1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheit: Checkpoint FDE/PBA. Erfahrung.

Dieses Thema im Forum "macOS & OS X" wurde erstellt von SilentCry, 08.06.08.

  1. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Hallo Freunde.
    Basis: Full HDD-Encryption unter OS X
    und ein Thema allgemeiner Natur zur Sicherheit hier.

    Ich habe diese Checkpoint-SW für OS X gekauft. Momentan schreibe ich das hier von meinem Test-MB auf dem diese FDE läuft.

    Vorab: Mein Test-System ist ein MB 3,1 4GB RAM mit einer 160GB 7200rpm SAMSUNG HM160HI Platte. OS X ist 10.5.2. Am Testsystem arbeite ich als Administrator (pfui, ich weiss, aber es ist ein Testsystem :.) ohne FileVault.

    Erste Erfahrung: Das Produkt ist schwer zu bekommen. Checkpoint hat keinen Webshop, man muss sich einen Vertriebspartner suchen - das klingt erstmal leicht, da auf checkpoint.com eine Liste existiert, aber in Österreich dünnt sich das dann rasch aus, wenn man nach einer Bezugsquelle sucht.
    Es liegt mir also fern, Werbung zu machen, aber die Firma internet-security.at hat mir dann auf direkte Anfrage die SW verkauft - was so simpel klingt, aber nicht ist (siehe unten) .

    Zweite Erfahrung: Die SW ist technisch leicht zu installieren, organisatorisch nicht. Man braucht einen Key. Wer aber denkt, das wäre der Code, den man zugeschickt bekommt, der irrt. Man braucht eine Checkpoint-User-ID (die dankenswerterweise für mich von internet-security eingerichtet wurde) und muss das Produkt "registrieren". Spassigerweise soll man eine IP-Adresse eingeben. Dann kann man sich ein keyfile laden, das man beim Installieren angeben muss.
    Klingt einfach, wenn ich das so erzähle, aber man muss erst draufkommen.

    Technisch ist es sauber gelaufen. Die Installation war problemlos. Danach rebootet der Mac und die Verschlüsselung beginnt im Hintergrund zu laufen. Das dauert mehrere Stunden, man könnte parallel dazu was tun, ich habe es aber einfach laufen lassen. man muss ja nicht beim ersten Test die SW gleich am Limit stressen :.)

    Die Checkpoint-SW installiert in die Menüleiste einen "Schnellstarter", über die man vorrangig die Verwaltungs-SW FDEMC starten kann. Zu sehen ist, dass es sich um ein viel umfangreicheres Verwaltungstool handelt als man für eine lokale Endpoint-Security braucht. Unter "local" findet man dann die verfügbaren Einstellmöglichkeiten. Man könnte die PWD-Policy verändern, und den sogenannten "recovery path" anpassen, etc. Kleinigkeiten halt. Unter "Mount Points" sieht man in meinem Fall nur "/" (klar, ich habe ja die ganze Platte verschlüsselt) und kann dort auch erkennen, dass mit AES256 verschlüsselt wurde.

    Was ich ausprobieren wollte war, ob mit der FDE ein Benutzen des Sleepmodes trotz der Frozen-RAM-Katastrophe möglich ist. Die Idee war, den Mac immer in den SafeSleep (Deep Sleep) zu zwingen, also das Auslagern des RAM-Inhalts auf die Platte, wodurch auch das RAM ohne Strom geschaltet werden kann. Ein Wiederanfahren würde dann natürlich die Eingabe der FDE-Passphrase bedingen, sonnst könnte das RAM-Image (/var/vm/sleepimage) ja nicht gelesen werden.
    Kurz und bündig: Es geht nicht. Man kann zwar sudo pmset -a hibernatemode [Zahl] eingeben (Details siehe zB. hier oder hier) setzen, der Mac führt diesen Befehl auch aus aber das System geht weder über das Menü noch beim Zuklappen des Displays in den Deep Sleep sondern weiterhin in den normalen Sleep (S3), "suspend to RAM". Vermutlich verhindert die FDE-SW das, weil das PreBoot-Authentifizieren eben nicht beim Deep-Sleep funktioniert. Eventuell sehen wir das in einer weiteren Version der Checkpoint-SW, im Moment aber geht es nicht. Auch das Widget "Deep Sleep" (klick) schafft es nicht. Es scheint zwar etwas zu tun, aber beim Aufwachen sieht man, dass man keine Passphrase eingeben musste und auch das System ist viel zu schnell wieder wach als dass es ein sleepimage angelegt haben könnte.

    Was bringt die SW: Nun, zum Einen bin ich guter Dinge, dass Checkpoint den Deep-Sleep-Mode eines Tages unterstützt. Der Anfang ist schonmal gemacht, denn vor kurzer Zeit gab es noch überhaupt keine Full Disc Encryption für OS X.
    Zum zweiten spart man sich FileVault. Das ist insofern ein Vorteil als dass in 10.5. jedesmal beim Logoff/Runterfahren der freie FileVault-Platz freigegeben wird. (Unter 10.4. durfte man sich noch entscheiden, ob man das nun wollte und warten wollte oder nur einfach Logoff/Runterfahren wollte ohne Pause.). Ausserdem ließe sich Timemachine nutzen (was mit FileVault ja praktisch unbrauchbar ist) - vorausgesetzt, man schafft es TM ein verschlüsseltes Ziellaufwerk unterzuschieben. Ich werde diesbezüglich mal mit TrueCrypt und verschlüsselten Partitionen experimentieren bzw. PGP-Desktop.
    Auch kann man ein wesentlich schwächeres Nutzerpasswort verwenden, da ja beim Booten die Passphrase nur einmal benötigt wird. Damit muss man beim Screensaver oder nach einem Sleep nicht wieder 30+ Zeichen lange Passphrases eintippen.
    Man kann ein abgeschaltets Gerät also als datentechnisch perfekt gesichert bezeichnen. Nicht einmal Daten die versehentlich ausserhalb des Nutzerordners landen oder Metadaten aus dem Filesystem sind sichtbar.

    Was bringt sie nicht: Die Checkpoint-SW schützt nicht vor Frozen RAM. Ich gehe davon aus, dass sie wie jede derartige SW während des Laufens die Passphrase in irgendeiner Form im Speicher haben muss. Wie leicht sie auszulesen ist, weiss ich nicht, die Jungs von Stanford haben ja "nur" Truecrypt, Vistas Bitlocker und Apples FileVault via Frozen RAM geknackt. Vermutlich gibt es für Checkpoint-Breaks noch keine automatisierte Methode, aber das ist an sich unwichtig, denn _wenn_ die Verbrecher mal das Speicherabbild haben und eine verschlüsselte Harddisk dazu ist Zeit kein Thema (in realen Maßstäben, nicht in bruteforce-Dimensionen von Fantastilliarden Jahren), da kann sich ein Expertenteam auch wochenlang damit beschäftigen, wo im Memorydump der Checkpoint-Encryption-Key zu finden ist.
    Da man keinen "Suspend to Disk" (Deep Sleep) erzwingen kann, kann man auch mit der FDE den Rechner nicht mit gemounteten "redflag"-Daten in einem Sleepmode hinterlassen/transportieren.
    Das heisst, für "redflag"-Daten ist ein zweiter Perimeter unabdingbar. Also zB. eine Partition, die TC- oder PGP-Desktop-verschlüsselt ist und nur in einer sicheren Umgebung und nur für den Zeitraum der Bearbeitung der sensiblen Daten darin gemounted wird und dann unmittelbar wieder dismounted werden muss. Günstigerweise mit einem Scrip gekoppelt das via sleepwatcher ein "force dismount" macht, sodass man eine Art "Notabschaltung" hat bzw. nicht vergessen kann, die Cryptopartition zu dismounten wenn man den Rechner zuklappt.

    Performance: Im Moment (allerdings habe ich noch nicht viel Zeit mit dem System verbracht) kann ich keine Geschwindigkeitsmakel feststellen. Wenn jemand Ideen hat, was zu testen wäre (Geschwindigkeit betreffend) und die entsprechende TestSW gratis ist, mache ich das gerne.
     
    Zeisel und zeno gefällt das.
  2. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Update

    Also, mit dem Widget habe ich nochmal experimentiert.
    Defacto braucht es so lange, weil es tatsächlich ein sleepimage anlegt:
    ls -lisa /var/rm
    386572 8388608 -rw------T 1 root wheel 4294967296 8 Jun 12:49 sleepimage

    Allerdings scheint es eben nicht benutzt zu werden. Der Computer ist nach ein bis zwei Sekunden wieder da auf normalen Tastendruck (zur Erinnerung: Einen Mac aus dem Deep Sleep könnte man nur mit dem Powerknopf wieder aufwecken, nicht mit zB. shift oder enter) und fragt das normale OS X Userpwd ab, keine FDE-Passphrase.
     
  3. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Nach nunmehr 4 Tagen und praktischem Betrieb habe ich keine Ausfälle oder Unregelmäßigkeiten festgestellt. Performancetests habe ich keine gemacht (ich hatte gehofft, man schreibt mir hier, welche Tests verfügbar sind und ggf. Vergleichswerte von Standard MBs V3,1 - aber anscheinend ist das Thema nicht so interessant).

    Mein nächster Test ist ein hartes PowerOFF und dann schau'n wir mal, wie stabil das verschlüsselte Filesystem ist.
     
  4. Paganethos

    Paganethos deaktivierter Benutzer

    Dabei seit:
    18.11.07
    Beiträge:
    3.702
    Also ich lese hier aufmerksam mit. Das Thema interessiert mich! Wenn du zu einem positiven Fazit kommst werde ich auch über eine Anschaffung der Software nachdenken. Mein Book ist viel mit mir unterwegs, ich habe da wirklich alles drauf. Die Sicherheit dieser Daten ist mir einiges Wert.

    Also weiter so!
     
  5. WDZaphod

    WDZaphod Prinzenapfel

    Dabei seit:
    10.11.06
    Beiträge:
    546
    Bin auch am mitlesen...
    Ein Speedtest wäre vielleicht einfach durch Kopieren einer Datei zu bewerkstelligen? Wobei ich denke, daß bei AES256 und DEM Prozessor ehr die Platte das Nadelöhr ist.
     
  6. WDZaphod

    WDZaphod Prinzenapfel

    Dabei seit:
    10.11.06
    Beiträge:
    546
    Okay, das gibt aber Hoffnung:

    D.h. das Ding speichert alles ab, UND hält es im RAM. Passt doch, also in den Schlaf schicken, und danach hart ausschalten. Dann ist das RAM weg, die Kopie liegt auf der verschlüsselten Platte.
    Versuch das mal, und berichte über das Verhalten beim nächsten Einschalten!
     
  7. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    OK, ich werde es probieren. Meine Prophezeihung aber ist, dass das harte Abschalten aus dem Sleep ein nutzloses Image hinterlassen wird, der Rechner wird normal hochfahren. Aber wir werden sehen. Heute Abend, vielleicht, mal sehen, bin nämlich unterwegs.
     
  8. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Folgendes ist passiert:
    Ich habe das MB via Widget in den Safesleep geschickt. Um es hart abzudrehen allerdings muss man den Powerknopf drücken, wodurch es eigentlich aufwacht. Daher hat es sich offenbar kurz angeschaltet und dann aus. Wie erwartet ist er zwar wieder hochgefahren nachdem er das PBA abgefragt hat (erheblich langsamer als normal), aber das Anwendungsfenster (Safari, nur zum Testen damit man sieht ob er hochfährt oder wirklich aus einem Suspendmodus wieder kommt) war weg. Ergo: Kein Suspend-Wakeup.
    Man könnte jetzt brutaler sein und den Akku ziehen, aber da diese Methode ohnehin kaum Praxistauglichkeit aufweist und zudem nicht risikolos ist bei eingeschaltetem Gerät den Akku zu entfernen, lasse ich das.
     
  9. WDZaphod

    WDZaphod Prinzenapfel

    Dabei seit:
    10.11.06
    Beiträge:
    546
    Hm... D.h. er hat dieses virtuelle RAM-File entweder nie befüllt, oder ignoriert.
    Muß bei der nächsten WC-Sitzung nochmal nachdenken. Irgendeine Möglichkeit MUSS es doch geben!
     
  10. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Befüllt wohl, zumindest wenn ich den ls-Output richtig interpretiere, legt er es an. (Allerdings nur mit dem Widget. Die sudo pmset....-Orgie macht er zwar aber scheint keine Wirkung zu haben, d.h.Zuklappen erzeugt automatisch Suspend to RAM (S3), das sieht man, das Licht fängt unmittelbar zu blinken an und das Wakeup ist auch rasend schnell und das sleepimage-File bekommt kein neueres Datum. Mit dem Widget dauert es wesentlich länger, bis das LED zu blinken beginnt, das sleepimage-File bekommt ein neues Datum, das Aufwachen allerdings ist rasend (aka Wakeup from Suspend to RAM, nicht from Suspend to Disk)

    Er ignoriert es. Er ignoriert es, weil die FDE/PBA-Software von Checkpoint (wahrscheinlich) weiss, dass sie das nicht beherrscht und daher verbietet, in den Suspend to Disk-Modus zu wechseln.

    Ich fürchte, in der aktuellen Version geht das einfach nicht. In den Anfängen konnte die securstar.de-Software für Windows auch kein Suspend to Disk.
     
  11. Der_Apfel

    Der_Apfel Transparent von Croncels

    Dabei seit:
    03.12.07
    Beiträge:
    305
    Hallo,

    ich freue mich, dass jemand dieses Programm hat, da ich auch am überlegen bin, es mir zu kaufen.

    Eine für mich wichtige Frage habe ich. Ich kann überall nur lesen, dass Authentifizierung sowohl über Passwort als auch über Token und Smartcards möglich ist. Kann man auch einfach einen Schlüssel auf einem USB-Stick speichern und diesen zur Authentifizierung bzw. Entschlüsselung nutzen?
     
  12. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Also, was ich nach einmal Durchsehen der FDEMC-Optionen sagen kann ist, dass ich keine Einstellmöglichkeiten finde, Token einzubinden oder das PWD auf einen USB-Stick auszulagern in irgendeiner Form.
    Ich möchte nicht so tun, als wüsste ich es jetzt genau, ich kann nur sagen, dass ich es nicht finde.
    Überhaupt ist das ganze eher eine "Fire and Forget"-Installation. Vorteil: Es ist so simpel, man kann eigentlich nichts falsch machen. Nachteil: Die Dokumentation ist dünn bzw. nicht vorhanden.

    Unter dem Aspekt der Unsicherheit mache ich mal tentativ diese Aussage: Mir scheint als könnte die lokale Checkpoint-Lösung für Mac genau das: BootHDD-Encryption mit Preboot-Auth per Passphrase, die einzutippen ist wenn der Rechner startet. Wie man Token einbinden würde oder USB-Sticks kann ich zumindest im Moment nicht herausfinden und denke daher, diese Option kennt diese Lösung noch (?) nicht.
     
  13. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    So. Habe nun das ComboUpdate 10.5.4 eingespielt. Problemlos. Mir ist zwar natürlich nicht bekannt, wo genau die SW überall eingeklinkt ist im OS X aber entweder "beherrscht" sie das Update oder ist so gut entkoppelt, dass sie nicht Gefahr läuft, angeschossen zu werden und den Rechner dann unbenutzbar zurück lässt.
    Ich würde am Produktivsystem zwar immer vorher ein OS-Backup machen aber der gegenwärtige Test lief schon recht zufriedenstellend ab.
     
  14. macmonky

    macmonky Erdapfel

    Dabei seit:
    06.07.08
    Beiträge:
    2
    Ich finde es sehr interessant diesen Thread zu verfolgen. Vielen Dank für die Ausführlichkeit und
    Fülle an Informationen. Die beschriebenen Start-Schwierigkeiten (Registrierung mit IP etc.)
    klingen nach erheblichem Administrationsaufwand, wenn man daran dächte es auf ca. 10 Systemen
    gleichzeitig installieren zu wollen. Liege ich da richtig oder kann man sich vorstellen,
    dass Enterprise-Kunden dort etwas unter die Arme gegriffen wird? Zum Thema Dokumentation:
    Gibt es kein Handbuch (wenigstens in Englisch) oder ähnliches? Weiter so!
     
  15. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Zu Deinen Fragen kann ich leider nur beschränkt Auskunft geben.
    Also, einerseits macht Chechpoint sogar _besonders_ den Eindruck, sich auf Firmenkunden zu konzentrieren. Der ganze Vorgang "schmeckt" danach, auch, dass man als Privatperson dennoch einen "Enterprise Collaborative Support / Standard" hat. Die Produktfamilie ist auch indikativ dafür, dass gerade SW-Verteilung der Produkte unterstützt wird, ebenso wie zentrale Verwaltung der Lizenzen.
    Was ich aber auch glaube ist, dass die OS X-SW eine Sonderstellung hat. Ich glaube nicht, dass es SW-Verteilungstools dafür gibt.

    Zur Dokumentation kann ich nur sagen, dass *ich* keine finde. Auch nicht eingelogged mit meiner UserID kann ich kein Handbuch für die FDE-Serie finden. Wenn es das also gibt dann ist es hervorragend versteckt.

    Fairerweise muss man aber sagen dass man, wenn man die (nicht technische sondern organisatorische) Installhürde mal genommen hat man eigentlich zum reinen Betrieb kein Handbuch braucht.
     
  16. Zweiblum

    Zweiblum Zabergäurenette

    Dabei seit:
    09.07.08
    Beiträge:
    612
    Hallo SilentCry!
    Ich kann mich da meinen Vorrednern (Vorschreiber klingt irgendwie komisch :) ) nur anschließen: Du hast hier einen sehr interessanten Bericht verfasst. Zu Thema Geschwindigkeit: Hast du schon einmal an Xbench gedacht?
     
  17. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Vielen Dank. Gute Idee. Ich werde mal XBench ausprobieren. Allerdings wird das etwas dauern. Ich muss ja erstmal das verschlüsselte LW testen. Dann muss ich meine Testmaschine platt machen und reinstallieren _ohne_ FullHDD-Encryption (sonst sagen die Werte vergleichend ja nichts aus, wenn sie nicht auf der selben HDD laufen, die eine 7200er ist, nicht original).
     
  18. Zweiblum

    Zweiblum Zabergäurenette

    Dabei seit:
    09.07.08
    Beiträge:
    612
    Mhhh, ganz schöner Aufwand, das.
    Viel Erfolg!
     
  19. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Performance Test Ergebnis

    Hallo Freunde.

    Hier die Testergebnisse:

    MacBook 10.5.0
    Results 42.04
    System Info
    Xbench Version 1.3
    System Version 10.5 (9A3115a)
    Physical RAM 4096 MB
    Model MacBook3,1
    Drive Type SAMSUNG HM160HI
    Disk Test 42.04
    Sequential 48.99
    Uncached Write 101.24 62.16 MB/sec [4K blocks]
    Uncached Write 79.85 45.18 MB/sec [256K blocks]
    Uncached Read 19.54 5.72 MB/sec [4K blocks]
    Uncached Read 123.59 62.11 MB/sec [256K blocks]
    Random 36.82
    Uncached Write 13.32 1.41 MB/sec [4K blocks]
    Uncached Write 117.16 37.51 MB/sec [256K blocks]
    Uncached Read 62.64 0.44 MB/sec [4K blocks]
    Uncached Read 110.06 20.42 MB/sec [256K blocks]

    MacBook 10.5.4
    Results 39.32
    System Info
    Xbench Version 1.3
    System Version 10.5.4 (9E17)
    Physical RAM 4096 MB
    Model MacBook3,1
    Drive Type SAMSUNG HM160HI
    Disk Test 39.32
    Sequential 41.63
    Uncached Write 58.83 36.12 MB/sec [4K blocks]
    Uncached Write 76.93 43.53 MB/sec [256K blocks]
    Uncached Read 17.15 5.02 MB/sec [4K blocks]
    Uncached Read 128.20 64.43 MB/sec [256K blocks]
    Random 37.26
    Uncached Write 13.50 1.43 MB/sec [4K blocks]
    Uncached Write 119.59 38.28 MB/sec [256K blocks]
    Uncached Read 62.85 0.45 MB/sec [4K blocks]
    Uncached Read 110.78 20.56 MB/sec [256K blocks]

    MacBook 10.5.4 mit Fulldisk-Encryption
    Results 34.29
    System Info
    Xbench Version 1.3
    System Version 10.5.4 (9E17)
    Physical RAM 4096 MB
    Model MacBook3,1
    Drive Type SAMSUNG HM160HI
    Disk Test 34.29
    Sequential 36.71
    Uncached Write 85.85 52.71 MB/sec [4K blocks]
    Uncached Write 40.11 22.69 MB/sec [256K blocks]
    Uncached Read 18.95 5.55 MB/sec [4K blocks]
    Uncached Read 50.98 25.62 MB/sec [256K blocks]
    Random 32.17
    Uncached Write 12.33 1.31 MB/sec [4K blocks]
    Uncached Write 82.61 26.45 MB/sec [256K blocks]
    Uncached Read 61.11 0.43 MB/sec [4K blocks]
    Uncached Read 67.75 12.57 MB/sec [256K blocks]
     
  20. ezi0n

    ezi0n Leipziger Reinette

    Dabei seit:
    07.07.05
    Beiträge:
    1.786
    MacBook 10.5.4 mit Fulldisk-Encryption mit PGP
    Results 25.59
    System Info
    Xbench Version 1.3
    System Version 10.5.4 (9E17)
    Physical RAM 2048 MB
    Model MacBookPro1,1
    Drive Type ST9120821AS
    Disk Test 25.59
    Sequential 31.20
    Uncached Write 34.33 21.08 MB/sec [4K blocks]
    Uncached Write 27.92 15.80 MB/sec [256K blocks]
    Uncached Read 35.20 10.30 MB/sec [4K blocks]
    Uncached Read 28.71 14.43 MB/sec [256K blocks]
    Random 21.69
    Uncached Write 7.57 0.80 MB/sec [4K blocks]
    Uncached Write 48.08 15.39 MB/sec [256K blocks]
    Uncached Read 70.99 0.50 MB/sec [4K blocks]
    Uncached Read 57.23 10.62 MB/sec [256K blocks
     
    SilentCry gefällt das.

Diese Seite empfehlen