whole disk encryption

schtroumpf · 28.02.06

Hallo,

Ich suche ne Software ähnlich wie PGP Wholedisk Encryption die, wie's der Name schon sagt, die ganze (boot) Platte encrypted.

PGP hat ja das Produkt für Windows, jedoch scheint es für Mac OS X zu fehlen.

Kennt jemand was ähnliches für den Mac?

mili · 28.02.06

hallo, dieses produkt müsste in Frage kommen: http://www.subrosasoft.com/OSXSoftware/index.php?main_page=index&cPath=6
Gruß

angelone · 28.02.06

klick einfach mal in den systemeinstellungen auf "sicherheit" (oder so)
da kannste filevault aktivieren.

das is genau dafür gedacht

schtroumpf · 02.03.06

filevault encrypted aber nur den account, oder seh ich das falsch?

ich will die ganze platte encrypted haben und dass man vor dem OS booten ein password eingeben muss, halt so wie beim pgp whole disk encryption ..

hat jemand schon die soft von subrosasoft.com probiert?

Rastafari · 03.03.06

schtroumpf schrieb:
filevault encrypted aber nur den account, oder seh ich das falsch?

Nein, das ist schon richtig.
"Und das ist auch gut so, liebe Genossinen und Genossen..."

ich will die ganze platte encrypted haben

Du willst also verhindern, dass jemand erfährt...
...dass du doch tatsächlich ein Mac OS auf dem Rechner hast ???
Oh Schreck!!! Wer hätte das gedenkt?

Ist nicht dein Ernst, oder?
Wenn du damit fertig bist, das Apfellogo aus dem Gehäuse rauszusägen... kann ich's dann haben - für meinen Klodeckel oder so?

und dass man vor dem OS booten ein password eingeben muss

Automatische Anmeldung deaktivieren - und ggf. OpenFirmware Kennwort setzen (bei PPCs, mit dem dazugehörigen Tool auf der System-CD/DVD, unter ./Applications/Utilities)
Das sollte idR genügen.

Ob bei intelMacs auch sowas in der Art dabei ist, weiss ich allerdings nicht. Keine Ahnung, ob das neue EFI auch solche Sicherheitsmerkmale mitbringt.
(Und ich werde es todsicher auch nie erfahren)

Lemming · 03.03.06

.. kann es sein, dass die neueste Open Firmware Password Version nicht unter 10.4.5 läuft? Bei mir tut sich gar nichts.
Gruß Lemming

schtroumpf · 13.03.06

Rastafari schrieb:
Nein, das ist schon richtig.
"Und das ist auch gut so, liebe Genossinen und Genossen..."

Du willst also verhindern, dass jemand erfährt...
...dass du doch tatsächlich ein Mac OS auf dem Rechner hast ???
Oh Schreck!!! Wer hätte das gedenkt?

Ist nicht dein Ernst, oder?
Wenn du damit fertig bist, das Apfellogo aus dem Gehäuse rauszusägen... kann ich's dann haben - für meinen Klodeckel oder so?

Automatische Anmeldung deaktivieren - und ggf. OpenFirmware Kennwort setzen (bei PPCs, mit dem dazugehörigen Tool auf der System-CD/DVD, unter ./Applications/Utilities)
Das sollte idR genügen.

Ob bei intelMacs auch sowas in der Art dabei ist, weiss ich allerdings nicht. Keine Ahnung, ob das neue EFI auch solche Sicherheitsmerkmale mitbringt.
(Und ich werde es todsicher auch nie erfahren)

Flotte Bemerkung aber überhaupt nix kappiert.
Das Prinzip einer "Whole Disk Encryption" ist dass niemand an deine Daten rankommt. Die ganze Platte ist encrypted und nur mit Passwort oder Aladdin Key kann man die Platte lesen.

Über dein armseliges Apfellogo raussägen Zitat kann wohl nur noch den Kopf schütteln. Solche Bemerkungen kannst du dir in Zukunft ersparen.

Rastafari · 13.03.06

schtroumpf schrieb:
Flotte Bemerkung aber überhaupt nix kappiert.

Macht nichts. Ich erklär's dir gerne.

Das Prinzip einer "Whole Disk Encryption" ist dass niemand an deine Daten rankommt. Die ganze Platte ist encrypted und nur mit Passwort oder Aladdin Key kann man die Platte lesen.

Ach Neee...
[Loriot]

Du möchtest also verhindern dass jemand erfährt, dass sich auf deinem Apple-Rechner ein OS namens "Mac OS X" befindet. Beeindruckend schlau. Da würde niemand drauf kommen, niemals, in hundert Jahren nicht....

Dir ist schon klar, dass solch unkluges Chiffrieren von längst hinlänglich bekannten Inhalten die Integrität deines Schlüssels ebenso in Frage stellt wie die Angewohnheit, ihn am Bildschirmrand zu notieren?
Mit anderen Worten:
"Whole Disk Encryption" ist ein volles Eigentor. (Ein Elfmeter ohne Torwart quasi...)

Über dein armseliges Apfellogo raussägen Zitat kann wohl nur noch den Kopf schütteln. Solche Bemerkungen kannst du dir in Zukunft ersparen.

Wie willst du das sonst verhindern, dass jeder auf den ersten Blick den Inhalt deiner HD Byte für Byte zielsicher vorhersagen kann?
Mit Farbe übersprühen? Aufkleber drüber? Oder muss das geheim(TM) bleiben?

palmetshofer · 13.03.06

Ich kapier den Sinn einer Whole Disk Encryption nicht ganz?
Du bruchst ja nur die Datein zu verschlüsseln die wichtig sind. Vor mir aus alle außer
den Systemdateien denn ich Frage mich wie das OS dan booten will?
Außerdem was nutzt dir eine Verschlüsselung der Sys-Dateien?

Ich glaub Rastafari will damit sagen dass alles zu verschlüsseln sinnlos ist

MfG Matthias

P.S.: Ich find die Kommentare trotzdem lustig

Nicht immer alles ernst nehmen.

Rastafari · 13.03.06

palmetshofer schrieb:
Ich glaub Rastafari will damit sagen dass alles zu verschlüsseln sinnlos ist

Nein. "Er" will damit sagen, dass es absolut hirnrissig und ein geradezu brillianter Schildbürgerstreich ist.

Denn je mehr von einem Ciphertext im Voraus bekannt ist, desto einfacher und schneller ist er analytisch zu knacken.
Eine typische OS-Installation mit ca. 1-2 GB wohlbekannter Daten zu chiffrieren dürfte den Aufwand zur Ermittlung des dazu verwendeten Schlüssels in den Bereich weniger Stunden oder gar nur Minuten bringen. Welcher Algorithmus mit welcher Schlüssellänge dabei verwendet wurde, wird da zur völligen Nebensache.
Wer *das* tut, könnte auch einfach die aus dem Kindergarten bekannte B-Sprache benutzen, das kommt unterm Strich auf's gleiche raus.
Tolle Idee also, das mit der Verschlüsselung der gesamten HD.

Wer's nicht versteht, der möge bitte die Standardwerke von Phil Zimmerman zum Thema "Kryptographie für Dummies" lesen. Liegt jeder PGP Freeeeeeware Version bei.
Ein kurzes Beispiel für Lesefaule:
> "Dieser Text enthält ??? geheimes Wort."
Schwierig zu verstehen, was bei dieser Verschlüsselung schiefgegangen ist? Wohl nicht, oder? Ist es hier schwieriger?
> "reseiD txeT tlähtne ??? semieheg troW."
Und bei einem:
> "Qvrfre Grkg raguäyg rva trurvzrf Jbeg."
...sieht es im Endeffekt auch nicht anders aus.
Bei einem:
> "44 69 65 73 65 72 20 54 65 78 74 20
> 65 6E 74 68 E4 6C 74 20 65 69 6E 20
> 67 65 68 65 69 6D 65 73 20 57 6F 72 74 2E"
...ebenso. Für eine analytisch vorgehende Software ist da kein Unterschied.
Der Fehler ist immer der gleiche: Bekannter Inhalt zerstört die Sicherheit *jeder* Verschlüsselung.

palmetshofer · 13.03.06

Analytisch ist das also kein Problem egal welchen Algorithmus man verwendet? Kling ja schlimm. Aber gibt es nich solche Verschlüsselungen die nur in eine Richtung funktionieren wie auf der Bankomatkarte? Ich möchte nur wissen ob es sowas gibt oder ich mich täusche. Bei 1,2GB ist das unsinn so zu verschlüsseln (wenns das gibt

)

KayHH · 13.03.06

Moin palmetshofer,

palmetshofer schrieb:
Aber gibt es nich solche Verschlüsselungen die nur in eine Richtung funktionieren wie auf der Bankomatkarte?

das wäre tragisch, du meinst wohl asymmetrische Verschlüsselung, also mit private und public key. Ja gibt es, trotzdem hat Rastafri recht.

Die Bankkarte ist übrigens ein ganz schlechtes Beispiel. Ich tippe jetzt mal mit einer Wahrscheinlichkeit von 25 % das die erste Ziffer deiner PIN eine 1 ist und sich mindestens 3 Ziffern im Bereich 1 bis 5 befinden. Hab ich recht?

Gruss KayHH

PS: Gilt natürlich auch für die PINs aller anderen hier.

palmetshofer · 13.03.06

Mathematisch gesehen hast du recht

Ich hab nämlich mal irgendwo gelesen, dass es so eine Verschlüsselung gibt die man nur in eine Richtung also verschlüsseln kann und nicht zurückverschlüsseln. Man kann nur vergleichen.
Hab mich wahrscheinlich verlesen oder irgendjemand hat da Mist geschrieben.

MfG Matthias

Rastafari · 13.03.06

palmetshofer schrieb:
Analytisch ist das also kein Problem egal welchen Algorithmus man verwendet?

Es ist eine Prinzipfrage, der verwendete Algorithmus beeinflusst zwar noch die Rechenzeit, aber nicht mehr in signifikanter Weise.
Sobald ein Fragment des Datenstroms bekannt ist, welches länger als dein verwendeter Schlüssel ist, beginnt die Sicherheit abzunehmen. Mit jeder weiteren Verlängerung des bekannten Teilstücks nimmt der Aufwand zum Bruch des Schlüssels weiter ab.

Aber gibt es nich solche Verschlüsselungen die nur in eine Richtung funktionieren wie auf der Bankomatkarte?

Es gibt keine Rechenoperation, für die es keine Umkehrfunktion gäbe.
Der Trick der Kryptographie ist es nur, es so schwer wie nur möglich zu machen herauszufinden, wie diese denn aussehen muss.
Würde die Verschlüsselung auf einer Bankkarte nicht rückgängig gemacht werden können, könnte auch der Automat die Gültigkeit nicht prüfen.

Besässen Bankkarten heute nicht obligatorisch ein Hologramm, welches schon auf rein physikalischem Weg eine sichere Authentizitätsprüfung der Karte drastisch vereinfacht, wärst du im Besitz eines Stücks Plastik, das einen Schmuck mit dem Attribut "Sicherheit" etwa genauso verdient wie ein Tresor aus Wellpappe.
Eine vierstellige Schlüsselnummer zu benutzen, bei der weniger als 8000 Kombinationsmöglichkeiten bleiben, bietet einen Grad an kryptographischer Sicherheit, die ein handelsüblicher PC in wenigen Millisekunden abarbeitet.
Ein Krypto-Witz.

Bei 1,2GB ist das unsinn so zu verschlüsseln (wenns das gibt )

Nicht die Datenmenge ist entscheidend.
Es kommt darauf an, wieviel der Daten bereits *vor* dem ersten Versuch den Schlüssel zu ermitteln, genau bekannt sind - oder wenigstens mit sehr hoher Wahrscheinlichkeit schon fest stehen.
Solche geschenkten Ergebnisse erleichtern dem Analyse-Algorithmus die Arbeit, weil schon nach kurzen Fragmenten feststeht, ob ein Versuch erfolgreich ist oder nicht.
Wer nach den ersten 500 Bytes schon weiss, dass das durchlaufen der restlichen 1,199999 GB zwecklos sein wird, hat leichteres Spiel.

palmetshofer · 13.03.06

Jetzt bin ich wieder schön Informiert. Danke

Ich glaub ich werd mir mal ein Kryptographiebuch zulegen. Scheint sehr interessant zu sein.

KayHH · 13.03.06

Moin apfeltalker,

noch mal kurz zu dem Desaster Bankkarten-PIN. 1 zu 5.000 sollte die statistische Wahrscheinlichkeit die PIN zu erraten mal sein, 10.000/2 eben. Dann hat man aber einige Bugs eingebaut. Im Vorfeld der Verschlüsselung wird eine Hex-Zahl auf eine Dezimalzahl gemapt. 1 wird zu 1, 2 zu 2, 10 zu 1, da Null per Definition nicht erlaubt ist, 11 zu 1, 12 zu 2 usw. Damit liegt die Wahrscheinlichkeit für eine 1 an erster Stelle schon mal bei 25 % und wie man außerdem sieht, sind die Ziffern von 6 bis 9 schon mal wesentlich unwahrscheinlicher. Wer sich solche „Kryptoverfahren“ ausdenkt und dann noch die Kunden in die Beweispflicht drängen möchte, dem dem ist nicht mehr zu helfen. Wer heute sicher verschlüsseln will nimmt GnuPGP mit 2.048 bit oder mehr. Der Sourcecode liegt offen und man kann sich relativ sicher sein, das da keine Bugs (gab allerdings gerade ein Problem) oder Backdoors drin sind, übrigens ganz im Gegensatz zu der kommerziellen Variante, denen trau ich nicht über den Weg. 2.048 bit Schlüssellänge sind momentan (noch) ausreichend.

Gruss KayHH

Nachtrag: Die Wahrscheinlichkeit die PIN zu erraten liegt insgesamt im unteren dreistelligen Bereich und nicht mehr im mittleren vierstelligen. Das ist schon ein Unterschied.

palmetshofer · 13.03.06

Das einzige was mich jetzt noch wundert ist folgendes:
Wie funktioniert das mit den Schlüsseln?
Wieviele Zeichen hat ein 2048bit Schlüssel?
Wer merkt sich die ganzen Zeichen oder gebe ich da ein Passwort ein, welches in einen 2048Bit Schlüssel verschlüsselt wird, und dann werden die Dateien mit diesem Schlüssel verschlüsselt? Da blick ich noch net durch. Aber dafür seit ihr ja da

KayHH · 13.03.06

Moin palmetshofer,

nein du musst keine 2.048 bit eingeben. Du gibst eine sogenannte Passphrase ein und daraus wird dann ein so langer Schlüssel generiert. Wenn du mehr dazu wissen willst, kann ich dir nur die Doku zu GnuPGP wärmstens ans Herz legen, dass wird hier sonst sehr mathematisch.

Gruss KayHH

Rastafari · 14.03.06

KayHH schrieb:
Du gibst eine sogenannte Passphrase ein und daraus wird dann ein so langer Schlüssel generiert.

Nicht ganz.
Generieren musst du den Schlüssel (bzw ein "Schlüsselpaar") nur ein einziges mal. Die Eingabe des Kennworts wird später benutzt um sicherzustellen, dass nur du allein und niemand sonst den auf der HD gespeicherten Schlüssel auch verwenden kannst. Eine zweite Sicherheitssperre also.

Wird dir dein Schlüssel gestohlen (jemand kopiert die Datei, in der er hinterlegt ist), dann kann der Schlüssel ohne das Kennwort nicht eingesetzt werden, weil die Software ohne Kennwort auch einen richtigen Schlüssel nicht annimmt.

(Der eigentliche Schlüssel wird mit dem Kennwort selbst nochmals verschlüsselt. Erst wenn er nach Eingabe des Kennworts erfolgreich entschlüsselt wurde, kann er benutzt werden. Doppelt gemoppelt sozusagen.)

palmetshofer · 14.03.06

Hört sich ja sehr interessant aus.
Naja ich hab eig. auf meinem Computer nicht sehr schützenswerte Daten. Nur Hausübungen und Schulübungen.
Was für Daten gehören eig. unbedingt geschützt?

whole disk encryption

schtroumpf

Gast

mili

Gast

Dülmener Rosenapfel

schtroumpf

Gast

deaktivierter Benutzer

Finkenwerder Herbstprinz

schtroumpf

Gast

deaktivierter Benutzer

Apfel der Erkenntnis

deaktivierter Benutzer

Apfel der Erkenntnis

KayHH

Gast

Apfel der Erkenntnis

deaktivierter Benutzer

Apfel der Erkenntnis

KayHH

Gast

Apfel der Erkenntnis

KayHH

Gast

deaktivierter Benutzer

Apfel der Erkenntnis

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)