Ich glaube weder noch. Ich denke es steht auf Apples Mac OS X Leopard Update Roadmap dies nachzubessern.
Bei der Firewall besserte man auch sehr schnell nach.

Wobei ob man dort von einer Verbesserung sprechen kann, sei mal dahingestellt

Aber das führt nun auch zu weit und ist obendrauf noch OT

- kein DES mehr benutzen
- kein 3DES benutzen
- symetrische Schlüssel auf 256 Bit (AES, Blowfish, …)
- asymetrische RSA-Schlüssel auf 2048 Bit

PS
Einer privaten Organisation ist das Knacken eines DES auch schon in etwas weniger als einem Tag gelungen. Das nur zur Korrektur.

“RSA ist ein asymmetrisches Kryptosystem, das sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden kann. ”
Und, bezogen auf RSA 1024:
“Als sehr sicher eingestufte Algorithmen zur symmetrischen Verschlüsselung gelten 3DES und AES. Diese verwenden 112, 128, 168 oder maximal 256 Bit. Dies entspricht bei 256 Bit ca. 77 Dezimalstellen. Damit ist ein Brute-Force-Angriff faktisch auszuschließen. ”

3DES und AES sind also Algorithmen, die in RSA 1024 zum Einsatz kommen. Wobei 3DES und AES die Nachfolger von DES sind.

“Die Schlüssellänge von 3DES ist mit 168 Bits dreimal so groß wie bei DES (56 Bits), wodurch die Schlüsselkomplexität um den Faktor 2 hoch 112 gesteigert wird. Die effektive Schlüssellänge liegt aber nur bei 112 Bits, bedingt durch die Möglichkeit der sogenannte Meet-in-the-middle-Angriff. Ist diese einem Angreifer nicht möglich, so liegt die Schlüssellänge bei 168 Bit. 3DES wird momentan als ähnlich sicher wie moderne Verschlüsselungsverfahren bei 128 Bits Schlüssellänge angesehen. ”

Also ich glaube das einfach mal. Im Jahr 2006 wurde DES zum dritten Mal geknackt, der verwendete Rechner benötigte 9 Tage dazu. Zum Knacken von 3DES würde er also 9 * 2 hoch 112 Tage benötigen. Das sind 131.265.931.816.891,7 * 1.000.000 * 1.000.000 * 1.000.000 Jahre.

Wenn wir von einer Verdoppelung der Rechnerleistung bei gleichzeitiger Halbierung der Kosten alle 1,5 Jahre ausgehen, wird das reichen bis OS X 10.6 raus kommt.

Außer mit irgendwelchen Gruppenrichtlinien, falls der Mac OS X Server so was parat hält.
Man müsste Ordner umleiten oder nur bestimmte Bereich für die Dateiablage bereitstellen.
Alles in allem sehr aufwändig.

Ich spreche aus Erfahrung.
Von daher sollte man seine User aber trotz allem drauf hinweisen wichtige Daten im Netzwerk abzulegen.
Sie halten sich aber nicht mehr dran. Wenn sie sich nicht dran halten und das Notebook kommt abhanden, kann ich als Admin dank Bitlocker und SafeGuard auch nachts ruhig schlafen

Studien über Schäden durch verlorene Notebooks etc. gibt es ja.

Wie kann ein Mac-Admin überhaupt gewährleisten, dass alle zu schützenden Daten wirklich geschützt sind?

Mir sind für den Mac keine Verschlüsselungslösungen bekannt, die das gesamte System verschlüsseln. Insofern steht ein Mac-Administrator hier vor einem Problem, denn seine Möglichkeiten beschränken sich auf FileVault oder verschlüsselte Disk Images … und die Hoffnung, dass zu schützende Daten diese verschlüsselten Bereiche niemals verlassen …

PS
Wie kann ein Mac-Admin überhaupt gewährleisten, dass alle zu schützenden Daten wirklich geschützt sind?
Das ging mir gerade durch den Kopf.

Bei SafeGuard und Bitlocker, was wird hier verwenden, mache ich mir, ehrlich gesagt, keine Gedanken.

Zum AES-Hype, 128Bit sollte schon ausreichend sein, aber selbst MS verwendet für Bitlocker 256Bit.

AES-128 mögen ausreichen, aber RSA-1024 und 3DES mit effektiven 112 Bit sind heikel. Daneben stellt sich auch die Frage, wieso AES-256 nicht als Option angeboten wird, analog zu den gewöhnlichen Disk Images … Microsoft, Utimaco, usw. sind dazu ja bei ihren Verschlüsselungsprodukten auch in der Lage.

Utimaco konzentriert sich im Kerngeschäft inzwischen nur noch an größeren mittelständischen Unternehmen. Kleinere Mittelständler, die auch schützenwerte Daten haben und Vista nutzen wollen, bleiben bei Utimaco außen vor.

Microsofts BitLocker werkelt zusammen mit TPM.

Man kann mehrere Stufen kombinieren:

1. TPM + Windows-Kennwort
2. TPM + PIN + Windows-Kennwort
3. TPM + PIN + USB-Dongle + Windows-Kennwort.

Am Pratikabelsten ist Variante 1. Sichere Kennwörter sind ein Muss. Steuert man unter Windows via Gruppenrichtlinien.
Ebenso kann man einstellen, dass nach paar Anmeldeversuche das Konto gesperrt wird.

Eine PIN würde man aufschreiben. Ebenso würde man den USB-Dongle in Notebook Nähe haben.

In den Apples ist doch ein TPM. Ich frage mich, wieso Apple diesen nicht nutzt.

@MacMacken:

Zum AES-Hype, 128Bit sollte schon ausreichend sein, aber selbst MS verwendet für Bitlocker 256Bit.

Bis die Rechner so schnell sind, dass AES 128 mit vertretbarem Aufwand geknackt werden kann, haben wir und Apple noch ein paar Jahre Zeit.

Stimmt vermutlich, aber das Problem an FileVault ist nicht primär die Verwendung von AES-128 (statt auch AES-256 wie in gewöhnlichen verschlüsselten Disk Images), sondern die RSA 1024-Verschüsselung des Schlüsselbundes mit dem Hauptkennwort … AES-128 mag noch sicher sein, die Verwendung von RSA 1024 sowie 3DES mit effektiven 112 Bit wirft aber Fragen auf … hinzu kommen auch noch Probleme mit der Entropie …

Einen Blogeintrag über die Schwächen von FileVault habe ich mir vorgemerkt, hoffentlich finde ich noch in diesem Jahr Zeit dafür!

Letztlich ist die Verschlüsselung immer so sicher wie das Passwort. Wer verwendet schon ein (Anmelde!-)Passwort mit 10 bis 20 Buchstaben, Zahlen und Sonderzeichen?

Hoffentlich jeder, ist ja schnell eingetippt …

Wirklich sicher fände ich eine Verschlüsselung der Festplatte, aber ohne Passwort, sondern über ein Zertifikat auf Karte, das mittels einem Lesegerät _und_ einem Passwort beim Start die Festplatte entsperrt. Wenns das gibt, dann können wir uns über die Bits unterhalten

Siemens hat übrigens schonvor mehr als einem Jahr eine derartige Karte für PCs (auch Mac!) entwickelt, auf der ein Zertifikat, das Anmeldepasswort und der Schlüsselbund gespeichert werden konnte; ich habe einen Prototyp in Aktion gesehen. Leider haben sie sich entschlossen, das nicht zu vermarkten. Keine Ahnung warum.

Konkurrenz? Ich muss mal nachsehen, von welchem Hersteller die Smartcard in meinem Microsoft Windows-Notebook stammt …

http://www.heise.de/ct/02/21/038/

“Zum anderen sind 2 hoch 100 Rechenschritte eine utopisch große Zahl. Ein aus GHz-Pentium-Prozessoren aufgebauter Rechen-Cluster, der diese Arbeit binnen eines Jahres schaffen sollte, hätte einen Stromverbrauch von vielen Millionen Gigawatt, was viele Größenordnungen über der Weltenergieproduktion liegt. Die genannten Angriffe sind also rein akademischer Natur.”

Bis die Rechner so schnell sind, dass AES 128 mit vertretbarem Aufwand geknackt werden kann, haben wir und Apple noch ein paar Jahre Zeit.

Ich lasse folgende Argumente gegen FileVault gelten:
- die Auslagerungsdatei ist per Default nicht verschlüsselt (kann aber definiert werden)
- der Ruhe-Modus ist nicht sicher genug
- es wird nicht die gesamte Festplatte verschlüsselt
- es gibt Probleme mit Spotlight
- TimeMachine geht nicht.

Da sollte Apple nachbessern; den Rest halte ich für akademisch.

Letztlich ist die Verschlüsselung immer so sicher wie das Passwort. Wer verwendet schon ein (Anmelde!-)Passwort mit 10 bis 20 Buchstaben, Zahlen und Sonderzeichen? In den meisten Fällen dürfte das Passwort deshalb erheblich leichter zu knacken sein als der Algorithmus.

Wirklich sicher fände ich eine Verschlüsselung der Festplatte, aber ohne Passwort, sondern über ein Zertifikat auf Karte, das mittels einem Lesegerät _und_ einem Passwort beim Start die Festplatte entsperrt. Wenns das gibt, dann können wir uns über die Bits unterhalten

Siemens hat übrigens schonvor mehr als einem Jahr eine derartige Karte für PCs (auch Mac!) entwickelt, auf der ein Zertifikat, das Anmeldepasswort und der Schlüsselbund gespeichert werden konnte; ich habe einen Prototyp in Aktion gesehen. Leider haben sie sich entschlossen, das nicht zu vermarkten. Keine Ahnung warum.

So weit ich weiß, ist doch das Benutzer PW Grundlage der FileVault Verschlüsselung?

@DB: Ja, das ist grundsätzlich richtig, aber setzt man das Benutzerpasswort zurück, kann man darüber das FileVault-geschützte Disk Image nicht mehr entschlüsseln – die Erklärung von Peter ist IMHO korrekt.

In Sachen Verschlüsselung stimme ich Dir aber zu, diesbezüglich ist Microsoft mit Windows nicht erst seit «Vista» ein paar Grössenordnungen weiter als Apple mit Mac OS X … was für mich insofern erstaunlich ist, als dass Apple im Notebook-Markt stark ist und gerade Apple-Notebooks ein lohnenswertes Ziel für Diebe sind …

So weit ich weiß, ist doch das Benutzer PW Grundlage der FileVault Verschlüsselung?

Wenn ich da in Richtung Redmong sehe und an Bitlocker denke…
Übrigens bringt Bitlocker, in der einfachsten Absicherungsstufe via TPM und Windows Kennwort, schon wirklich sehr viel Schutz.

Sichert File-Vault eigentlich die Benutzerdatenbank auch?
Also Mac OS X Start CD rein, hochfahren davon und Kennwort zurücksetzen.

Ich glaube nicht oder? Die Benutzerdatenbank liegt an einer anderen Stelle.
Bin mir aber nicht sicher.

Bei Windows heißt das Ganze ja SAM und liegt bei Verwendung von Bitlocker eh im verschlüsseltem Bereich.

Schweizer?

Ja, Eszett gibt’s hier schon länger nicht mehr …

Da lob ich mir das Apple Keyboard mit Kabel. Da brauch ich mir wenigstens keinen Kopf über solche Fragen zu machen… =)

… ja, jedenfalls ist das Belauschen von Tastaturen mit Kabel nicht ganz so trivial wie bei der kabellosen Datenübertragung. Van Eck-Phreaking bleibt aber natürlich möglich, aber eben, nicht ganz trivial …