunktionen bewahren. Fragen dazu spare ich mir. Aber du wirst das schon wissen.

    Es lässt sich machen. Allerdings benutze man für alles, was nicht zwingend beim Systemstart anwesend sein *muss*, vorteilhafterweise nicht 'mount' (und damit auch nicht /etc/fstab), sondern einen HiLevel-Aufruf via 'hdiutil'. Das ist das "Schweizer Offiziersmesser" für alle Fragen rund um Disk-Images, selbstredend auch für verschlüsselte.
    Von wo aus auch immer man einen solchen Aufruf absetzen will - derer Möglichkeiten gibt es viele. 'launchd' freut sich über jede neue Aufgabe, die man ihm überträgt. Die NetInfo Hierarchie enthält ebenfalls vorbereitete Optionen zum automatischen Einbinden von Volumes. Login-Skripte existieren auch (noch). Your Choice???

    ROFL
    Und das von einem Linux-Nutzer....das tut weh.
    Aber nicht *trotz* der unfreiwilligen Komik, sondern *wegen* ihr.

    Erstens: Nicht alles, was mit Darwin kommt, ist automatisch OpenSource.

    Zweitens: man hdiutil:
    > ... As of OS X 10.4, encrypted images
    > (such as those used for FileVault) can
    > be attached without a helper process ["in-kernel mount"] ...


    Du hast vielleicht mitgekriegt, dass Apple die aktuellen Kernelsourcen nicht mehr zu veröffentlichen gedenkt. Die Antwort ist also: (AFAIR) Ja, aber das ist (zumindest für Paranoiker) völlig irrelevant.
    (Es führen viele Wege nach Rom. Für deine Sonderwünsche wohl zu viele.)

    Übrigens:
    Was genau bei Linux garantiert dir, dass entsprechende Trapdoors nicht bereits in der Firmware deines Systems implementiert sind?
    Die Frage hat mir noch kein Anhänger des GPL-Glaubens beantworten können - kannst du es?
     
  5. Moin Rastafari,

    lass uns hier keinen OS- oder open- vs. closed-source-Streit vom Zaun brechen. Und ob im Linux-Bereich mehr oder weniger gepfuscht wird als bei Mac OS X ist ja letztlich auch egal - ich will ja nicht zwischen Linux und Mac OS X eine Entscheidung treffen, sondern zwischen FileVault mit seinen genannten Schwächen und anderen Lösungen unter Mac OS X bzw. dort bevorzugt auf Darwin-Ebene. Dass ich "von Linux komme" hatte ich nur erwähnt, um den Hintergrund meiner Überlegungen zu erklären...

    Absolute Sicherheit gibt's eh nicht - mal ganz abgesehen davon, dass man erstmal klären muss, wovor man überhaupt sicher sein will. Aber ich vertraue nun mal lieber der öffentlichen Kontrolle von open source als einem closed source-Hersteller und hatte deswegen nach open source gefragt ;) Da ich aber natürlich auch nicht allen open source-code lese, den ich verwende (und den meisten auch gar nicht verstehen würde ;) ), verlasse ich mich natürlich auch auf andere - nur halt auf "die breite Masse" der open source-Community anstatt auf einen bestimmten Hersteller. Kommt halt immer drauf an, wem man eher ver- bzw. misstraut ;)

    Was mein konkretes Interesse angeht, werd' ich mich also ggf. mal näher mit hdiutil und den in Darwin vorgesehenen Stellen für entsprechende Aufrufe beschäftigen (und ggf., falls es andere interessiert, hier vermelden...).

    Was Darwin und open source angeht, versteh' ich dich allerdings noch nicht ganz: Du hast doch selbst den Link auf den source-code gepostet - und unter entsprechender Lizenz steht Darwin auch. Was ist daran also (teilweise) nicht open source? Oder willst du darauf hinaus, dass natürlich Mac OS X - jenseits des "Basisbestandteils" Darwin - nicht komplett open source ist?

    Die Frage nach dem Zusammenhang von OS-Wahl und Firmware-Trapdoors nehm' ich angesichts deiner Kenntnisse mal nicht ganz so ernst - gegen den Einbrecher an der Balkontür hilft open source übrigens auch nicht ;)

    Eine gute Nacht wünscht

    Der Flieger
     
  6. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Der *grösste Teil* der frei verfügbaren Darwin-Distribution steht unter der APSL. Aber längst nicht *alles*. ("Frei verfügbar" und "quelloffen" ist nun mal nicht das gleiche, das wird nur zu gerne verwexxelt und missverstanden.)
    Und für das, was in OS X darüber hinaus geht und nur im kommerziellen Produkt existiert, gilt das sowieso nicht.
    (Es gibt übrigens auch Dinge in Darwin, die im kommerziellen OS fehlen/anders gelöst sind. Beispiel: Das "rpm" Paketmanagement.)

    Die gesamte "Engine" rund um die Verwendung von Disk-Images sollte eigentlich in einem Paket namens "IOHDIX...." zu finden sein. Dies findet sich aber nicht als Quelltext. Wenn ich mir dann vielleicht doch mal wieder den groben Unfug antue, eine parallele Darwin-Distri zu betreiben, kann ich dir genauer sagen, ob was wann wo und warum dabei ist. Ich verstehe aber nicht so ganz, warum das beim Kauf eines neuen Mac (mit vollständigem OS X dabei) irgendwie interessant sein sollte...
     

Diese Seite empfehlen