Fragen zur Systemencryption

[arelaos]

Guten Tag liebes Forum,
zwar habe ich etwas die SuFu benutzt, habe allerdings nicht das gefunden wonach ich suche.
Falls es doch schon ähnliches gibt, entschuldige ich mich bereits und verweise darauf dass ich neu hier bin.

Also folgendes zu meiner momentanen Situation: Seit Jahren habe ich unter Windows gearbeitet und benutze zurzeit Zuhause einen Rechner mit externe Festplatte die ich dann unterwegs bzw. auf der Couch usw an mein Laptop anschließe und dort weiter arbeite.

Nach langem überlegen hab ich mich dann gefragt ob es nicht Sinnvoll wäre, mir ein MBP 15" 2017 zu zulegen und dieses dann Zuahause mit meinem Bildschirm und externer Tastatur/Maus zu betreiben und auf der Couch halt eben als Laptop daran arbeiten. Jetzt habe ich allerdings einige bedenken, da ich bisher meine Systempartitionen und externen Medien mit TrueCrypt verschlüsselt habe, womit ich mich auch bisher immer sicher und zufrieden fühlte (bitte keine Kommentare zum alter des Programms o.ä. ).
Soweit ich weiß besitzt ja auch Apple die FileVault, welche eine Systemverschlüsselung darstellt, allerdings bin ich daraus bisher noch nicht wirklich schlau geworden, deshalb wende ich mich an euch.

So wie ich das bisher mitbekommen hab, entsperrt man seinen Mac mit einem Benutzerpasswort und benötigt dieses auch für besondere Einstellungen wie Sicherheit oder sowas in der Art, als muss es immer wieder eintippen. Mein TrueCrypt Passwort besteht allerdings aus über 30 Zeichen, was es doch Mühsam macht dieses für jeden 'Mist' neu eingeben zu müssen, abgesehn von der Anmeldung. Gibt es da eine Möglichkeit dafür ein gesondertes Passwort als für die Anmeldung einzustellen?

Zum zweiten wäre da die Frage, ich verschlüssel meine Platte mit VileFault, und mir wird das MBP entwedet, ich verliere es oder andere Umstände. Im Internet sah ich einige Tipps und Tricks wie man das Benutzerpasswort zurücksetzen kann ohne dieses überhaupt zu besitzen, was bringt dann also VileFault wenn man so auch Zugriff auf die Daten bekommt? Oder habe ich da irgendwas falsch verstanden?

Zum dritten stellen wir uns folgendes Szenario vor, ich verliere mein MBP oder es wird mir entwedet und es ist verschlüsselt (weiß immernoch nicht was das bringen soll, siehe Frage 2), ist es dann möglich das MBP fern zu löschen? Oder wird dazu eine Internetverbindung benötigt? (Nehme ich mal stark an)

Zur Info, ich werde trotzdem weiterhin mit einer TrueCrypt verschlüsselten externen Festplatte arbeiten und auch Backups auf eine verschlüsselte externe laden, daher gehts mir eigentlich nur um fremden Zugriff auf das MBP, auf dem ich nach möglichkeit auch keine sensiblen Daten speicheren werde.

Hoffe das war einigermaßen verständlich und ihr könnt mir weiterhelfen.

 

[Wuchtbrumme]

Nach langem überlegen hab ich mich dann gefragt ob es nicht Sinnvoll wäre, mir ein MBP 15" 2017 zu zulegen und dieses dann Zuahause mit meinem Bildschirm und externer Tastatur/Maus zu betreiben

kann man machen

und auf der Couch halt eben als Laptop daran arbeiten.

habe ich auch mal gedacht; mein Lappi wird nur noch stationär oder mobil unterwegs benutzt; zum Sofaflezen bitte nichts was schwerer ist als 300g.

TrueCrypt verschlüsselt habe, womit ich mich auch bisher immer sicher und zufrieden fühlte (bitte keine Kommentare zum alter des Programms o.ä. ).

gut, dann nicht zum Programm sondern zu Dir - den Aufwand kannst Du Dir auch schenken, das ist Blödsinn. Sicherheit wird immer nach dem aktuellen Stand der Technik beurteilt und damit schließt sich der Kreis zurück zum Alter des Programms TrueCrypt ist als dermaßen unsicher zu betrachten, dass man sich unnötig viel Aufwand macht, wenn man es einsetzt.

oweit ich weiß besitzt ja auch Apple die FileVault, welche eine Systemverschlüsselung darstellt,

FileVault (so geschrieben) ist eine Komplettlösung, die aus einem speziellen Bootsystem und der Verschlüsselung des Systems besteht

Mein TrueCrypt Passwort besteht allerdings aus über 30 Zeichen,

wie gesagt, den Aufwand kannst Du Dir schon seit 2014 sparen

Gibt es da eine Möglichkeit dafür ein gesondertes Passwort als für die Anmeldung einzustellen?

für unbedarfte Endanwender nicht. Man kann tricksen - einfach keinen Benutzer berechtigen, entschlüsseln zu dürfen, aber das ist nicht supportet und man muss erwägen, dass das irgendwann nicht mehr funktionieren wird. Abgesehen davon ist der Ablauf folgendermaßen: spezielles System startet und erwartet die Benutzerauswahl und Eingabe des zugehörigen Passwortes eines Benutzers, der auf dem Hauptsystem existiert und zum Entschlüsseln berechtigt ist (die Benutzerdatenbank wird von Haupt- zu dem modifizierten Recovery-System synchronisiert). Anschließend wird die Platte "entschlüsselt" und das Hauptsystem unter Durchreichung der Anmeldedaten des authentifizierten Benutzers angemeldet (man landet also direkt im Desktop des Benutzers, alles wird gestartet).

Zum zweiten wäre da die Frage, ich verschlüssel meine Platte mit VileFault, und mir wird das MBP entwedet, ich verliere es oder andere Umstände. Im Internet sah ich einige Tipps und Tricks wie man das Benutzerpasswort zurücksetzen kann ohne dieses überhaupt zu besitzen, was bringt dann also VileFault wenn man so auch Zugriff auf die Daten bekommt? Oder habe ich da irgendwas falsch verstanden?

ja, absolut. Und einige Dinge durcheinandergeschmissen. Trenne Hardware und nutzbare Hardware von Deinen Daten. Deine Daten sind durch die Verschlüsselung sicher vor Entwendung. Die Hardware wäre weg, aber niemand sieht Deine gespeicherten Dinge.
Unter Verlustiggehen Deiner Daten kann natürlich eine Wiederherstellung gestartet werden, dann ist das Notebook wieder "leer" bzw. nutzbar, aber Deine Daten sind dann erst recht sicher. Ein Zugriff auf Deine Daten ist ohne das FileVault-Passwort nicht möglich. Auch die genannte Passwortwiederherstellung erfordert das Entsperren des verschlüsselten Laufwerks, Deine Daten sind sicher.

Es gibt auch noch eine Firmwarekennwort-Funktion. Bei neueren Macs (so ab 2012) verhindert das relativ sicher, dass ohne Kenntnis davon von externen Datenträgern gebootet werden kann. Somit könnte auch keine Wiederherstellung gestartet werden, d.h. das Notebook ist für den "Finder" funktional wertlos. Nur Apple kann das unter Vorlage des originalen Kaufbelegs entsperren. Im Idealfall kombiniert man die verschiedenen Mechanismen.

Zum dritten stellen wir uns folgendes Szenario vor, ich verliere mein MBP oder es wird mir entwedet und es ist verschlüsselt (weiß immernoch nicht was das bringen soll, siehe Frage 2), ist es dann möglich das MBP fern zu löschen? Oder wird dazu eine Internetverbindung benötigt? (Nehme ich mal stark an)

ja, dazu wird eine Internetverbindung benötigt. Ich habe diese Option immer schon nur als Spielerei betrachtet, die man konfigurieren kann, die man aber nie erwarten und voraussetzen sollte.

ur Info, ich werde trotzdem weiterhin mit einer TrueCrypt verschlüsselten externen Festplatte arbeiten

wie groß soll ich "BLÖDSINN" schreiben, damit Du das akzeptierst?
Nimm was jeweils aktuelles oder lass es bleiben.

 

[Macbeatnik]

Eine mit FileVault verschlüsselte Festplatte muss zuerst entschlüsselt werden, erst dann wird die Benutzeranmeldung , erfordert in der Regel ja auch ein Passwort, freigeschaltet. Das Ändern des Benutzerpasswortes, falls man das vergessen hat geht ebenfalls erst nach der Entschlüsselung der Festplatte.
Wenn du zum Beispiel FindMyMac eingeschaltet hat(hier gibt es allerdings Sicherheitsbedenken und man sollte das ausgeschaltet lassen), könnte man den Rechner auch fernlöschen, aber ansonsten gilt, ist die Platte mit FileVault gesichert, dann hat der Dieb eine nicht zu nutzende Festplatte.
FindmyMac ( mal im Netz nachschauen, ob du das willst, siehe oben) und ein Firmwarepasswort sind weitere Sicherheitsmechanismen, die es dem Dieb schwerer machen.

 

[arelaos]

Danke an euch, für die schnelle und informativen Antworten.
Ganz schlau wurde ich darauß allerdings noch nicht.

habe ich auch mal gedacht; mein Lappi wird nur noch stationär oder mobil unterwegs benutzt; zum Sofaflezen bitte nichts was schwerer ist als 300g

Weiß ehrlich gesagt nicht was du mir damit sagen willst, sorry!

gut, dann nicht zum Programm sondern zu Dir - den Aufwand kannst Du Dir auch schenken, das ist Blödsinn. Sicherheit wird immer nach dem aktuellen Stand der Technik beurteilt und damit schließt sich der Kreis zurück zum Alter des Programms TrueCrypt ist als dermaßen unsicher zu betrachten, dass man sich unnötig viel Aufwand macht, wenn man es einsetzt.

Das da was kommt war mir klar. Aber leider ist mir keine ebenbürtiges Programm bekannt. Der VeraCrypt Audit hat ja anscheinend rein geschissen (edit: die Lücken wurden wohl inzwischen schon gepatcht und das Programm wird als sicher empfunden.). Natürlich würde ich auf ein zeitgemäßeres Programm setzen, nur weiß ich bisher nicht welches. Werde mich darüber aber nochmal informieren. (edit: wohl werd ich ein Auge auf VeraCrypt werfen.)

Die Hardware wäre weg, aber niemand sieht Deine gespeicherten Dinge.
Unter Verlustiggehen Deiner Daten kann natürlich eine Wiederherstellung gestartet werden, dann ist das Notebook wieder "leer" bzw. nutzbar, aber Deine Daten sind dann erst recht sicher. Ein Zugriff auf Deine Daten ist ohne das FileVault-Passwort nicht möglich. Auch die genannte Passwortwiederherstellung erfordert das Entsperren des verschlüsselten Laufwerks, Deine Daten sind sicher.

Ist das FileVault Passwort nicht = Benutzerpasswort? oder ist damit der Wiederherstellungsschlüssel gemeint? Schaltet sich VileFault vorm booten dazwischen und hat eine gesonderte Passwortabfrage? Das ist der Punkt den ich nicht verstehe. Wenn das das selbe Passwort ist, dann kann ich dieses ja über den Terminal (irgendwas mit Apfel + R beim booten und dann Terminal öffnen, weißt sicher was ich meine) wieder zurück setzen, so wie ich das jetzt gesehen hab, dadurch vergibt man n neues Passwort und man greift ganz normal als Benutzer zu. So zumindest ist mein denken. Das müsstest du mir bitte nochmal erklären.

Zum anderen wäre da eben das Problem dass ich sehr lange Passwörter benutzen. 1-2x bei der Anmeldung eingeben ist kein Problem aber ständig weil man irgendwas an den Einstellungen schrauben will, is schon etwas nervig. Daher die Frage ob man getrennte Passwörter für die Anmeldung/Filevault und Benutzerpasswort nutzen kann.

Nochmal sorry für die Fragen, für euch sind die wahrscheinlich echt dumm aber bin komplett neu in der Mac Welt.

 

[NorbertM]

wie groß soll ich "BLÖDSINN" schreiben, damit Du das akzeptierst?

Wie lange würde es dauern, seine TrueCrypt-Container mit 30-stelligem Passwort zu entschlüsseln?

Die Frage ist durchaus ernst gemeint, ich setze es nämlich auch ein. Habe allerdings auch keine besonders sicherheitsrelevanten Daten.

 

[Macbeatnik]

Der Dieb kann deine Festplatte, die mit filevault verschlüsselt ist nicht so einfach öffnen, indem er das benutzerpasswort ändert, bis dahin kommt er gar nicht, da dafür je nach genutzten System verschiedene Bedingungen erfüllt sein müssen, entweder der Wiederherstellungsschlüssel ( Lokal oder bei Apple gespeichert) muss bekannt sein oder über deinen iCloud Account.
Bei aktivierten filevault musst du beim Systemstart 2x Passwörter eingeben, die Freischaltung der Festplatte ( Filevault) und die benutzeranmeldung anschließend, von da an, solange der Rechner läuft sind dann für Entschlüsselung keine weiteren Passwörter nötig und nur bei einigen systemnahen Aktionen muss dann in Ausnahmefällen noch das benutzerpasswort eingegeben werden.

 

[Wuchtbrumme]

Weiß ehrlich gesagt nicht was du mir damit sagen willst, sorry!

Ein Macbook ist schwerer als 300g? ... ok, weniger kryptisch: Du musst einen guten Rücken haben, wenn Du an einem normalen Couchtisch mit einem Notebook in zusammengekrümmter Haltung arbeiten kannst. Und Du musst noch deutlich kräftiger als ich es bereits bin sein, wenn Du das Notebook liegend in die Luft hebst und daneben noch gleichzeitig schwebend die Tastatur tippst. Das ermüdet! Ich finde, arbeiten sollte man einem Schreibtisch mit ergonomischer Beleuchtung/Anordnung, in wechselnden Positionen (stehend/sitzend). Wenn man auf der Couch lümmelt, dann will ich nicht arbeiten, sondern nur ein wenig surfen oder kurz was nachschlagen, dafür hat es ein Tablet oder das Smartphone.

Ist das FileVault Passwort nicht = Benutzerpasswort?

liest Du überhaupt, was ich schreibe? Ich habe doch highlevel den Ablauf beschrieben. Da steht doch eindeutig was von "zur Entschlüsselung berechtigten Benutzern". Damit ist es doch klar!

ist damit der Wiederherstellungsschlüssel

den erkennst Du, wenn Du ihn siehst. Du wirst Dir 30stelliges Truecrypt-Passwörter zurückwünschen.

Schaltet sich VileFault vorm booten dazwischen und hat eine gesonderte Passwortabfrage?

ja, aber keine, die Du beeinflussen kannst. Wie der Ablauf ist, habe ich oben beschrieben, lies es bitte.

Wenn das das selbe Passwort ist, dann kann ich dieses ja über den Terminal (irgendwas mit Apfel + R beim booten und dann Terminal öffnen, weißt sicher was ich meine) wieder zurück setzen, so wie ich das jetzt gesehen hab, dadurch vergibt man n neues Passwort und man greift ganz normal als Benutzer zu.

Die Festplatte ist verschlüsselt, Deine Daten sind sicher. Die Passwortwiederherstellung funktioniert nur mit entsperrter Festplatte. Da Du das Kennwort nicht hast, kannst Du die Festplatte nicht entschlüsseln, was Du aber tun müsstest, um das Kennwort zu ändern. Jetzt klar?

Zum anderen wäre da eben das Problem dass ich sehr lange Passwörter benutzen. 1-2x bei der Anmeldung eingeben ist kein Problem aber ständig weil man irgendwas an den Einstellungen schrauben will, is schon etwas nervig

ok, dann lass es mich anders formulieren: Das ist der Weg, den Benutzer zu dressieren, nicht ständig an den Einstellungen rumzuspielen. Das Macbook ist dazu da, zu arbeiten, nicht, abzustürzen.

Nochmal sorry für die Fragen, für euch sind die wahrscheinlich echt dumm aber bin komplett neu in der Mac Welt.

kein Problem, wenn Du nur auf der Leitung stehst. Aber nicht lesen ist was anderes als nicht verstehen.

Wie lange würde es dauern, seine TrueCrypt-Container mit 30-stelligem Passwort zu entschlüsseln?

https://www.pcwelt.de/news/Truecryp...t_Passwort_in_Rekordzeit-Achtung-8169611.html
noch nie ausprobiert, außerdem gab es noch 2014 wahrscheinlich neuere Versionen - aber die Entwicklung bleibt ja nicht stehen. Ich bin auch nicht wirklich in diesem Bereich der IT-Sicherheit unterwegs, sodass ich da keine wirklichen verlässlichen Quellen kenne. Aber wenn eine sicherheitsrelevante Software seit 2014 keine Updates mehr bekommen hat, dann ist das kritisch. Und an die Oberfläche kommt auf dem Level ja eh nur, was öffentlichkeitswirksam ist - und nach 2014 und dem Ende der Entwicklung gab es von Seiten der Medien schon kein besonderes Interesse mehr.

Wie ich schon geschrieben habe: Sicherheit wird immer im Kontext der aktuellen technischen Machbarkeit betrachtet werden müssen. Insofern kann es nur meine Einschätzung geben. Oder noch anders ausgedrückt: Für mich als Firmenjustiziar wäre die Verwendung von TrueCrypt von einem verantwortlichen IT-Leiter eine Abmahnung wert, bei einem sicherheitsrelevanten Vorfall auch eine fristlose Kündigung.

 

[NorbertM]

Danke, diese Diskussion habe ich damals verfolgt, war für mich aber kein Grund das System zu wechseln. Fünf Tage für ein einfaches 8-stelliges Passwort und das bei massivem Hardwareeinsatz, da sind die Daten des TE vermutlich ausreichend abgesichert.

 

[arelaos]

Vielen lieben dank für die Antworten.
Meine Fragen sind soweit alle geklärt und die Sache mit TrueCrypt ist nunmal so ein Ding. Im Endeffekt wird wohl kein normaler Dieb die Mittel dazu haben, um ein über 30 Stellen langes Passwort noch in diesem Jahrhundert knacken zu können. Nichtsdestotrotz werde ich mir VeraCrypt mal anschauen und evtl. abwägen ob ich TrueCrypt, wie viele andere, weiterhin vertraue oder ob ich wechsel.

Dem Kauf meines MacBook Pro steht wohl nichts mehr im Weg.

Schönen Tag noch!