Hallo zusammen,

es gibt ja sowohl von Samsung als auch SanDisk, Western Digital (und anderen?) solche SSDs, die mit "AES-256-Verschlüsselung" beworben werden.

Meiner Erfahrung nach ist das ja dann immer spezielle Software (also von Samsung, SanDisk oder WD z.B.), die auf diesen Teilen vorinstalliert ist und unter macOS eher so 'la la' funktionieren.

Ganz schlimm soll es wohl mittlerweile mit den M1-Macs sein, da kam es wohl schon zu Datenverlust aufgrund von nicht mehr mountbaren verschlüsselten Volumes mit solchen, ich nenne es jetzt mal "Krückenlösungen".

Am liebsten würde ich ja einfach APFS-formatierte und FV2-verschlüsselte SSDs nutzen, aber die funktionieren dann ja nicht mit Windows …

Hättet ihr noch Ideen, wie man mit dem Thema umgeht, wenn man da etwas zuverlässiges sucht, was sowohl unter macOS als auch Windows funktioniert?

Es ist ja schon schlimm genug, dass man die ExFAT-formatieren muss, weil das 'der kleinste gemeinsame Nenner' ist. Und da ExFAT keine Verschlüsselung beherrscht, komme ich um solche 'Sonderlocken' wie den angebotenen SSDs von Samsung & Co. wahrscheinlich gar nicht herum?

Wie sind da Eure Erfahrungen, insbesondere auch mit Apple Silicon?

Danke für Erfahrungsaustausch & beste Grüße in die Runde,
Marcel

Es muss nicht gleich die SSD verschlüsselt werden. Mit Cryptomator lassen sich Tresore auf einer SSD anlegen. Cryptomator funktioniert mit MacOS (separate ARM-Version), Linux und Windows.

Naja, Boxcryptor oder auch Cryptomator wollte ich da jetzt nicht noch als 'exra layer' hinzufügen, benötigt dann ja auch wieder extra Software auf den Rechnern.

Ist auch extra Software. Sollte aber mit M1 funktionieren. VeraCrypt
Vielleicht ist es einen Blick wert.

VeraCrypt habe ich gerade mal für diesen Zweck getestet.
Es lässt sich eine verschlüsselte Partition einrichten. Die Geschwindigkeit einer Samsung T7 sinkt auf 150/100 MB/s Write/Read (AES SHA-512, Blackmagic Disk Speed Test).
Für unterwegs - falls jemand per Windows darauf zugreifen möchte - gibt es eine portable exe-Version.
Ich formatiere das mal um in eine verschlüsselte und eine unverschlüsselte exFat-Partition. Ich hatte zur Zeit ohnehin keine sinnvolle Verwendung für diese SSD.

VeraCrypt hatte ich auch schon auf dem Schirm, auch wenn man da dann neben VeraCrypt auch noch macFUSE benötigt.

Aber dieser extreme Einbruch der Lese- und Schreibgeschwindigkeit ist zum arbeiten (externe SSDs für 4K Video-Aufzeichnung und -Bearbeitung) leider kaum geeignet.

Eventuell müsste man dann mal mit einer 'schwächeren' Verschlüsselung experimentieren, ob es dadurch etwas schneller wird?

Schon irgendwie krass, dass dieses Thema in 2022 noch so ein Problem darstellt, also eine systemunabhängige, sichere, performante und nicht zuletzt zuverlässige Lösung zu finden …

Als professionelle Lösung gäbe es noch die Drives von Datalocker. Kosten allerdings.

Sorry, das ist jetzt halb off topic: Was würdet ihr in dem hier diskutierten Zusammenhang (Software/Hardware) einen ausschließlichen Mac-User raten?

Es handelt sich um eine genormte Schnittstelle (meist TCG Opal) in den SSDs, d.h. unter Windows und Linux läuft das ganze relativ problemlos. Apple nutzt eine eigene Verschlüsselung über die eigenen Chips, so dass man Apple SSDs sonst nirgendwo auslesen kann.

Du kannst eine SSD mit APFS verschlüsselt formatieren oder Du legst mit dem Festplattendienstprogramm ein verschlüsseltes Image an (sparsebundle) an. (am Ende der Seite)

Hallo Marcel,
es gäbe auch die Möglichkeit, SSD / HDD per Ethernet oder WLAN anzusprechen.
Die Verschlüsselung könnte dann auf dem Zielgerät laufen ( z.B. Synology DS620slim).

War auch schon mit intel macs so. Meine externe war apfs verschlüsselt per festplattendienstpr. Jetzt ist sie noch mountbar aber die Entschlüsselung ist defekt, da ich bei laufendem Betrieb aus Versehen die Platte abgezogen hab ohne Unmount. Passiert mir öfter, wegen dem TB Dock.

Ein Rebuild der apfs directory wäre eine Lösung, allerdings ist disk warrior und tech tool nicht mehr fähig apfs volumes zu rebuilden, da apple apfs nicht ausreichend dokumentiert hat.

Hi! Ich handhabe das wie folgt: Wenn ich einen externen Speicher ausschließlich am Mac verwende, kommt ein mit APFS verschlüsseltes FileVault zum Einsatz.

Für externe Speicher, die ich sowohl am Mac als auch an anderen Systemen verwende, kommt exFAT mit einer Hardwareverschlüsselung zum Einsatz. Jedoch muss man hier aufpassen, denn die meisten am Markt befindlichen Systeme taugen nicht viel, da sie unsicher sind. Man sollte daher bei der Auswahl auf eine FIPS 140-2, zukünftig FIPS-140 3-Zertifizierung achten. Für physical security sollten diese Geräte eine Zertifizierung der Stufe 3 erhalten. Das bedeutet, dass das Gerät dafür zertifiziert ist, passive Abwehrmaßnahmen gegen physikalische Angriffe vorzunehmen, also sich mit an Sicherheit grenzender Wahrscheinlichkeit selbst zerstört, wenn man versuchen würde, es zu öffnen und so an die Daten zu gelangen.

Ein Produkt, das diese Anforderungen erfüllt, ist der Aegis Apricorn Secure Key, erhältlich bei https://www.jacob.de (ich erhalte kein Geld dafür). Dieser USB-Stick hat eine eigene Tastatur und wird nur nach PIN-Eingabe freigeschaltet. Es enthält außerdem so tolle Features wie eine Selbstzerstörungs-PIN, die man eingeben kann, wenn man gezwungen werden sollte, die PIN herauszugeben oder einen Read-Only-Modus.

Und wenn ich einen solchen Stick ausschließlich am Mac verwende, kombiniere ich ihn natürlich noch mit VileVault ...

Ah sehr gut, das ist doch genau was ich suche – systemunabhängig und sicher. Danke schallundrauch

Von Apricorn gibt es auch entsprechende SSDs:



Kostet natürlich etwas mehr als die 'üblichen' Consumer-Lösungen, aber das ist es mir dann auch wert.

PS: Bei Jacob ist der Artikel z.Z. allerdings nicht lieferbar …

Marcel_75@work

Mal ne blöde Frage: So ein Gehäuse von Icybox würde es nicht tun?


Hier noch das (nicht mehr verfügbare) Vorgängermodell, falls die Bewertungen interessieren:

maceric: Grundsätzlich sicher nicht uninteressant, allerdings bräuchte ich SSD-Speed … was es sogar gibt:



Der Preis ist auch wesentlich günstiger (hat aber eben auch keine FIPS 140-2 geschweige denn FIPS 140-3 Zertifizierung).

Allerdings schrecken mich die Bewertungen dann doch etwas ab ehrlich gesagt …

Die SSD-Variante von Icy-Box würde ich auch nicht kaufen.
Mal abgesehen davon, daß sowieso nur eine SATA-SSD reinpasst.
Da wird, denke ich, auch keine höhere Datenrate erreicht werden, als mit einer in das 2,5"-Gehäuse eingebauten SSD.
Hier habe ich gerade nachgemessen: 137 MB/s schreiben und 183 MB/s lesen.
Da sind die 350 MB/s von Apricorn natürlich die bessere Wahl.

Für die reine Mac-Umgebung (ohne Rücksicht auf Windows-nutzende Kollegen) haben wir uns jetzt auf dies hier eingeschossen:



Denn dieses Orico-Gehäuse mit Intel JHL7440 + JMicron JMS583 Controller unterstützt USB 4.0 und ist voll kompatibel mit Thunderbolt 3 sowie Thunderbolt 4 und darüber hinaus natürlich auch mit USB 3.2, 3.1, 3.0 sowie Typ-C.

Da dann eine Samsung M.2 SSD rein, APFS-encrypted formatieren und fertig.

Für Mac- und Windows-Kompatibilität scheint nach wie vor die Apricorn Aegis Padlock SSD am interessantesten zu sein.

Wobei ich auch schon überlegt habe, ob die Windows-User nicht einfach Paragon APFS oder auch MacDrive nutzen könnten, das müsste man mal testen, wie zuverlässig da dann unter Windows APFS-verschlüsselte Laufwerke erkannt und vor allem auch zuverlässig gelesen wie auch beschrieben werden?

PS: Ich sehe gerade, MacDrive macht APFS nur lesend und unterstützt auch keine verschlüsselten Laufwerke.

Es gibtt doch von Samsung auch eine mit einem Fingerabdruck Sensor, T7 Touch.
Laut den Anleitungen benötigst du eine Software nur um den Fingerabdruck auf die SSD zu Bringen oder ein SmartPhone. In diesem Video sagen sie auch noch mal explicit das keine Software zum Unlock nötig ist.

Für das Problem kleiner wichtiger Daten haben wir einen USB Stick mit Nummerntasten denn muss man erst mit dem Code entsperren dann hab ich 30 s den an einen Beliebigen Rechner zu packen und kann dann die Daten nutzen biss ich ihn wieder abziehe dann verschlüsselt er sich wieder, und wenn du ihn nicht ansteckst auch.

Ist aber für deinen Zweck auf jeden fall zu langsam.

Grus