Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>ist filevault aktuell ausgereift und unknackbar?

ist filevault aktuell ausgereift und unknackbar?

strateg
strateg06.03.0720:11
ich weiss es gibt schon zig forumseinträge hier, anderswo und eine 100%ige sicherheit gibt es auch nicht. was die sicherheit anbelangt sind die meisten aber 2 jahre alt und auf os x 10.3 bezogen. deshalb wäre ich froh um erfahrungsberichte von wirklichen profis ... danke.

ich habe einen neuen kunden bei dem die sicherheit äusserst wichtig ist. deshalb möchte ich wissen ob ihr erfahrung mit filevault habt. ich möchte ausschliesslich für diesen einen kunden ein mbp einrichten mit filevault, open firmware passwort schützen wie auch alle schlüssel auf einen externen usb stick für mich und den kunden auslagern. das haupkennwort soll nur in unseren köpfen sein. für geheim klassifizierte dokumente werden wir die software tresor mit starker verschlüsselung verwenden.
„cuntentientscha, attentivitad, curaschi —“
0

Kommentare

pünktchen
pünktchen06.03.0720:30
wenn nicht gerade jemand hinter deinem kunden her ist, der sich ausreichend rechenkapazitäten für einen brute-force angriff leisten kann, sind seine daten gut geschützt. den swap solltest du auch verschlüsseln.

und deinen kunden die verschlüsselung von e-mails beibringen & ihm starke passwörter verpassen.

openfirmware ist hingegen nutzlos. und das auslagern der schlüssel hilft meines erachtens auch nicht, die liegen doch eh schon verschlüsselt im schlüsselbund, auch ohne filevault.

0
bestbernie06.03.0720:33
nichts ist unknackbar
0
Sebastian
Sebastian06.03.0721:42
bestbernie
nichts ist unknackbar
Eben.
Vor allen Dingen aber solltest Du aber auch überlegen, ob ein tragbarer Rechner für so sensible Daten die richtige Lösung ist.

Da kann Dir alles von Diebstahl bis über eine Einreise in die USA, bei der der Inhalt der Platte kopiert wird – Standardverfahren – mit Beugehaft zur Herausgabe des Paßworts passieren.
0
strateg
strateg06.03.0721:49
der mac muss im rahmen des projektes mobil sein und von einer reise in die usa will ich sowenig wissen wie von microsoft
„cuntentientscha, attentivitad, curaschi —“
0
strateg
strateg06.03.0721:51
eine starke mailverschlüsselung im geschäftsbereich ist bei uns seit jahren usus.
„cuntentientscha, attentivitad, curaschi —“
0
cab06.03.0722:18
Sebastian
...bis über eine Einreise in die USA, bei der der Inhalt der Platte kopiert wird – Standardverfahren – mit Beugehaft zur Herausgabe des Paßworts passieren.

Bitte was??? Ist das dein Ernst?

0
JustDoIt
JustDoIt06.03.0722:29
cab: Davon habe ich auch schon gehört. Ganz schlecht ist es, wenn Dein Name (Namensgleichheit) auf einer der schwarzen Listen von CIA etc. steht, dann kannst Du auch schnell mal ein paar Tage im Staatshotel verbringen, das ist Nonnen und einem Lufthansa Flugkapitain schon passiert!

Und ich gehe stark davon aus (ohne Wissen), das Apple filefault nur exportieren darf, weil die CIA einen Zugang dazu hat. Filefault hat außerdem das Risiko bei einem kleinen Fehler der Platte die ganzen Daten etc. zu verlieren. Da ist ein verschlüsseltes Image wohl besser.
0
Sebastian
Sebastian06.03.0722:46
cab
Sebastian
Bitte was??? Ist das dein Ernst?
Nicht mal der Diplomatenstatus hat sie gekratzt:
Hatte noch ne andere Quelle daß das Standard für alle Einreisenden sei, hab die aber zzt verlegt.
0
cab06.03.0722:48
Na wundervoll. Also sollte man auf USA Reisen (was ich nun ehrlich gesagt noch weniger vorhabe als bis gerade eben!) tunlichst seinen Computer daheim lassen oder wie? Wie machen das eigentlich all die Leute die zur Macworld mit ihren MacBooks in die USA fahren?
0
Arachnid
Arachnid06.03.0722:48
Verschlüsseltes image + AES würde ich ihn dem Fall empfehlen (bei den wichtigen Daten).

im Terminal zum verschlüsseln (-e steht für enryption):
openssl enc -e -in /pfad/zu/geheim.txt -out /pfad/zu/geheim_encrypted.txt -aes-256-cbc

zum entschlüsseln (-d diesmal für decryption):
openssl enc -d -in /pfad/zu/geheim_encrypted.txt -out /pfad/zu/geheim.txt -aes-256-cbc

man kann die Datei auch per drag'n'drop an der entsprechenden Stelle ins Terminalfenster ziehen, damit der Pfad dort erscheint.


Obwohl ich grad bei Wikipedia gesehen habe:
"AES ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen."

0
Arachnid
Arachnid06.03.0722:51
Also könnte es evtl. doch Probleme geben wenn du am flughafen bist.
Allerdings könnte man ja auch sagen, dass man das Passwort verlegt hat, wenn sie danach fragen. Bzw. der Datei einen Unscheinbaren Namen geben.
0
pünktchen
pünktchen06.03.0723:02
ch: hast du dafür irgendwelche quellen? meines erachtens sind die exportbeschränkungen für starke kryptographie 2000 aufgehoben worden. ihr könnt euch vielleicht noch erinnern, dass es bis dahin browser mit 56 bit und mit 128 bit verschlüsselung gab.

und ob die behörden den code kennen oder nicht ist völlig egal. pgp & gnupg sind ja auch nicht unsicher, nur weil der quellcode offen ist. ganz im gegenteil kann man ja nur so zu 100% sicher sein, dass keine hintertür eingebaut worden ist. ich halte es aber auch für ein gerücht, das in amerikanischer verschlüsselungssoftware überall hintertüren für die geheimdienste eingebaut sind. so was lässt sich nicht geheim halten.

beugehaft um dich zur herausgabe deines passwortes zu zwingen hat großbritannien zuletzt eingeführt. aus den usa ist mir so ein eklatanter verstoß gegen den grundsatz, dass man sich nicht selbst belasten muss, nicht bekannt. allerdings darf man da ermittler nicht anlügen, sondern sollte die schnauze halten. lügen ist als behinderung der justiz strafbar.

und filevault ist deutlich sicherer als ein kleines verschlüsseltes image. denn in dies muss man die daten ja erstmal reintun, und dabei arbeitet man mit ihnen unverschlüsselt. und das kann entsprechende datenreste auf der platte hinterlassen. gleiches gilt für die methode von arachnid. ähnlich war auch die bisher einzige bekanntgewordene schwachstelle von filevault: der unverschlüsselte swap.

trotzdem ist es eine gute idee, besonders kritische daten noch mal in einem image zu verpacken. dort sind sie sicher, falls der computer jemand im laufenden zustand in die hände fällt - und vor dem zugriff von trojanern.

auf telepolis ist übrigens ein guter artikel zur technischen möglichkeit der gezielten einschleusung eines "bundestrojaners":

und aes ist bisher und auf absehbare zeit sicher, wahrscheinlich sicherer als das von tresor verwandte idea verfahren. bei beiden gibt wohl es theoretische mathematische mängel, die aber noch lange nicht zu einem auch nur irgendwie aussichtsreichen angriff ausgenutzt werden können.

wer es genau wissen will:
und wer es ganz genau wissen will: (bitte mathematiker mitnehmen!)
0
Arachnid
Arachnid06.03.0723:32
pünktchen
Hat schon recht, allgemein könnte man definitv sagen, dass die Mischung ein System sicher macht. Letzdendlich natürlich auch der Nuter selbst, es nützt die beste Verschlüsselung nichts, wenn man ein schwaches Passwort (wie "admin" , "123456" ) wählt.

Ich denke FileVault ist schon eine ganz gute Sache.. Aber man muss bedenken, dass wenn man sich einloggt das FileVault Image ja eh automatisch entschlüsselt wird für den Benutzer, also würde in diesem Fall ein automatischer login eher wenig sinn machen.
Ich würde zu einem Mix aus FileFault (wenn du dich über die Risiken klar bist.) und normalen verschlüsselten Images/Dateien für besonders sensible Daten raten.
0
Arachnid
Arachnid06.03.0723:33
EDIT *letztendlich, *Nutzer
0
RustyCH
RustyCH07.03.0711:55
Hier gibt es noch die Anleitung von "DEM" paranoiden Verein (NSA), wie man seine Kiste "sicher" macht:
Vorsicht, nur ca 130 Seiten lang...
„Unmögliches wird sofort erledigt - Wunder dauern etwas länger“
0
pünktchen
pünktchen07.03.0712:36
wer paranoid ist, wird von der nsa sicher zuallerletzt tipps annehmen, wie er seinen computer zu sichern hat!

die anleitung ist aber tatsächlich ganz gut. da sie sich auf panther bezieht, fehlt eine erwähnung der verschlüsselung des virtuellen speichers.
0
Sindbad07.03.0712:50
Noch ein weiterer Gedanke:

Ein Wald von Bäumen ....

Mit einem Verschlüsselungsprogramm (z.B. Tresor) viiiieele Dateien auf der Festplatte haben.
Wenn ich jeden Mist separat verschlüssele, verliert jeder die Lust am Knacken und selbst eine Beugehaft kann nichts dagegen ausrichten, dass man Passwörter "unwichtiger" Dateien vergessen hat... :-y
0
Appleator
Appleator16.08.0713:21
Aus aktuellem Anlaß: Filevault ist unknackbar!

Strafverteidiger kennen die Strategie der Polizei bei nicht anwaltlich vertretenen Beschuldigten: Die Polizei kennt angeblich den gesamten Tathergang und hat alle Beweise, aber es wäre für den Beschuldigten "im seinem eigenen Interesse" besser, wenn er selber reumütig ein Geständnis ablegt. Später bei der Akteneinsicht stellt sich heraus: Die Polizei wußte praktisch nichts Verwertbares. Die Verurteilung beruht allein auf dem Geständnis.

Denselben Bluff gibt es im Bereich der Verschlüsselungssoftware. Es wird in Presse und Internet beharrlich der falsche Anschein aufgebaut, daß alle Verschlüsselungsmethoden knackbar seien und deshalb auf eine Verschlüsselung genausogut verzichtet werden könne. Aufgrund dieser Propaganda wird regelmäßig auf eine Verschlüsselung verzichtet.

Die deutsche Staatsanwaltschaft ist jedenfalls nicht in der Lage, eine ordnungsgemäß verschlüsselte Festplatte zu knacken. Dies zeigt die Praxis. Raubkopierer und andere "Verbrecher" können daher absolut beruhigt sein, wenn die Daten, Bilder, etc. mit einem hinreichenden Passwort geschützt sind. Da kann nichts anbrennen. (Pishing, Tastaturtracker, etc. mal außen vor gelassen)

Ich weiß nicht, ob es in England wirklich die Beugehaft zur Passwortherausgabe gibt. Wenn dies stimmt, dann aber nur aus dem Grund, daß es andere Methoden, an die Daten zu gelangen, eben nicht gibt. Würden die britischen Freunde jemanden wegen Nichtherausgabe des Passworts einsperren, wenn das Passwort auch anders herausgefunden werden kann?

Und falls es für PGP, GPG, Filevault etc. tatsächlich eine Backdoor des NSA geben sollte: Das ändert doch überhaupt nichts. Da die Existenz der Backdoor geheim bleiben muß, kann sie nicht eingesetzt werden. Die Staatsanwaltschaft keines Landes kann in die Akten schreiben - und Akteneinsicht gibt es nunmal bei zivilisierten Staaten - daß die Verschlüsselung mit NSA-Rechenpower geknackt worden ist. Wenn es anders wäre, hätten wir das alle bereits bei heise.de gelesen.

Daten werden zu 98% (nur) zu Zwecken der Wirtschaftsspionage ausgespäht. Hierfür gilt das Entsprechende erst Recht. Die Verschlüsselung ist regelmäßig sicher und schützt das Unternehmen vor der ungewollten Preisgabe von Daten.


„Du musst noch sehr viel lernen, mein sehr junger Padawan.“
0
radneuerfinder
radneuerfinder16.08.0715:50
Eine Stimme für Tresor bitte wieder abziehen. Ich Dödel bin, wie so oft bei der Bedienung von MTN, gescheitert.
0
Schläfer16.08.0717:30
Vielleicht in dem Zusammenhang interessant:
0
CH
CH06.03.0722:22
Verschlüsselungssoftware die aus den USA kommt, muss gem. den US Exportbestimmungen für US Behörden knackbar sein - ca. 60 % des Codes müssen den Behörden bekannt sein. Im übrigen ein Gesetz noch aus der clinton Ära. Daher: Absolute Sicherheit ist eigentlich nicht zu bekommen.

FileVault sollte es für Unternehmenszwecke schon tun.
0
CH
CH06.03.0722:47
Hier noch ein kleiner Hinweis zu den US Gesetzen - http://de.wikipedia.org/wiki/Pretty_Good_Privacy

Anbei: Mit FileVault hatte ich auch meine Erfahrungen: Ca. 1,5 Jahre keine Probleme - und von einem Tag auf den anderen lief nix mehr. DiskWarrior hat mich (und meine Daten) dann gerettet. Das ganze ist in der Tat mit Vorsicht zu geniessen.
0
Agrajag16.08.0713:31
Man könnte auch ein Disk-Image erstellen, dann die Daten draufkopieren. Anschliessend nach .txt umbenennen und die Datei per Steganografie in ein Bild reinrechnen lassen. Da soll erstmal jemand kommen und für irgendas wein Passwort aus dir rauskitzeln wollen. Es ist erstaunlich, wieviel Daten man in einem Bild verstecken kann Nur sollte das Disk-Image nicht zu groß sein. Aber für die allerwichtigsten Dinge sollte das schon mal reichen. ( USA-Reise)
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.