Verschlüsselung gesamte Disk mit Preload

[saimens]

hello

Auf meinem IBM Thinkpad habe ich "PGP Desktop" installiert. Damit habe ich die gesamte Festplatte verschlüsselt (whole disk encryption). Bevor die Kiste startet, Passwort eingeben und das wars. Ansonsten merkt man davon nichts - insb. keine Geschwindikeitseinbussen. Ebenso lässt sich das ganze - auch bei über 80% Auslastung der Festplatte - ein / ausschalten. Die De-/Chiffrierung läuft dabei unbemerkt im Hintergrund.

Auf dem Mac habe ich ebenfalls "PGP Desktop" installiert. Leider ist in der Mac-Version "whole disk encryption" nicht möglich.

Ich suche nach einem Tool mit der gleichen Funktionalität für den Mac. Das Notebook wird ausschliesslich von mir gebraucht - brauche also keine benutzerspezifische Chiffrierung à la FileVault. Mit FileVault habe ich zudem kein besonderes Glück. Nachdem das Image ca. 60GB erreicht hat, geht gar nichts mehr - obwohl auf der 120GB Platte noch über 40GB frei sind.

Also sowas wie "Whole Disk Encripten" für den Mac. Irgendwelche Idee?

Merci & Gruss

saimens

 

[arc]

Hallo Saimens,

ad hoc weiß ich da nichts - aber bin so frei die Frage zu stellen, wozu Du die gesamte Disk crypten willst. Wen interessieren schon deine Plist-Files?

Vorschlag: Erzeuge ein verschlüsseltes Diskimage (mittels Disk Utility / Festplattendienstprogramm) und speichere sensible Daten fortan darin - hat zudem den Vorteil das selbiges Image wharscheinlich von seiner Größe her im überschaubaren Rahmen bleibt, so das Du es besser "Backuppen" kannst.


Liebe Grüße,

Aron

 

[saimens]

habe immer wieder mal sensible Daten dabei, notebooks werden oft geklaut und ich bin disbezüglich etwas paranoid ... . Wenn die ganze Festplatte verschlüsselt ist, braucht man sich keine Gedanken zu machen, ob irgendow noch welche temporäre DAten rumfliegen (Office, Spotlight, usw.).

Grundsätzlich würde FileVault es auch tun - aber leider funktioniert das sche... Ding ja nur bedingt - siehe oben.

Danke für irgendwelche Tipps.

Merci & Gruss

Saimens

 

[Rastafari]

Auf meinem IBM Thinkpad habe ich "PGP Desktop" installiert. Damit habe ich die gesamte Festplatte verschlüsselt (whole disk encryption). Bevor die Kiste startet, Passwort eingeben und das wars. Ansonsten merkt man davon nichts - insb. keine Geschwindikeitseinbussen.

Das Märchen kannst du Mutti erzählen. Das frisst in etwa 5-10% auf einem aktuellen Rechner. Immer. Rechenzeit für umsonst gibts nirgends.

Auf dem Mac habe ich ebenfalls "PGP Desktop" installiert. Leider ist in der Mac-Version "whole disk encryption" nicht möglich.

Und das ist auch gut so. Gesamt-Verschlüsselung von Festplatten ist eine bescheuerte Hirnfick-Idee.
Typischerweise mehr als 4 GB wohlbekannter vorhandener Daten erleichtern die Kryptoanalyse derart, dass PGP selbst mit 4096bit DH-Key zum Treppenwitz für Leichtgläubige wird.

Wenn du Angst vor herumfliegenden Tempfiles etc hast, benutze einfach den verschlüsselten virtuellen Speicher (Systemeinstellungen -> Sicherheit).
Für ein noch höheres Sicherheitsniveau richte dir eine RAM-Disk ein, die du auf /tmp mountest. (bzw noch eine zweite auf /.TemporaryItems )
Anleitungen dazu findest du im Netz.
(Ich gebe sie nicht, das ist die Mühe nicht wert - ist IMHO nicht sinnvoll. Wer an deine Daten ran will, tut das bevorzugterweise sowieso, solange sich das Gerät in deinem Besitz befindet...da hilft Krypto exakt gar nichts.)

 

[RapunzelHelga]

Und das ist auch gut so. Gesamt-Verschlüsselung von Festplatten ist eine bescheuerte Hirnfick-Idee.
Typischerweise mehr als 4 GB wohlbekannter vorhandener Daten erleichtern die Kryptoanalyse derart, dass PGP selbst mit 4096bit DH-Key zum Treppenwitz für Leichtgläubige wird.

Wenn du Angst vor herumfliegenden Tempfiles etc hast, benutze einfach den verschlüsselten virtuellen Speicher (Systemeinstellungen -> Sicherheit).
Für ein noch höheres Sicherheitsniveau richte dir eine RAM-Disk ein, die du auf /tmp mountest. (bzw noch eine zweite auf /.TemporaryItems )
Anleitungen dazu findest du im Netz.
(Ich gebe sie nicht, das ist die Mühe nicht wert - ist IMHO nicht sinnvoll. Wer an deine Daten ran will, tut das bevorzugterweise sowieso, solange sich das Gerät in deinem Besitz befindet...da hilft Krypto exakt gar nichts.)

Und Einbrecher kommen immer nur dann, wenn Du daheim bist? *LOL*
Klar, dass Verschlüsselung nicht die Lösung aller Probleme ist und kein Allheimmittel... Aber ist ein wichtiges Glied in einer langen Kette...

Und Laptopdiebstahl ist nicht ungewöhnlich und leider auch bei hohen Kreisen führt das nicht zur Verschlüsselung

Schon etwas älter, aber es muss nicht immer Diebstahl sein: http://news.bbc.co.uk/1/hi/uk/1518105.stm
Verluste in Londoner Taxies 1. Halbjahr 2001: 1300 PDAs, 2900 Laptops, 62000 Handies
Keine U-Bahnen und nichts anderes eingerechnet...

http://www.viruslist.com/en/news?id=189732379
Verlust von 3.500 Kundendaten 18 australischer Banken, weil Memorystick verloren wurde... (Unverschlüsselt)

http://fraudwar.blogspot.com/2006/06/28000-sailors-compromised-lieutenant.html
Navy verlor personen bezogene Daten (Sozialversicherungsnummer (wichtig für Arbeit und eigentlich fast alles)) von 28.000 "Angestellten" und deren Familien...

http://www.netzeitung.de/internet/411216.html
"Den ganz großen Coup hatte jedoch im Mai ein unbekannter Einbrecher gelandet, der aus dem Haus eines Angestellten des Ministeriums für die Angelegenheiten von Veteranten einen Laptop stahl: Auf der Festplatte befanden sich die Daten von 26,5 Millionen Menschen - größtenteils ehemalige oder noch aktive Armee-Angehörige."

Noch einmal unter: http://www.viruslist.com/en/news?id=188432270
Und noch einmal: http://www.spiegel.de/netzwelt/politik/0,1518,420008,00.html

http://futurezone.orf.at/it/stories/115662/
"Nur wenig überrascht zeigen sich professionelle Datenretter von einer bei eBay versteigerten Festplatte, auf der Daten des Verkehrs- und Infrastrukturministeriums gefunden wurden. Mehr als 90 Prozent der gebrauchten Festplatten werden demnach vor dem Verkauf nicht korrekt gelöscht."
-> Wenn es vorher verschlüsselt wurde, ist ein unkorrektes löschen, nicht ganz so schlimm...

http://futurezone.orf.at/it/stories/115527/
"Über Umwege ist eine alte Festplatte aus dem Verkehrs- und Infrastrukturministerium beim Online-Auktionshaus eBay gelandet und dort versteigert worden. Laut "Kurier" befinden sich darauf vertrauliche Informationen aus dem Ministerium wie Honorarnoten und Werkverträge."
Diese und ähnliche Nachrichten kennt fast jeder...

Es ist nur ein Glied in einer Kette, aber ein wichtiges Glied... Ich will nbicht, dass irgendjemand meine privaten Daten auf meinen Festplatten (Laptop, Festrechner und Externe Festplatten) einfach so lesen kann... Wenn jemand Großrechner zum Einsatz hat, so dass er einen 4096 Key knackt... Dann ist es eh schon zu spät... Weil das aktuell fast nicht möglich ist... Da musst Du wirklich extremst interessante Daten haben, so dass mehrere Großrechner zusammen geschalten werden...

Grüße

 

[Rastafari]

Und Einbrecher kommen immer nur dann, wenn Du daheim bist? *LOL*

Nein. Aber Trickbetrüger und Taschendiebe bevorzugen das anwesende Opfer.
Und die sind heutzutage das weitaus grösste Problem in der Hinsicht.

Wenn jemand Großrechner zum Einsatz hat, so dass er einen 4096 Key knackt... Dann ist es eh schon zu spät... Weil das aktuell fast nicht möglich ist...

Mit bekannter Grösse des Klartexts und hinreichend vorhandenem Vorwissen über die Inhalte wird es leicht. Seine *gesamte* HD zu verschlüsseln ist etwa so sinnvoll wie eine Brandschutztür aus Löschpapier.

 

[j4k3]

Und das ist auch gut so. Gesamt-Verschlüsselung von Festplatten ist eine bescheuerte Hirnfick-Idee.
Typischerweise mehr als 4 GB wohlbekannter vorhandener Daten erleichtern die Kryptoanalyse derart, dass PGP selbst mit 4096bit DH-Key zum Treppenwitz für Leichtgläubige wird.

Teehee. Rastafari mag seine Binaries lieber kompromittiert.

 

[Rastafari]

Teehee. Rastafari mag seine Binaries lieber kompromittiert.

Du bist sicher zu glauben, dass du weisst wovon du schreibst?

 

[ezi0n]

also ich kann den ansatz verstehen, auch der punkt von wegen imagebased encryption, in meinen augen totaler schrott, ich halte sector basierende encryption für besser, da geht nicht das image kaputt wenn man nen secktor defekt ist sondern nur eventuell ein file ... das ist ein riesiger vorteil ... und was den punkt angeht "was interessierts was du für sontige datein offen hast" dann werden mal eben files ersetzt und mit sontigen ungewollten features versehen, phone anywhere etc.

@Saimens, lass dich nicht abbringen, suche selbiges, aber habe auch nichts gefunden bisher ..

 

[Rastafari]

...dann werden mal eben files ersetzt und mit sontigen ungewollten features versehen, phone anywhere etc...

Muss aber ein netter Dieb sein, der das Gerät wieder zurückbringt.......naja, solls geben.

 

[ezi0n]

Muss aber ein netter Dieb sein, der das Gerät wieder zurückbringt.......naja, solls geben.

wieso dieb? encryption is nicht nur dafür falls das gerät weg kommt, sondern auch wenn man es mal länger nicht im auge hat ...

 

[Rastafari]

wieso dieb? encryption is nicht nur dafür falls das gerät weg kommt, sondern auch wenn man es mal länger nicht im auge hat ...

Da hilft Verschlüsselung exakt nichts. Oder untersuchst du etwa regelmässig dein Gerät, ob jemand einen USB-Stöpsel reingepfriemelt hat, das Gehäuse geöffnet wurde oder ob sich an der Unterseite deines Keyboards ein kleiner neuer Freund aus Silizium befindet, der vorher noch nicht da war?

(tja - wenn man schon paranoid sein will - dann aber bitte richtig... )

 

[ezi0n]

Da hilft Verschlüsselung exakt nichts. Oder untersuchst du etwa regelmässig dein Gerät, ob jemand einen USB-Stöpsel reingepfriemelt hat, das Gehäuse geöffnet wurde oder ob sich an der Unterseite deines Keyboards ein kleiner neuer Freund aus Silizium befindet, der vorher noch nicht da war?

(tja - wenn man schon paranoid sein will - dann aber bitte richtig... )

das wäre der nächste punkt, usb mount nur on password oder so und zum thema geräte modifikation, ja tue ich .. zudem gibts auch gute aufkleber die sowas sofort aufzeigen ...

 

[Rastafari]

das wäre der nächste punkt, usb mount nur on password oder so

Wäre mir neu, dass man einen Keylogger "mounten" müsste...
(Wäre zunächst mal interessant zu erfahren, wie zum Geier denn der Hostcontroller rausbekommen sollte, dass so ein Gerät überhaupt vorhanden ist...)
Viel Spass zB auf http://www.keyghost.com/USB-Keylogger.htm

und zum thema geräte modifikation, ja tue ich .. zudem gibts auch gute aufkleber die sowas sofort aufzeigen ...

Dir ist schon bekannt, dass man herkömmliche USB-Geräte mühelos ohne grösseren Aufwand über mehrere Meter Distanz auch drahtlos abhören kann?

 

[skywalker]

Ich suche nach einem Tool mit der gleichen Funktionalität für den Mac. Das Notebook wird ausschliesslich von mir gebraucht - brauche also keine benutzerspezifische Chiffrierung à la FileVault. Mit FileVault habe ich zudem kein besonderes Glück. Nachdem das Image ca. 60GB erreicht hat, geht gar nichts mehr - obwohl auf der 120GB Platte noch über 40GB frei sind.

Also sowas wie "Whole Disk Encripten" für den Mac. Irgendwelche Idee?

gerüchteweise soll pointsec demnächst auch eine version von pointsec for pc auch für mac os bringen.
bin gespannt....
www.pointsec.de

 

[Crest]

Full Disk Encryption ist nicht nur was für Pranoiker sondern tatsächlich sinnvoll nicht nur das dadurch schwächen von Anwendungsoftware ausgelichen werden ( z.B. temporäre Datein an Orten wo sie nichts verloren haben ) sondern für Leute deren Computer ein hinreichend interessantes Ziel sind. Sicherlich File Vault schützt das Heimatverzeichnis eines Users allerdings bleiben sowohl das Betriebsystem als auch Anwendungen ungeschützt oder genauer alles andere außer vllt. dem virtuellen RAM. Es wäre kein Problem mal eben /usr/bin/login auszutauschen, wenn man physikalischen Zugriff auf den Rechner hat. Eigentlich bieten sich Macs dafür ja gradezu an mit ihrer mächtigen Firmware. Nur OS X ist dafür suboptimal, weil zwar zumindestens für PPC mit Darwin die Grundlage des Betriebssystems opensource ist jedoch Apple nicht davon ausgeht das jemand die "Dreistigkeit" hat sein OS X entsprechend den Möglichekeiten sich anzupassen.

 

[Crest]

Rastafari: Die Kryptoanlyse von PGP selbst mit RSA 1024 und IDEA ist auch bei 30 GB noch kein Treppenwitz für gutgläubige sondern nur nicht mehr State of the Art. Mit GnuPG mit RSA 4096 Bit Hauptschlüssel zum signieren und ElGamal 4096 Bit Schüssel zum ver-/entschlüsseln und Twofish mit 256 Bit Schlüssel ist erst recht kein Treppenwitz sondern wahrscheinlich sogar für SigInt Nachrichtendienste ein nicht Knackbar ( nur die Nachricht nicht die Implementierung auf einem verwundbaren Desktop Computer ). Der einzige Witz ist das ein Angreifer Known Plaintext nicht mehr angreifen muss sondern nur als Hilfsmittel für Angriffe aus unbekannte Daten verwenden kann. Achja und ne kleine Notiz am Rande: DH ist nur für den Schlüsselaustausch geeignet nicht zur Verschlüsselung.

 

[Rastafari]

Rastafari: Die Kryptoanlyse von PGP selbst mit RSA 1024 und IDEA ist auch bei 30 GB noch kein Treppenwitz für gutgläubige sondern nur nicht mehr State of the Art. Mit GnuPG mit RSA 4096 Bit Hauptschlüssel zum signieren und ElGamal 4096 Bit Schüssel zum ver-/entschlüsseln und Twofish mit 256 Bit Schlüssel ist erst recht kein Treppenwitz sondern wahrscheinlich sogar für SigInt Nachrichtendienste ein nicht Knackbar.

Das solltest du mal Phil Zimmerman sagen. Der glaubt das einfach nicht.
Viel Spass noch beim CPU-Zyklen verschwenden.

 

[saimens]

Lösung von www.pgp.com in sicht!

gelesen unter BETA Release für Version "Desktop":

"New Features in PGP Desktop 9.5 for Mac OS X
Building on PGP Corporation’s proven technology, PGP Desktop 9.5 for Mac OS X includes numerous improvements and the following new features:
- PGP Whole Disk Encryption introduces encryption of entire hard disks for Mac OS X including multiple-user support and full compatibility with PGP Whole Disk Encrypted disks from PGP Desktop for Windows. This feature supports all removable and non-boot fixed disks, and is compatible with HFS+, FAT, and FAT32 filesystems. NTFS is also supported, as read-only. ..."

Gruss Simon