Ich habe unter 10.3.9 auf meinem Prismo meine private Daten in einem verschlüsselten dmg Laufwerk.
Neu habe ich einen Mac Mini. Wenn ich nun die Datei rüberkopiere und öffnen will meldet das System, das Passwort sei falsch, aber ich bin sicher, dass ich das richtige Passwort eingegeben habe.
Ich habe auch darauf geachtet, dass der Benutzer dieselbe Benutzerid (501) hat. Der einzige Unterschied ist der Kurzname, aber mich dünkt der sollte keinen Einfluss haben. Ich kann ja nicht auf die schnelle mit einem neuen Benutzer testen, der würde ja eine andere ID bekommen und mit dem Benutzername/id möchte ich nicht expereimentieren.
Auf dem Mini läuft die neueste Systemversion.
Hat da jemand schon Erfahrungen gemacht? Danke im Voraus

Mach' sie doch auf dem Pismo auf, kopiere die Daten so rüber und mach auf dem Mac mini ein neues verschlüsseltes DMG...

Ja, so mache ich es auch, aber die Frage geht in die Richtung, dass ich bis jetzt Backups auf eine externe Platte gemacht habe und da ist ja die dmg-datei gespeichert. Restore funktionierte jeweils auch gut auf dem Prismo, nur was ist wenn der Originalrechner (Prismo) nicht mehr funktioniert und ich muss ein Backup auf dem Mini zum laufen bringen.

Hast Du's mal andersrum probiert ? Also, ob ein auf dem Mac mini erstelltes DMG sich auf dem Pismo öffnen läßt ?

Nein, werde es heute Abend ausprobieren.

Ja das Passwort ist im Schlüsselbund und ich habe das dmg als Startobjekt eingetragen. Ich wusste nicht dass diese Kombination ein Sicherheitsrisiko ist. Ich werde also das dmg in dem Fall bei jeder Anmeldung extra öffnen müssen. Danke für den Hinweis.
Dass das dmg den Umzug mitgemacht hat finde ich erstaunlich, das ist ja eben mein Problem. Ich habe es per Netzwerkverbindung gezüglet, ich versuche heute Abend mal das Backup direkt von der externen Platte zu öffnen.

Ja, habe ich gemacht, denn ich wusste es gar nicht mehr.

Also das muß gehen, schließlich mache ich das ähnlich: ich habe auf einem USB-Stick ein verschlüsseltes DMG und mounte das dann auf dem jeweiligen Rechner an dem ich sitze.

Oha, agrajag spricht hier von einem Sicherheitsrisiko, das mich in Besorgnis stürzt.

Ich habe meine Platte ganz normal mit Filevault geschützt.
Wenn ich mich mit meinem Account anmelde, habe ich natürlich Zugriff auf die Platte.
Ist das der von Dir angesprochene Fall?
Kann jemand sich per Installations DVD in meinen Account einloggen und die Verschlüsselung war für die Katz!?

Wenn ja, wie soll ich es sonst machen?

Kann ich zum Sichern meines Systemordners eigentlich einfach das verschlüsselte Diskimage auf eine andere HD kopieren?

Gruß,

Thomas

Nein. Nein. So. Ja.

agrajag
Um an die im verschlüsselten Image enthaltenen Daten zu kommen, brauchst du das Kennwort, das beim Verschlüsseln verwendet wurde.

agrajag
Sehe ich im Allgemeinen auch so. Für die Kennwörter und ähnliche Daten kann man sehr gut den (bzw. zusätzliche) Schlüsselbund zurückgreifen und für andere Dinge ein verschlüsseltes Image nutzen, das nur gemountet wird, wenn es notwendig ist.

Interessant dürfte FileVault eher z.B. für Außendienstmitarbeiter sein, da ist es sinnvoll, daß man nicht einfach an die firmeninternen Dokumente ran kommt.

Sehe ich jetzt das richtig so:
- Image-Passwörter sind vom Image abhängig und die Daten sind sicher (wie Rantanplan schreibt oben)
- Der Schlüsselbund hat kein eigenes Passwort sondern braucht das Benutzerpasswort. Wird das von aussen zurückgesetzt, dann ist der Schlüsselbund offen für alle, so auch die im Schlüsselbund gespeicherten Image-Passwörter.

Fazit: Schlüsselbund ist unsicher, Image ist sicher

chh

Äh. Am besten sollte das jemand beantworten, der den Fall schon mal konkret durchgespielt hat (also Kennwort mit Inst-CD zurücksetzen). Ich kann nur etwas allgemeiner antworten.

Also. Das Kennwort des Standardschlüsselbundes ist normalerweise das Benutzerkennwort, mit dem man sich anmeldet, das ist richtig. Ob das Zurücksetzen mit der Inst-CD auch dieses ändert... keine Ahnung, ich hab das noch nie gemacht. Aber! Es gibt ein Aber, denn du bist ja nicht auf diesen Standardschlüsselbund angewiesen, du kannst ja weitere anlegen. Was sogar sinnvoll ist, denn wenn zu einen weiteren anlegst, kannst du diesen zum Beispiel immer gesperrt lassen, ihn nach Inaktivität wieder automatisch sperren lassen etc. Das ist beim Standardschlüsselbund nicht unbedingt so praktisch.

Daß Image sicher wäre und Schlüsselbund nicht, das kann man daher so nicht sagen. Der Standardschlüsselbund wird üblicherweise entsperrt, sobald man eingeloggt ist und hat üblicherweise auch das gleiche Kennwort (muß aber imho nicht so sein). Für weitere Schlüsselbunde gilt diese Einschränkung freilich nicht.

"wenn zu einen" "wenn du einen"

Hallo nochmal.

Wie soll das denn vonstatten gehen, wenn man sich mittels Install DVD Zugriff verschaffen will?

Kann das mal jemand beschreiben, dann probiere ich es einfach mal aus.

Weiterhin hätte ich gerne gewusst, wie man so ein kleines, verschlüsseltes Image, wie Ihr es benutzt, erstellen kann.
Geht das auch mit FileVault?
Hört sich nämlich auch für mich nach einer besseren Lösung an...


Gruß,

Thomas

Kennwort zurücksetzen: keine Ahnung, habe ich noch nie gemacht.

Verschlüsseltes Image: Festplatten-Dienstprogram Ablage Neu... Leeres Image. Dann entweder ein mitwachsendes oder eines mit fester Größe und Verschlüsselung AES-128. Bei der Identifikation dann den Haken bei "Kennwort in Schlüsselbund sichern" weg, bzw. nachher den Eintrag aus dem Schlüsselbund löschen.

Ich habe mein Problem mit der dmg-Datei gelöst und kann sie nun überall öffnen. Im Schlüsselbund gab es drei Einträge mit Passwörtern zu meiner dmg-Datei. Ich hatte die Datei mehrmals umbenennt, neu kreiert und an diversen Orten abgespeichert und das führte offensichtlich zu den drei Einträgen. Interessanterweise gab es keinen Eintrag mit der genauen Bezeichnung meiner Datei, aber weil ein Eintrag fast identisch war fand ich diesen und darin war das falsche Passwort. Auch im Eintrag mit dem richtigen Passwort war der Name der Datei nicht richtig vermerkt. Weder bei Name noch bei Ort. Wie kann der Schlusselbund nun meine Datei dem richtigen Eintrag zuordnen? Gibt es da noch versteckte Informationen?

Das Passwort für verschlüsselte DMGs ist völlig unabhängig von irgendwelchen User-Accounts. Deswegen eignen sie sich ja auch so gut, um Daten wirklich sicher abzulegen. Da kommt nicht mal der root des Systems heran. So ein DMG sollte sich überall öffnen lassen.

Kann es sein, daß du das Passwort im Schlüsselbund abgelegt hast und automatisch bei der Passwortabfrage eintragen lässt? Das sollte man sich überlegen, denn wenn einer es schafft sich in deinen Account einzuloggen, hat er auch automatisch Zugriff auf diese Daten (über den Schlüsselbund). Diese Rechte kann man sich per Installations-DVD problemlos schaffen und hat somit auch problemlos Zugriff auf deinen Account.

Mein verschlüsseltes DMG hat den Umzug auf ein neueres Sysetm problemlos mitgemacht.

Hast du denn mal im Schlüsselbund nachgesehen, ob du auch das richtige Passwort zum öffnen auf dem zweiten Rechner benutzt hast? Vielleicht hast du dich ja falsch erinnert -- wäre ja möglich, wenn man das normalerweise automatisch machen lässt.

Hmm, das kann ich mir auch nicht erklären. Aber der von alfrank vorgeschlagene Weg, erstmal die Daten unverschlüsselt auf den neuen Rechner zu bringen, klappt auch. Wäre blos interessant zu wissen, warum sich das bei dir so verhält. Sonst kann man sich ja nicht mehr seines Backups sicher sein.

Wenn du das DMG neu erstellst, würde ich es auf jeden Fall auf einem anderen System (auf dem alten, oder dem eines Bekannten oder auf der Arbeit) ausprobieren.

<paranoiamode>Das werde ich wohl auch nochmal überprüfen müssen -- sicher ist sicher.</paranoiamode>

Thomasgo: Das Problem ist, daß das Filevault-Image direkt mit deinem Account verknüpft ist. Jeder, der sich in dein Account einloggen kann, hat auch Zugriff auf die Daten, die du eigendlich unter Verschluß halten möchtest. Sobald jemand physikalischen Zugriff auf deinen Rechner hat, kommt er mit Hilfe der Installations-DVD problemlos an alle Benutzerkonten heran (über Passwörter zurücksetzen). Das ist natürlich bei Laptops besonders fatal, wenn das Teil abhanden kommt. Der neue Besitzer muss sich nur eine OSX-DVD besorgen. (Oder kann man die Passwörter von Filefault-geschützten Accounts nicht zurücksetzen?)

Selbst ohne physikalischen Zugriff kann man u.U. das System infiltrieren und hat jederzeit Zugriff, solange du selbst eingeloggt bist -- irgendwann wird auch uns das Thema Trojaner&Co betreffen. Immer wenn du in dein Account eingeloggt bist, kann ein Programm (Trojaner z.B.) auf ALLE Daten zugreifen, auf die du auch Zugriff hast -- auch deine zu schüztenden Daten.

Dazu kommt noch, daß der mit Abstand größte Teil der Daten im Home-Ordner eigendlich nicht schützenswert ist. Dafür werden aber alle Zugriffe auf die Daten im Filefault-Image stark ausgebremst (auf Laptop-Platten besonders gravierend, da ohnehin nicht schnell).

Dazu gesellt sich noch das Problem, daß im Falle eines Plattendefekts im Bereich des Images so schlimme Auswirkungen haben kann, daß nichts mehr aus dem Image gerettet werden kann. Je größer das Image, desto größer ist auch die Gefahr. Hier im Forum gab es ja schon ein paar Threads von Leuten, die verucht haben ihre Filefault-Images zu retten.

Unterm Strich lohnt sich der Einsatz von Filefault für die meisten wohl eher weniger -- wobei es garantiert auch Ausnahmen gibt. Wenn jemand Zugriff auf meine Preferences hat, dann soll es mir egal sein. Ich hab meine wirklich wichtigen, privaten Daten in einem verschlüsselten 16MB-Image. Selbst wenn jemand uneingeschränkten Zugriff auf meinen Account hat, kann er sich das Image bestenfalls kopieren, aber an die Daten dadrin sollte er nicht so schnell rankommen. Das Image öffne ich nur, wenn ich wirklich etwas daraus benötige. Anschliessend wird es sofort wieder geschlossen. Ist vielleicht nicht so komfortabel, aber das ist Sicherheit ohnehin nicht wirklich.

chh: Du kannst dem Schlüsselbund ein eigenes Passwort geben, dann wird es beim Login nicht automatisch geöffnet. Wenn ein Programm auf den Schlüsselbund zugreifen möchte, wirst du zuerst nach dem Schlüsselbund-Passwort gefragt. Man kann es so einstellen, daß das sich der Schlüsselbund automatisch nach x Minuten sperrt. Dann kannst du auch getrost deine sonstigen Passworter darin verwalten, so wie Rantanplan es schon gesagt hat.

Die Passwörter scheinen aber auch so schon recht sicher zu sein. Immer wenn ein Programm das erste mal versucht auf ein Passwort zuzugreifen, wirst du gefragt, ob das Programm das darf. Ab da darf das Programm das auch ohne deine ausdrückliche Zustimmung. Ändert sich dann aber etwas an dem Programm (neuere Version, verschoben, manipuliert), dann wirst du erneut gefragt. Wenn du dir sicher bist, daß du das Programm nicht geupdatet hast, oder es verschoben hast, dann würde ich hellhörig werden.



Rantanplan: Man kann über die Installations-DVD die Filevault-Accounts also nicht freisperren? Dann sollte man wohl nie das Passwort vergessen

Wie steht es mit dem root-User? Kann er sich Zugriff auf diese Accounts verschaffen? Wenn ja, dann würde man ja doch wieder über die Installations-DVD an die FV-Accounts kommen können.

Die wichtigen Dokumente für Außendienstmitarbeiter dürften wohl aber alle ein Fall für den Dokumente-Ordner sein, oder? Dann würde ich auch da ein extra verschlüsseltes DMG bevorzugen. Ausnahmen wären für mich, wenn quer über die Library vertrauenswürdige Dateien liegen würden (z.B. in Applications Support). Da wäre ein FV-Image wohl angebracht.

Wenn du von der Installations-DVD startest, dann kannst du irgendwann die Sprache einstellen. Oben im Menü gibt es ein Menü "Tools", "Utilities" oder so. Dadrin findest du neben der Festplattenverwaltung auch ein Menüpunkt, worüber du die Kennwörter zurücksetzen kannst. Ich weiß nicht mehr wie es genau ist, es ist schon eine Weile her, daß ich mir das mal angesehen habe.

Ein verschlüsseltes Image kannst du mit der Festplattenverwaltung erstellen. Wenn du ein mitwachsenes Image haben möchtes, dann kannst du ein "Mitwachsendes Image" (Dateiendung .sparseImage) erstellen.



In diesem Zusammenhang fällt mir noch ein Nachteil der Filevault-Images (SparseImages) ein: sie müssen von Zeit zu Zeit mal geschrumpft werden, da sie mit der Zeit immer größer werden. Das kann besonders dann zum Problem werden, wenn die User-Ordner in der System-Partition liegen (was bei den meisten der Fall sein dürfte). Dann kann es bei einer vielleicht ohnehin schon vollen Platte nämlich passieren, daß sie zuviel Platz verbrauchen und das System keinen Platz mehr für Auslagerungsdateien und andere temporäre Dateien mehr hat. Davon mal abgesehen kostet das kompakten so seine Zeit. So einige Leute bewahren auch Daten in ihrem Home-Ordner auf, die nicht wirklich benutzerbezogen sind und meiner Meinung nach nicht in ein Home-Ordner hineingehören. Das wären für mich Dinge wie Filme, Musik, algemeine Dokus (eBooks z.B.) -- wobei es natürlich auch hier Ausnahmen gibt. Wenn das System aber erstmal ein zig GB großes SparseImage kompakten soll...

SparseImages scheinen auch etwas fehleranfälliger zu sein. Ich kann es nicht wirklich belegen/begründen, aber nachdem, was ich bisher so gehört habe, drehten sich die meisten Proble mit Diskimages um SparseImages (die halt auch Filevault benutzt).