Forum>Software>Time Machine Backup - verschlüsseln oder nicht?

Time Machine Backup - verschlüsseln oder nicht?

zeitlos15.11.1818:56
Ich habe vor wenigen Tagen meinen neuen Mac mini erhalten und habe dafür jetzt auch meine Time Machine eingerichtet. Bei der Einrichtung bin ich gefragt worden, ob ich das Backup verschlüsseln wolle. Ich habe das erst mal nicht ausgewählt, wurde dann aber darauf hingewiesen, dass ich dabei bin ein verschlüsseltes Medium (also wohl die interne SSD) auf ein unverschlüsseltes zu sichern. Das hat mich nachdenken lassen, und ich habe also doch verschlüsselt gewählt.

Nun stelle ich jeden Tag fest, (aktuell ist es wieder der Fall), dass meine Festplatte (extern => Time Machine) lange Zeit "rödelt". Wenn ich oben in der Systemleiste auf das Time Machine Symbol drücke, steht da immer, dass gerade "verschlüsselt" werde. Und zügig sieht das nicht aus (steht seit Minuten auf 5%)...

Deshalb meine Fragen:

1. Verschlüsseln oder nicht?
2. Dauert das immer so lange bzw. wird dann täglich nach der Sicherung ein Verschlüsselungprozess angefügt (der dann eben (sehr) lange dauert)?

Vielen Dank für jeden Tipp!
0

Kommentare

olbea15.11.1819:10
Dauert nur am Anfang länger. Habe Geduld.
0
asdakloek
asdakloek15.11.1819:21
Evtl hilft dir die Installation einer Software wie „Jiggler“. Das wurde hier besprochen: https://www.mactechnews.de/forum/discussion/Warum-dauert-die -Verschluesselung-eines-TM-Backups-so-extrem-lange-335003.ht ml
+1
zeitlos15.11.1820:10
olbea
Dauert nur am Anfang länger. Habe Geduld.

Ja, sehr lange. Die Einrichtung der Time Machine war vor 2-3 Tagen.
Steht immer noch bei 5% (wobei das schon mal beendet war). Mir kommt es so vor, als würde es jeden Tag nach Datensicherung erneut verschlüsseln. Und erneut ewig dauern
0
zeitlos15.11.1820:11
asdakloek
Evtl hilft dir die Installation einer Software wie „Jiggler“. Das wurde hier besprochen: https://www.mactechnews.de/forum/discussion/Warum-dauert-die -Verschluesselung-eines-TM-Backups-so-extrem-lange-335003.ht ml


Danke, lese ich mich mal ein!
0
zeitlos16.11.1806:22
Kurzes Update: Lief nun die ganze Nacht

Immer noch 5%. Ich hoffe, das wird noch. Man hört die Festplatte die ganze Zeit arbeiten.
0
beanchen16.11.1808:12
Gerade bei größeren Platten und einem großen Backup kann es schon mal mehrere Tage dauern. Es sollte sich aber irgendein Fortschritt schon über Nacht zeigen. Ich würde die externe Platte löschen und noch mal ganz von Vorne anfangen und dann möglichst am Stück durchlaufen lassen, ohne dass Mac oder Platte einschlafen.
0
Wurzenberger
Wurzenberger16.11.1809:44
zeitlos
1. Verschlüsseln oder nicht?
Verschlüsseln.

zeitlos
2. Dauert das immer so lange bzw. wird dann täglich nach der Sicherung ein Verschlüsselungprozess angefügt (der dann eben (sehr) lange dauert)?
Ich muss zugeben dass ich von den Time Machine Backups nie etwas mitbekomme. Das ist ja das Schöne daran.
0
Brandy
Brandy16.11.1809:49
Die Prozentanzeige stimmt meiner Erfahrung nach nicht. Wenn man die Backup-Platte abmeldet (was man machen darf, auch wenn verschlüsselt wird) und dann irgendwann die Verschlüsselung fortsetzt, bekommt man den aktuellen prozentualen Fortschritt angezeigt.
Schneller geht es, wenn man sein Backup ganz neu auf einer mit Verschlüsselung formatierten Platte anlegt. Wie man das auch immer macht, wenn das Backup einmal verschlüsselt ist, merkt man beim Backup auch keine Geschwindigkeitsunterschiede mehr. Jedenfalls keine, die eine Rolle spielen würden.
0
Keepo
Keepo16.11.1810:11
Vielleicht kontrovers, aber ich meine es nicht provozierend o.ä.:

Wozu das private Back-Up verschlüsseln?
Mir persönlich wär das egal, das Back-Up dient bei mir Privat nur dazu, keine Daten zu verlieren - sensibles ist da nicht drauf. Und wird die Platte geklaut (wie, wo? die liegt ja eh nur daheim) dann bin ich trauriger über verlorene Bilder und Filme als darüber das diese jeder ansehen kann.

Just sayin.

Edit: Besonders in Zeiten, in denen wir eh alle Gläsern sind, sobald wir einen Internet-Anschluss nutzen...
„Er kam, sah und ging wieder.“
0
beanchen16.11.1810:18
Brandy
Wenn man die Backup-Platte abmeldet (was man machen darf, auch wenn verschlüsselt wird) und dann irgendwann die Verschlüsselung fortsetzt ...
Das ist die Theorie und früher war das auch in der Praxis so. Platte nicht verfügbar, Rechner aus, egal, selbst wenn man die Platte einfach abgezogen hat, danach ging es problemlos weiter.
Im Moment treten genau die beschriebenen Probleme auf, wenn die Platte beim ersten Backup-Durchgang mit Verschlüsselung nicht durchgehend erreichbar ist. Deswegen, nicht ausschalten, nicht zuklappen (falls Laptop), nicht einschlafen lassen und dementsprechend auch die Platte nicht auswerfen.

Eines wurde noch nicht angesprochen: die externe Platte könnte schlicht auch langsam den Geist aufgeben. Probleme hatte ich auch schon mit Kabeln. Im "normalen" Betrieb als Datenplatte fällt das nicht auf, beim Backup gerade mit Verschlüsselung schon.
0
Wurzenberger
Wurzenberger16.11.1810:42
Keepo
Wozu das private Back-Up verschlüsseln?

Das Systemvolume zu verschlüsseln ist sinnfrei wenn man das Backup nicht verschlüsselt
+3
lamariposa16.11.1811:56
Wurzenberger
…Das Systemvolume zu verschlüsseln ist sinnfrei wenn man das Backup nicht verschlüsselt
Das setzt voraus dass du überhaupt eine Wahl hast nicht zu verschlüsseln. Durch die T2-Chips gibt diese Wahl jedoch nicht mehr, da wird grundsätzlich verschlüsselt (wenn ich das richtig verstanden habe).
SO GESEHEN könnte es dann schon Sinn machen das Backup nicht zu verschlüsseln, falls es einem wurscht ist - aber man keine Wahl hat - ob das Systemvolume verschlüsselt ist oder nicht.

Ich glaube darauf zielte der TE ab…
-4
Brandy
Brandy16.11.1812:29
So wie es bisher gehandhabt wird, läuft es aber anders, wobei mein iMac noch keinen T2 hat, meine ich. Die Datei wird gelesen, entschlüsselt und unverschlüsselt in das Backup geschrieben (externes Laufwerk). Jedenfalls warnt TM genau davor. Hab auch erst gedacht, die Datei würde verschlüsselt übertragen. Mag sein, daß das in Zukunft anders laufen könnte, wobei dann aber alle Laufwerke das gleiche Kennwort bräuchten, wovon ich nicht ausgehe, weil das ein zusätzliche Einschränkung bringen würde. Obwohl... Einschränkung... Apple... naja...
0
beanchen16.11.1813:31
Wurzenberger
Keepo
Wozu das private Back-Up verschlüsseln?
Das Systemvolume zu verschlüsseln ist sinnfrei wenn man das Backup nicht verschlüsselt
Das ist richtig, zieht aber die Frage nach, wozu das private Systemvolumen verschlüsseln. Die "Ich hab nix zu verbergen"-Gemeinde soll ja groß sein ...
Mir wären schon Daten zu Bankverbindungen etc. schützenswert.
+3
Wurzenberger
Wurzenberger16.11.1814:18
Naja wenns einem egal ist dass jemand anderes eventuell uneingeschränkten Zugriff auf die eigenen gespeicherten Daten bekommen könnte ist eine Verschlüsselung natürlich nicht notwendig.
+1
McErik16.11.1815:47
Mein Rechner - obwohl mobil (MBP) - steht ganz überwiegend zu Hause. Deshalb sehe ich keine Notwendigkeit, alle Daten zu verschlüsseln. Besonders Heikles (Passwörter u.s.w.) sind gesondert verschlüsselt. Der Browser speichert keine Passwörter.
Ich sichere meine Daten mittels vier TM-Backups auf externen Festplatten. Sie werden nur zu diesem Zweck mittels USB verbunden. Backups nach jeder umfangreichen Arbeit und vor jedem Update. Abwechselnd.
Zwei Sicherungen auf größeren HDD. TM-Automatik nur bei länger dauernden Arbeiten. Diese Backups bleiben zu Hause und sind unverschlüsselt (wie der Rechner selbst).
Dann habe ich noch zwei kleinere SSD. Auf denen mache ich in größeren Abständen Backups. Eine davon ist außer Haus gelagert. Diese werden regelmäßig getauscht.
Da ich über diese Backups letztlich keine physische Kontrolle habe, sind sie verschlüsselt.
Die Vorbereitung der TimeMachine-Verschlüsselung ist enorm zeitaufwändig. Für 500 GB benötigt man ungefähr 24 Stunden. Wenn man dabei aber das kostenlose Programm Jiggler einschaltet, reduziert sich die Zeit auf ca. 1Stunde 20 Minuten. Unglaublich aber wahr!
Die Erstellung des eigentlichen Backups dauert dann nicht (merklich) länger als auf einer nicht verschlüsselten Platte.
Klingt jetzt unheimlich aufwändig. Dank des tollen Programms TimeMachine aber halb so wild! Bleibt natürlich die Anschaffung von vier Festplatten. Dafür aber keine Sorge um seine Daten!
0
Bigflitzer16.11.1815:58
Ich habe gerade vor kurzem mit TimeMaschine ein neues Backup vom iMac angelegt. Das Backup war 1TB groß und dauerte verschlüsselt etwa 36h. Kann etwas früher fertig gewesen sein aber ich hatte diese Zeitdauer angezeigt bekommen und ihn einfach rödeln lassen. Mit einmal war er fertig. Es war aber immer wenn ich mal geguckt habe Fortschritt zu erkennen.
0
zeitlos16.11.1817:37
Was meint ihr mit "keine Wahl"? Ich habe einen neuen (2018) Mac mini. Ich konnte das bei der Einrichtung der Time Machine eben anklicken oder nicht.

Und: Es rödelt immer noch. Steht bei... 5%.

Ich melde jetzt mal ab und logge mich neu ein, bin gespannt, ob dann ein anderer Wert da steht...
0
zeitlos16.11.1817:49
Neu an und abmelden bewirkt (so war es letztes mal glaube ich auch), dass oben gar nichts mehr von Verschlüsselung steht, nur eben "letztes Backup 17:15 Uhr...

Keine Ahnung, was da passiert.
0
McErik16.11.1818:14
zeitlos
Neu an und abmelden bewirkt (so war es letztes mal glaube ich auch), dass oben gar nichts mehr von Verschlüsselung steht, nur eben "letztes Backup 17:15 Uhr...

Keine Ahnung, was da passiert.

Ich würde das Backup-Volume mal auswerfen und neu anschließen. Wird dann (nach Doppelklick darauf) das Passwort verlangt?
0
zeitlos16.11.1823:51
Ich habe die Platte auch schon ausgeschaltet, auch dem Anmelden steht erst keine Aktivität da, man hört dann die Platte wieder rödeln... Immerhin stand es dann mal auf 10%. Keine Ahnung, warum das so lang dauert. Aber scheint dann wohl wirklich normal zu sein, dass der 6-Core Mini da mal eine Woche oder so durchrechnet.
0
WollesMac
WollesMac17.11.1809:41
Von was für einer Plattengröße sprechen wir eigentlich?
0
zeitlos17.11.1812:54
Nicht schlecht, bin jetzt bei 15% angekommen

Das heißt, wir sprechen eher von Wochen als Tagen. Hätte ich das gewusst, hätte ich nicht verschlüsselt. Kann doch auch für die Backupplatte nicht gesund sein, wenn die Wochenlang im Dauerbetrieb arbeitet???? Oder ist das egal?

Das bereitet mir schon bisschen Kopfzerbrechen.
0
zeitlos17.11.1812:54
WollesMac
Von was für einer Plattengröße sprechen wir eigentlich?

Es ist eine 5TB Platte, 3,5 TB sind belegt.
0
McErik17.11.1813:27
Will man ein verschlüsseltes TimeMachine-Backup, muss man die Verschlüsselung vor dem ersten Backup bei der Auswahl des Volume durchführen. Das Volume, auf das TM die Backups legt, sollte tunlichst leer sein. Andernfalls gab es bei mir Probleme. Dann wird das leere Volume von TM „verschlüsselt“. Anschließend kann TM dort die Backups ablegen.
+1
zeitlos17.11.1813:37
Okay, vielleicht ist das das Problem. Das Volume war nicht leer. Ich benutzte meine Sicherungen weiter, die ich vor dem neuen Mac hatte, also auf demselben Medium.

Platt machen und von vorne beginnen? Hm...
0
zeitlos17.11.1813:39
Noch ne Frage, wenn ich das Volume lösche im Festplattendienstprogramm. Soll ich dann "Mac OS Extended (journaled)" wählen oder gleich "Mac OS Extended (journaled, verschlüsselt)"???
0
McErik17.11.1813:48
macOS Extended (journaled) ohne Verschlüsselung! Das Verschlüsseln will TM selbst machen.
-2
McErik17.11.1813:53
An das Programm „Jiggler“ denken! Ich habe den wertvollen Tipp von xcomma.
0
almdudi
almdudi17.11.1820:28
Wenn man die Backupplatte ständig neben dem Rechner hat, ist eine Verschlüsselung natürlich sinnvoll, da sie dann zusammen mit dem Rechner geklaut wird.
Wer aber ernsthaft sichert, trennt Original und (wenigstens ein) Backup räumlich. Dann ist mir lieber, das Backup ist nicht verschlüsselt. Bei einer verschlüsselten Platte scheint mir einfach das Risiko höher, durch einen kleinen Defekt an der Platte alle Daten zu verlieren. Würde ich nur machen, wenn ich wenigstens von den wichtigen Daten, die sich nicht wiederherstellen lassen, mehrere Sicherungen auf unterschiedlichen Platten habe.
+1
xcomma17.11.1820:39
almdudi
Würde ich nur machen, wenn ich wenigstens von den wichtigen Daten, die sich nicht wiederherstellen lassen, mehrere Sicherungen auf unterschiedlichen Platten habe.
Hi almdudi, ich denke das ist eine Grundannahme, die die meisten hier sowieso haben. Mehrere Sicherungen sind (eigentlich) Pflicht. Stichwort "3-2-1 Backupstrategie".

Ansonsten hoffe ich für dich, dass du keine externen WD Platten einsetzt für dein einziges, unverschlüsseltes Backup. Denn es gibt Modellreihen bei WD, die eine transparente Hardware-basierte Verschlüsselung haben - und dann gibt's leider ein paar unglückliche Vorfälle, wo bei Leuten der Festplattencontroller z.B. abgeraucht ist - und die Idee die Platte einfach auszubauen um sie woanders auslesen zu wollen - klappt nicht. Es ist schon ein Weilchen her, dass ich danach etwas gesucht habe, habe die Antwort aber nicht mehr parat zur Frage: ob man einfach dasselbe WD Modell nachkauft um eine neue "Enclosure" Einheit zu haben, die Platte von vorher einbaut um so wieder Zugriff auf die Daten zu erhalten. Vielleicht findest du eine passende Antwort bei einer eventuellen Recherche. Aber seit Kenntnis von dieser HW Verschlüsselung bei externen WD Laufwerken, die im übrigen nicht deaktiviert werden kann, versuche ich um externe WD Festplattenprodukte einen Bogen zu machen, was aber nicht leicht ist.
NAS Setups mit WD (Red) Drives sind bswp. nicht betroffen. Es geht um die WD-eigene Controllerhardware in den verbauten externen Drives.
0
misc17.11.1823:50
zeitlos
1. Verschlüsseln oder nicht?

Was ist denn das für eine Frage? Selbstverständlich sollte man jegliche Speichermedien, die man hat grundsätzlich verschlüsseln. Der (initiale) Performancenachteil ist irrelevant und moderne CPUs haben seit Jahren HW-Unterstützung fürs Verschlüsseln.

Stell' Dir einfach vor, was passiert, wenn Dir so ein Ding abhanden kommt. Im Falle des Weiterverkaufs hat man auch keine Sorgen mehr, dass man Daten auf SSDs nicht vernünftig gelöscht belommt.
+1
mat6318.11.1809:01
Gelegentlich lösche ich alte TM-Volumes, wenn die Platte voll ist und lasse sie neu anlegen – brauche eigentlich nur immer meine aktuellen Sachen. Dieses Mal hat es dann gefühlt ewig gedauert: TM ist teilweise so lahm geworden, dass man nach 2 Tagen denkt, es ist wohl eingefroren …
Der Terminalbefehl: sudo sysctl debug.lowpri_throttle_enabled=0 hat mir dann geholfen, da wird die Bremse wohl ausgeschaltet bis zum nächsten Neustart. Klar der Mac ist dann eine noch bessere Raumheizung (ein bisschen). Aber jetzt funktioniert es. Beschleunigt wohl auch Platten, die verschlüsselt gesichert werden.
+1
McErik18.11.1812:41
Für diesen Thread habe ich eine meiner verschlüsselten Backup-Platten mit dem Festplattendienstprogramm gelöscht. (Wäre sonst noch nicht nötig gewesen.)
In TimeMachine die gelöschte Platte anschließend ausgewählt und zwar mit Verschlüsselung.
Jiggler geöffnet. Automatische Datensicherung aus.
Die Verschlüsselung der 500 GB SSD dauerte 1 Stunde 19 Minuten. Nach 5 Minuten Inaktivität meldete sich der Jiggler und werkelte herum.
Danach erstes Backup von 281 GB. Dauer 1 Stunde 20 Minuten. Ohne Jiggler aber mit Theine.
Zum Programm Jiggler:


Wie die enorme Beschleunigung der Verschlüsselung durch den Jiggler zustande kommt (oder umgekehrt: warum die Verschlüsselung ohne Jiggler so extrem lange dauert), habe ich nicht wirklich verstanden.
0
xcomma18.11.1817:11
McErik
Wie die enorme Beschleunigung der Verschlüsselung durch den Jiggler zustande kommt (oder umgekehrt: warum die Verschlüsselung ohne Jiggler so extrem lange dauert), habe ich nicht wirklich verstanden.
Hi McErik, habe seit der letzten bzw. ursprünglichen Konversation dazu nicht weiternachgeforscht. Die geäusserte Vermutung im alten Thread dazu finde ich nachwievor eine plausible Möglichkeit.

Für die anderen zur Erklärung:
Jiggler ist lediglich dazu da um Benutzeraktivität zu simulieren durch Mausbewegungen. Mehr macht es nicht.

Denn wie sich herausgestellt hat - und Benutzer früherer macOS Systeme, die FileVault aktiviert haben, können Vergleiche ziehen zwischen der Verschlüsselungsgeschwindigkeiten bei exakt gleicher Hardware und sich nur durch den Wechsel der macOS Version (definitiv ab 10.13, aber ggf. auch schon ab 10.12) massiv unterscheiden - ist es massiv langsamer geworden.

Theine, Coffeine, Amphetamine & Co. um den Rechner vorm Sleep zu bewahren, reichen nicht mehr aus. Erst mit Benutzeraktivität springt die angezeigte Dauer herunter.
Kann man wie folgt beobachten: Verschlüsselung starten, Festplattendienstprogramm offen lassen um den Fortschritt und die Zeit zu sehen, dann Rechner in Ruhe lassen bis z.B. der Monitor sich ausschaltet (entsprechend konfigurieren um nicht zu lange zu warten), dann mit der Maus rumfuchteln und versuchen die Zeitanzeige beim wiederbelebten Monitor schnell zu erhaschen zum einen und um die Veränderung von TAGEN auf STUNDEN festzustellen (der Effekt ist natürlich grösser, je grösser die Festplattenkapazität ist).

Man kann das auch ohne Jiggler machen bzw. diesen "Effekt" observieren. Solange es "kleinere" Kapazitäten wie 500GB sind, und man in der Zeit ständig am Rechner was macht, mag das gut funktionieren, für grössere Kapazitäten im TB Bereich werden die meisten nicht mal eben 12 und mehr Stunden am Stück was am Rechner machen. Für grosse Kapazitäten, als auch für jeden der unattended Setups durchführt, muss also benutzersimulierter Input her: und das geht mit dem simplen Jiggler, der virtuell "an der Maus wackelt" Frequenz kann glaub eingestellt werden.

Schon etwas dumm sich so eine fast sinn-befreite Software zu installieren, weil Apple mal wieder was "gefühlt zum Schlechten" geändert hat - aber es tut.

Die Verschlüsselung bzw. Implementierung dazu hat geändert, spätestens seit APFS kam. Es wird halt weiterhin irgendwie unter FileVault vermarktet quasi. Dieses kann bereits ein Grund sein, neben der Vermutung aufgrund der stärkeren Kryptographie, die eine zufällige Benutzereingabe mit sich bringt.

Denn an was ich nicht glaube wäre die Begründung, dass durch den vermeintlich mehr Ressourcen-schonenden Verschlüsselungsprozess und damit länger dauernden Prozess eine bessere User Experience vonstatten geht ("damit der Benutzer so wenig wie möglich davon mitbekommt und sich nicht beeinträchtigt fühlt") - ganz einfach, weil es früher auch keinen bemerkbaren Einfluss gab. Es war schnell, es war transparent, es tat einfach.

Hingegen ist eine geänderte Implementierung mit Ausrichtung einer stärkeren Verschlüsselungsqualität generell gut nachvollziehbar.

Bzgl. TM: es mag für das Endresultat (und sollte) keinen Unterschied sein. Ich präferiere jedoch die Platte separat erst zu verschlüsseln und dann TM diese vorbereitet verschlüsselte Platte nutzen zu lassen.
+2
Peter Eckel18.11.1817:30
xcomma
Dieses kann bereits ein Grund sein, neben der Vermutung aufgrund der stärkeren Kryptographie, die eine zufällige Benutzereingabe mit sich bringt.
Ich vermute fast, da hast Du den springenden Punkt auf den Kopf getroffen

Starke Kryptographie braucht viel Entropie. Und die kommt am ehesten aus Benutzerinteraktion - Mausbewegungen, Tastaturanschläge, alles, was halt schön unberechenbar ist. Davon gibt's im inaktiven Zustand halt nicht so viel, und so warten die Cryptoroutinen auf Entropie und werden langsam.

Man könnte auch das Mikrofon nutzen, um Entropie aus den aufgefangenen Geräuschen zu gewinnen. Da gibt es dann verschiedene Erklärungen, warum das möglicherweise nicht mehr so gut klappt - zum Beispiel, daß man unter macOS 10.14 wie unter iOS einschränken kann, wer auf das Mikrofon zugreifen darf.

Wenn das tatsächlich die Erklärung sein sollte, dann ist Jiggler aber die dämlichstmögliche Lösung, weil die erzeugten Mausbewegungen, die das Ding produziert, natürlich keine gute Zufallsquelle sind (schlimstenfalls periodisches "Gewackel" um ein Pixel hin und her). Sprich: Die Verschlüsselung geht zwar viel schneller, ist im Ergebnis aber schlecht.
+1
xcomma19.11.1804:30
Peter Eckel
Wenn das tatsächlich die Erklärung sein sollte, dann ist Jiggler aber die dämlichstmögliche Lösung, weil die erzeugten Mausbewegungen, die das Ding produziert, natürlich keine gute Zufallsquelle sind (schlimstenfalls periodisches "Gewackel" um ein Pixel hin und her). Sprich: Die Verschlüsselung geht zwar viel schneller, ist im Ergebnis aber schlecht.
An dem Gedankengang ist was dran.

Schlechter als FV2-V1 (FileVault2 Version 1, also "die frühere, die schneller verschlüsselte") wird das heutige FV2-V2 mit Behelfslösungen wie Jiggler hoffentlich nicht sein (in Relation), da früher auch kein (oder nicht in dem Masse wie es anscheinend FV2-V2 heute vorsieht) "Human Input" genutzt wurde.
Für die "normalen" unter uns dürfte der Schutzlevel nachwievor akzeptabel sein, da FV2-V1 oder FV2-V2+Jiggler dennoch eine Verschlüsselung bedeutet, die sicherlich immer noch ein extrem hohes Mass an Kompetenz erfordert um geknackt zu werden.
Und wenn man an diese "Stellen" gerät, die das schaffen, hat man schon ganz andere Probleme, wenn man in deren Visier gerät

Aber ja, das geht graduell schon etwas in die Richtung (wenn auch auf höherem (Verschlüsselungs-) Niveau ) der Leute, die mit "ich habe doch nichts zu verbergen"-Argumenten daherkommen und verschiedene Aspekte von Verschlüsselung, Grundrechten, etc. nicht verstanden haben.

Wäre also die einzige Alternative (wenn man ein "höherwertigeres" FV2-V2 Resultat anvisiert) einfach also nichts zu machen, Tage-lange Verarbeitung in Kauf zu nehmen und den Mac werkeln zu lassen?
Ich befürchte ja, oder?

Man kann wohl davon ausgehen, aber wäre schön, wenn das jemand bestätigen könnte: kann der Mac immer wieder aus-/eingeschalten werden und jeweils während des Betriebs wird dann die Verschlüsselungsprozedur wieder aufgenommen und abgearbeitet, solange bis es halt fertig ist? Und das auch bezogen auf externe Platten? Denn tagelang (geschweige Wochen) den Mac anlassen wäre jetzt auch nicht optimal.

Die Qualität der Verschlüsselung, wenn man den Mac "unattended" lässt dürfte aber dann auch nicht viel besser sein als "mit Jiggler", da hier "lediglich" die Verschlüsselung über die Zeit (Zeitstempel/-generator) als zusätzlichen Input erfolgen dürfte, die ja - wie so alles in einem Computer - eher deterministisch als das Gegenteil davon sein dürfte.

Ja, zusätzliche "extern eingespeiste" Entropie wie Mikrofondaten wäre zuträglich. Oder eine Lösung wie NeuG . Aber das müsste wohl explizit integriert werden für Lösungen wie FV2 & Konsorten.

Unterm Strich also: bestes Verschlüsselungsresultat nur durch parallele Benutzeraktivität - mit dem Wissen, dass je nach Plattengrösse und persönlich verbrachter Zeit am Mac, es sich nur um Wochen handeln kann bis die Verschlüsselung fertig ist

Ein Paper bzw. offizielle Infos von dazu wären mal echt hilfreich. Wir schustern uns hier sonst echt was zusammen

Persönlich kann ich mit dem Jiggler-Abkürzungs-Kompromiss leben.

p.s. selbst wenn Jiggler "unterschiedlich" und "heftig auf dem Bildschirm" wackeln könnte, es würde dennoch auf einem deterministischen Algo beruhen. Man dreht sich also im Kreis. Richtig
Peter Eckel?
+1
McErik19.11.1806:07
Wie schon früher geschrieben, bin ich kein IT-Experte und von Kryptographie weiß ich erst recht nicht viel. Aus anderem Zusammenhang wusste ich halt nur, dass Zufallsgeneratoren Messwerte aus physikalischem Rauschen und chaotischen Bereichen nutzen. Erst jetzt habe ich davon gelesen, dass gerade Computer menschliche Eingaben als Quelle für nicht vorhersehbare Zahlenfolgen nutzen. Darüber wie theoretisch zufällig das ist, ließe sich wohl noch diskutieren. Besser als Scheinzufallszahlen rein aus Algorithmen mag das Verfahren allemal sein.
Und Apple hat auf diese menschlichen Eingaben umgestellt. Das Verschlüsselungsverfahren wartet also jetzt im Gegensatz zu früher auf solche Eingaben. Das ist aber wenig praxistauglich! Apple sollte sich eine andere Methode überlegen!
Aber jedenfalls glaube ich, die Sache jetzt schon mal etwas besser verstanden zu haben.
Der Algorithmus von Jiggler ist sicherlich besser zu durchschauen als menschliches Verhalten. Somit würde der Jiggler die Sicherheit herabsetzen, wie Peter Eckel richtig schreibt. Ich stimme aber xcomma voll und ganz zu, dass das erst mal jemand ausnutzen muss. Schon mal aufwändig und vermutlich gibt es dann immer noch eine große Restsicherheit, die für den Hausgebrauch reicht. Ich will meine Daten schützen. Der Schutz darf aber im Verhältnis zum lohnenden Aufwand eines möglichen Angreifers stehen - wie bei der Haustür ja auch.
Unabhängig davon werde ich die nächste Verschlüsselung mal wieder ohne Jiggler, aber zu einem Zeitpunkt beginnen, wenn ich am Rechner einiges zu tun habe. Vielleicht dauert die Verschlüsselung für 500 GB dann auch nur in der Größenordnung von anderthalb Stunden? Wenn viel längere Zeiten absehbar sind, wird der Jiggler aber wieder eingeschaltet!
0
Peter Eckel19.11.1811:04
xcomma
Für die "normalen" unter uns dürfte der Schutzlevel nachwievor akzeptabel sein, da FV2-V1 oder FV2-V2+Jiggler dennoch eine Verschlüsselung bedeutet, die sicherlich immer noch ein extrem hohes Mass an Kompetenz erfordert um geknackt zu werden.
Gegen Gelegenheitshacker sicherlich. Und daß die meisten von uns nicht vom Geheimdienst verfolgt werden, dürfte unstrittig sein. Vor dem Grenzübertritt in gewisse Länder die Platten aufzuräumen bzw. ein Schurkenstaaten-Notebook ohne relevante Inhalte parat zu haben, ist mittlerweile ja auch gängige Praxis.

Aber man sollte sich nicht zu sehr in Sicherheit wiegen. Es ist ja nicht so, daß sich im Zweifel erst ein Weltklasse-Kryptograph an Deinen Rechner setzt und den dann in einer koffein- und pizzageschwängerten Woche Deine Verschlüsselung knackt. Die Leute, die an derlei forschen, veröffentlichen ihre Ergebnisse (oder eben nicht, je nach dem, wer es ist), dann wird ein Tool gebaut, und dann ist es letztlich nur noch eine Gedulsfrage. Und da nicht einmal unsere oberste IT-Sicherheitsbehörde sich eindeutig zur Veröffentlichung bekanntgewordener Sicherheitslücken bereiterklärt, ist viel unterwegs, das nicht bekannt wird.

Unterm Strich heißt das, daß man einfach nicht weiß, wie kritisch eine Schwächung der Kryptographie durch schlechten Zufall ist. Wir wissen ja nicht mal genau, wie schlecht die Entropie ist, die zur Verfügung steht, wenn man Jiggler einsetzt - ein Indikator ist höchstens die Geschwindigkeitsdifferenz bei der Verschlüsselung mit und ohne Jiggler, und da die erheblich zu sein scheint, ist im Umkehrschluß die Entropie mit Jiggler sehr viel schlechter als ohne. Wenn Dir z.B. bei RSA von 2048 Bit mehr als 1024 durch schlechten Zufall abhanden kommen, ist das schon mit vertretbarem Aufwand knackbar.
xcomma
Aber ja, das geht graduell schon etwas in die Richtung (wenn auch auf höherem (Verschlüsselungs-) Niveau ) der Leute, die mit "ich habe doch nichts zu verbergen"-Argumenten daherkommen und verschiedene Aspekte von Verschlüsselung, Grundrechten, etc. nicht verstanden haben.
Unser Problem hier ist halt, daß wir nicht wissen, wie stark die Schwächung der Verschlüsselung durch Jiggler ausfällt. Und die Praxis ist da dann halt, alles, was auf Vermutungen beruht, als worst case anzunehmen - in dem Fall also, daß Jiggler die Crypto so schwächt, daß man es auch lassen kann.
xcomma
Wäre also die einzige Alternative (wenn man ein "höherwertigeres" FV2-V2 Resultat anvisiert) einfach also nichts zu machen, Tage-lange Verarbeitung in Kauf zu nehmen und den Mac werkeln zu lassen?
Ich befürchte ja, oder?
Wenn man diesen unbekannten Faktor ausschließen will: Ja. Ganz klar.
xcomma
Man kann wohl davon ausgehen, aber wäre schön, wenn das jemand bestätigen könnte: kann der Mac immer wieder aus-/eingeschalten werden und jeweils während des Betriebs wird dann die Verschlüsselungsprozedur wieder aufgenommen und abgearbeitet, solange bis es halt fertig ist?
Ja. Auch bei externen Platten hat das bei mir bislang problemlos geklappt. Ich habe es allerdings noch nicht unter 10.14 probiert.
xcomma
Die Qualität der Verschlüsselung, wenn man den Mac "unattended" lässt dürfte aber dann auch nicht viel besser sein als "mit Jiggler", da hier "lediglich" die Verschlüsselung über die Zeit (Zeitstempel/-generator) als zusätzlichen Input erfolgen dürfte, die ja - wie so alles in einem Computer - eher deterministisch als das Gegenteil davon sein dürfte.
Wenn Apple nicht eine Riesenbock geschossen hat, dann irrst Du hier. Die Benuterinteraktion ist ja nicht die einzige Quelle von Entropie, sie sprudelt halt nur recht heftig. Wenn das Betriebssystem nicht viel gute Entropie hat, dann dauert die Verschlüsselung halt lang. Die Qualität leidet darunter eben nicht.

Wenn man hingegen Fake-Entropie ins System einschleust, bekommt man dafür Geschwindigkeit, verliert aber schlimmstenfalls die Sicherheit. Verlassen kann man sich darauf dann nicht mehr. Besser als nichts ist es natürlich immer noch, aber man muß sich der Einschränkungen bewußt sein - die Kundendatei meiner Drogengeschäfte oder meine Erpresserbriefe würde ich da lieber nicht ablegen 😈
xcomma
Ja, zusätzliche "extern eingespeiste" Entropie wie Mikrofondaten wäre zuträglich. Oder eine Lösung wie NeuG . Aber das müsste wohl explizit integriert werden für Lösungen wie FV2 & Konsorten.
Falls Apple, was ich annehme, /dev/random dafür nutzt, dann nicht. Dan wir zusätzliche Entropie dem Kernel-Entropiepool zugeschlagen und steht dann in Form von Zifallsdaten dort bereit. Unter Linux ist das jedenfalls so, und ich wüßte keinen Grund, warum es beim BSD-Kernel von macOS anders gelöst sein sollte.
xcomma
Unterm Strich also: bestes Verschlüsselungsresultat nur durch parallele Benutzeraktivität - mit dem Wissen, dass je nach Plattengrösse und persönlich verbrachter Zeit am Mac, es sich nur um Wochen handeln kann bis die Verschlüsselung fertig ist

Ein Paper bzw. offizielle Infos von dazu wären mal echt hilfreich. Wir schustern uns hier sonst echt was zusammen
Das würde in der Tat helfen.
xcomma
p.s. selbst wenn Jiggler "unterschiedlich" und "heftig auf dem Bildschirm" wackeln könnte, es würde dennoch auf einem deterministischen Algo beruhen. Man dreht sich also im Kreis. Richtig
Peter Eckel?
Genau. Wenn Jiggler algorithmisch wackelt, ist es egal, wie der Algorithmus aussieht. Und wenn Jiggler dafür echte Entropie verwendet, wäre es einfacher, es gleich richtig zu machen und die dem Sytem zur Verfügung zu stellen. Ich befürchte aber eher, es ist ein Placebo, das eher schadet als nützt.
+1
McErik21.11.1818:30
Hatte gerade einige Schreibarbeiten an meinem Rechner zu erledigen.
Vorher habe ich die vor drei Tagen verschlüsselte Backup-Platte (siehe oben) wieder gelöscht und während der Tätigkeit am Rechner (Schreib- und Dateiarbeiten) neu verschlüsselt. Diesmal wie angekündigt ohne Jiggler.
Für die Verschlüsselung der 500 GB SSD benötigte das MBP eine Stunde 18 Minuten, also praktisch die gleiche Zeit wie ohne Tätigkeit und mit Jiggler (01:19). Zur Erinnerung: Ganz ohne eigene Tätigkeit dauerte die Verschlüsselung 24 Stunden (Juli 2018)!
Jetzt wird das Backup erstellt.
+2
almdudi
almdudi21.11.1822:39
misc
zeitlos
1. Verschlüsseln oder nicht?

Was ist denn das für eine Frage? Selbstverständlich sollte man jegliche Speichermedien, die man hat grundsätzlich verschlüsseln. Der (initiale) Performancenachteil ist irrelevant und moderne CPUs haben seit Jahren HW-Unterstützung fürs Verschlüsseln.
Ich kenne nur Festplatten, die HW-Verschlüsselung anbieten, keine CPUs – und da gibt es in Fachkreisen (wovon ich nichts verstehe) immer wieder massive Kritik, jedenfalls bei manchen Modellen.

Mir ist eine potentiell bessere Wiederherstellungsmöglichkeit wichtiger als ein denkbarerer Zugriff bei Diebstahl.
Hängt halt auch von den Daten ab.
Lieber sichere ich meine Backupplatten gegen Diebstahl. Mir ist wichtiger, meine Daten zu behalten als zu verhindern, daß andere sie lesen.
Wer WhatsApp benutzt und Google und Co. sollte sich sowieso weniger Gedanken machen über Zugriff auf seine Daten.
0
almdudi
almdudi21.11.1822:45
Peter Eckel
Wenn das tatsächlich die Erklärung sein sollte, dann ist Jiggler aber die dämlichstmögliche Lösung, weil die erzeugten Mausbewegungen, die das Ding produziert, natürlich keine gute Zufallsquelle sind (schlimstenfalls periodisches "Gewackel" um ein Pixel hin und her). Sprich: Die Verschlüsselung geht zwar viel schneller, ist im Ergebnis aber schlecht.
Mag richtig sein (und ich kenne Jiggler und seine Methoden nicht), aber zufällige Mausbewegungen sind schon lange die Basis, wie ein anerkanntes Verschlüsslungssystem wie PGP seine öfffentlichen Schlüssel generiert.
0

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen