Gibt es denn beim Filevault keine Preboot Authentication (PBA)? So wie bei SafeGuard Easy oder beim Bitlocker von Windows Vista?
Da muss man ein Passwort eingeben, welches erst den Zugriff auf den Schlüssel freischaltet, bevor der Rechner gebootet wird. IMO in diesem Fall die einzig sichere Alternative.
Für OS X gibt es das nicht. Und sicher ist das System auch nur dann, wenn die Hardware (also enteweder FDE-Drives die hardwareverschlüsselt arbeiten - nicht für Macs weil EFI, oder mit TPM wie BitLocker im advanced modus) den Schlüssel verwaltet. Softwarelösungen zur Fulldiskencryption halten den Schlüssel wiederum im RAM (wo sonst) und sind daher ebenso hilflos wie FileVault gegen diesen Angriff.
Vor ein paar Jahren wollte ich mal eine Software kaufen, die mir Passwörter verschlüsselt auf PocketPC (oder evtl Palm, was dann noch länger her sein würde) speichert. Da konnte ich kein US Produkt kaufen, weil die Verschlüsselungstechnik nicht exportiert werden darf.
Das ist Geschichte.
Du wirst mir doch zustimmen, dass es sich da um zwei paar Schuhe handelt. Remote-Zugriff, der jeden treffen kann, der sich das Ding einfängt oder halt Zugriff, der mit einem Einbruch in deine Wohnung einher geht.
Erstens musst Du nicht zwingend eine Hausdurchsuchung ansetzen. Ein Diebstahl des MB im S3 oder ein Einbruch während Dein MB läuft würden reichen.
Zweitens ist ein Staat, der einen Bundestrojaner gegen seine Bevölkerung loslassen will und der verdachtsunabhängig seit Jahresbeginn speichert: Wer hat mit wem telephoniert? Wie lange? Wo waren die Personen? Welche SMS wurde verschickt? Wie war der Inhalt? Wer hat wem eine Email geschrieben? Wie waren die Betreffe? Welche IP-Adressen wurden verbunden? 6 Monate lang. Solch ein System hat bei mir kein Vertrauen. Soziologe wurde verhaftet weil er im Google ein paar "böse" Begriffe wie Geriatrifizierung gesucht hatte. Der hätte vorher wohl auch gesagt, wie wenig er sich von einer Hausdurchsuchung bedroht fühlt. Heute wäre er wohl anderer Meinung, ebenso wie die G8-Gipfelgegner, die fast in Massenabfertigung hausdurchsucht wurden...
Ja, aber man kann es da auch übertreiben. Mauerst Du demnächst auch deinen Rechner im Keller ein? Wo hört das auf? Merkst Du nicht, dass Du durch den Versuch Deine Freiheit zu schützen Dich selbiger beraubst? Das ist wie bei allen Sachen im Leben. Man muss den Preis mit dem Nutzen aufwiegen.
Die Freiheit WURDE mir schon genommen. Es liegt im individuellen Wahrenehmen, was für Dich Übertreibung ist und für mich notwendig. Allerdings nutzt das alles nichts gegen diesen Angriff, da hilft nur ein ausgeschalteter Rechner und damit ist jede Freude an vergnüglichem Computing verstorben.
Hmm beim Macbook könntest du die Schrauben (also die für die RAM Abdeckung) mit Loctite fixieren, das hält den Datenklauer schon mal auf. Generell denke ich aber, dass es schwer sein dürfte, den RAM richtig runter zu kühlen, ohne ihn so spöde zu machen, dass er beim Ausbau beschädigt wird.
Schaut nicht so aus. Die lassen sich auch mit flüssigem Stickstoff kühlen ohne kaputt zu gehen.
Zur SW Seite noch eine Frage. Würde dir TrueCrypt im Vergleich zu FileVault helfen?
Nein. Gleiches Problem: Passwort im Speicher. Nebenbei ist TC ziemlich unpraktikabel, um heutzutage Daten abzusichern ist mindestens eine Verschlüsselung des gesamten Homedirectories nötig.
Und Du meinst nicht, dass Du genau mit diesem Punkt den Paranoia-Gedanken unterstreichst?! Du zershredderst Rechnungen, da personenbezogene Daten auf ihnen sind?! Glückwunsch, dann musst Du nur noch ganz schnell nach der Bestellung der Pizza deren Computer knacken, und Deine Rechnung da auch löschen...
Du solltest Dich mal mit Dumpsterdiving befassen. Naturgemäß habe ich keine Sorge, dass der Pizzalieferant etwas mit meinen Daten tut, es geht IMMER um den Schutz gegen Dritte. Und ganz einfach: Es geht NIEMANDEN etwas an, was ich bestellt oder gegessen habe.
Sorry, aber DAS ist dann doch eher der Beweis dafür, dass Du mit Deiner Theorie zwar recht hast, aber bei der Umsetzung und der Einschätzung der Gefahr ein wenig über das Ziel hinaus schießt...
Sicher ist eine Pizzarechnung nicht meine oberste Sorge. Aber es fällt in meinen Aktionsbereich, das Profil minimal wie möglich zu halten. Schadet nicht. Hätte ich "Kontoauszüge" schreiben sollen um der unsinnigen Wertrelationsdiskussion zu entgehen? Kreditkartenabrechnungen? Verständlicher?
SilentCry, du hast auf der ersten Seite auf die Reaktion das es keine absolute Sicherheit gibt geantwortet das dein Ziel nur die Zugriffsmöglichkeit für Befugte ist, gut, aber woran unterscheidet sich die beiden Dinge?
Sollte mich die NSA oder der Mossad oder die Alkaida eines Tages als Person proaktiv für eine Bedrohung halten, sollen sie mich töten (lassen). Meinetwegen, davor fürchte ich mich nicht. Aber meine Daten bekommen sie nicht. Auch können gerne im Jahre 43002 Quantencomputer meine Cryptocontainer decodieren, da bin ich längst zu Staub zerfallen, auch da brauche ich keine "absolute Sicherheit".
Ich glaube, Ihr erkennt die Dramatik und die Brisanz nicht. Im Überwachungseuropa, unter dem Paradigma des Präventivstaates, ist JEDER ein potentielles Ziel unverhältnismäßiger Begehrlichkeit eines reaktiven Beschlagnahmeprozesses. Es gilt den 99.99999% der möglichen Fällen der Wegnahme von Computerhardware so zu begegnen, dass der Angreifer keinen Zugriff auf die Daten erlangt. Dieses Prinzip hilft bei staatlichen wie nichtstaatlichen Verbrechern, die sich Zugang zum m.E. notwendigen rechtsfreien Raum (nämlich Gedanken und Daten) verschaffen wollen.
sorry, aber wenn ich sowas lese "etwas zu verbergen..." dann krieg' ich "so einen Hals".
.
