Wenn jemand weiss, was in einer gecrypteten Datei drinnen steht, kommt er damit vielleicht auch an den Key.

Ist das nicht verheerend, wo man doch immer von einigen Standarddateien weiss, was sie enthalten?

Das Tool ist nach der Installation für dich nicht wirklich warnehmbar. Du musst nur einmalig etwas in die Konsole tippern. Danach läuft encfsVault im Hintergrund. Wenn du dich einloggst, werden die Dateien entschlüsselt.

Du kannst auch andere Dateien mit EncFS verschlüsseln. Das ginge dann über MacFuse und über die GUI MacFusion. Super einfach und unkompliziert.

Vorteil bei EncFS ist, dass das Ganze kein Container ist, der wie z.B. bei Truecrypt eine feste Größe hat. - Es wächsts halt mit. Nachteil ist jedoch: Die Metadaten der Dateien sind erkennbar. Sprich: Größe, Erstellungsdatum, Änderungsdatum usw. Der Dateiname und der Inhalt ist aber geschützt. Das Ganze bietet halt einen Angriffsvektor auf den Algorithmus. Wenn jemand weiss, was in einer gecrypteten Datei drinnen steht, kommt er damit vielleicht auch an den Key.

Aber ansonsten: EncFS ist gut, und EncFS Vault läuft bei mir ohne Probleme. Time Machine nutze ich nicht (wozu gibts rsync?), aber ich denke, dass TM keine Probleme mit Inkrementellen Backups haben sollte.

TM müsste damit allerdings problemlos zurechtkommen, weil es sich an den Veränderungen orientiert, richtig?

Gruß
jan

Probierts aus. Einen kleinen Erfahrungsbericht gibts in meinem Blog.

http://browsergames.org/blog/e.....eine-daten

viel Spaß!

Ich bin seit einigen Tagen mit meinem 12″ G4-ibook (1.2 GHz; 1,26 GB RAM) TM-Nutzer, sichere allerdings auf “Knopfdruck” (”Backup jetzt erstellen”) und habe TM sonst ausgeschaltet. Jetzt würde ich gerne FileVault nutzen (hab ich bislang noch nicht). Nach Euren hilfreichen Erfahrungsberichten hab ich für mich folgendes Nutzungsprofil überlegt und würde gerne Eure Einschätzung erfahren, ob’s so funktionieren kann:

FileVault ist aktiviert, TM ist aus. Gegen Arbeitsende sichere ich manuell mit “Backup jetzt erstellen”. Die Daten werden unverschlüsselt auf meine externe FP übertragen (bin ja eingeloggt). Oder ist hier mein Denkfehler: Das geht gar nicht — einzige Backup-Möglichkeit ist nur noch mit TM “ein” und mich als Nutzer ausloggen?

Mir würde es nämlich reichen, die ibook-Daten auf dem Rechner (Nutzerverzeichnis) zu verschlüsseln, aber zu Hause unverschlüsselte Backups zu haben.

Dank Euch
Gruß
jan

Will mich in erster Linie Herzlich Bedanken, für diese sehr Aufschlußreichen Anmerkungen, und auch teils Kommentare.

Ein entspanntes und vor allem “Verständliches” Pro und Kontra!

Danke

Ich verstehe nicht ganz, wozu eine “Full-Disk”-Verschlüsselung gebraucht wird. Meines Wissens trennt OSX doch recht gut zwischen System- und Nutzerdaten. Wenn mein Mac gestohlen wird, interessiert mich ja eigentlich nur, dass die Nutzerdaten sicher sind. Und die liegen (hoffentlich) ausschließlich unter /Users/ - und das wird verschlüsselt.

Deine Überlegungen sind grundsätzlich richtig. Die Problematik liegt darin, dass auch bei Mac OS X Benutzerdaten nicht nur im Benutzerverzeichnis gespeichert werden. Hinzu kommen Programm- und Benutzerfehler; Programme können Benutzerdaten fälschlicherweise ausserhalb des Benutzerverzeichnisses speichern, Benutzer können schützenswerte Benutzerdaten versehentlich ausserhalb ihres verschlüsselten Benutzerverzeichnisses ablegen.

Warum sollte ich die Systemdateien (Und Programme) verschlüsseln wollen? Die enthalten nichts interessantes und sind auf jedem System gleich…

Einheitsbrei auch bei den Programmen? Ich hoffe doch nicht, dass auf allen Macs die genau gleichen Programme installiert sind … Auch Programme können schützenswert sein, wobei auf dem Mac ja immerhin die Möglichkeit besteht, Programme im eigenen Benutzerverzeichnis und damit verschüsselt zu installieren.

Weiter enthalten Systemdateien Benutzerdaten, beispielsweise Logdateien oder den virtuelle Speicher. Der virtuelle Speicher kann seit einigen Mac OS X-Versionen immerhin als «sicher» konfiguriert werden, was aber nicht standardmässig geschieht … wer eine ältere Mac OS X-Version verwendet oder den sicheren virtuellen Speicher nicht aktiviert, erlaubt einem «interessierten Dritten» das Auslesen von Passwörtern aus dem virtuellen Speicher.

Dass es unter Windows nötig ist, die ganze Disk zu verschlüsseln, verstehe ich wiederum, weil sich dort kaum jemand daran hält, Nutzerdaten nur im Nutzerverzeichnis zu speichern. Das ist dort leider ‘gewachsene’ Unsitte, weil möglich wäre die saubere Trennung dort sicher auch.

Es handelt sich IMHO nicht um eine Mac OS X versus Microsoft Windows-Thematik – das Sicherheitsproblem mit FileVault und dem virtuellen Speicher ist ein Beispiel dafür. Verschlüsselt man das gesamte System, muss man sich gar nicht erst darum bemühen, dass Benutzer ihre Daten am richtigen Ort ablegen und so weiter, man erspart sich zahlreiche Probleme … Bruce Schneier beschrieb den Nutzen von vollständiger Festplattenverschlüsselung kürzlich wie folgt:

The reason you encrypt your entire disk, and not just key files, is so you don’t have to worry about swap files, temp files, hibernation files, erased files, browser cookies or whatever. You don’t need to enforce a complex policy about which files are important enough to be encrypted. […]

Fazit: Ich wäre froh, wenn auf dem Mac die Möglichkeit bestünde, das System vollständig zu verschlüsseln. Bis dahin nutze und empfehle ich FileVault …

Warum sollte ich die Systemdateien (Und Programme) verschlüsseln wollen? Die enthalten nichts interessantes und sind auf jedem System gleich…

Dass es unter Windows nötig ist, die ganze Disk zu verschlüsseln, verstehe ich wiederum, weil sich dort kaum jemand daran hält, Nutzerdaten nur im Nutzerverzeichnis zu speichern. Das ist dort leider ‘gewachsene’ Unsitte, weil möglich wäre die saubere Trennung dort sicher auch.

http://www.truecrypt.org/future.php

Ob die Daten auf einem Mac nicht schützenswert sind, das kann ich mir nicht vorstellen. Denke eher, dass diese Admins wohl noch nicht begriffen haben wie wichtig Security ist oder vielleicht haben sie sich schon damit abgefunden, dass Apple einfach nichts zur Hand hat.

Daten sind selbstverständlich auch auf einem Mac schützenswert, aber der typische Einzel- und Heimanwender macht sich über die Sicherheit seiner Daten erst Gedanken, wenn es zu spät ist – das ist nicht Mac-typisch, doch werden Macs typischerweise von solchen Anwendern genutzt, im Unternehmensbereich sind Macs ja immer noch die Ausnahme und wo sie geschäftlich eingesetzt werden, handelt es sich meist um Kleinst- und Kleinunternehmen ohne professionelle Administration.

Dazu kann niemand einen Zwingen. Die Tools haben alle samt keine Backdoor, auch nicht Microsofts Lösung.

Letzteres kann man schwierig beurteilen, Ersteres ist aber ein Problem: Rechtlich mag in den meisten Ländern (noch) kein Zwang bestehen, aber wie soll man reagieren, wenn man am Zoll beispielsweise dazu aufgefordert wird?

Lesenswert in diesem Zusammenhang ist http://www.wellingtongrey.net/.....art-i.html (runterscrollen bis etwa zur Frage «Sir, could you log onto your computer?») …

Sehr intolerante Haltung diesen Kunden-Clienté gegenüber.
Als hätten gerade diese Kunden keinen schützenwerten Daten. Utimaco dürfte aus der eigenen Unternehmensgeschichte wissen, dass jeder mal klein anfangt und eigentlich definiert jedes Unternehmen selbst was schützenwert ist und was ist.

Ich kann dich aber beruhigen: Hatte diese Woche ein Gespräch mit einem “Enterprise”-Utimaco Kunden. Dort ist man genauso intolerant.

Naja mir ist es egal. M$ bietet mit Bitlocker eh die besser Lösung

Ob die Daten auf einem Mac nicht schützenswert sind, das kann ich mir nicht vorstellen. Denke eher, dass diese Admins wohl noch nicht begriffen haben wie wichtig Security ist oder vielleicht haben sie sich schon damit abgefunden, dass Apple einfach nichts zur Hand hat.

@ Anonymous

Dazu kann niemand einen Zwingen. Die Tools haben alle samt keine Backdoor, auch nicht Microsofts Lösung.

Es wird dich zwar nicht sehr befriedigen und ich erwähnte es bereits, aber die Verschlüsselungstools aus der Windows-Welt, Safeguard oder Bitlocker, machen genau das, was du hier schmerzlich vermisst.

Ja, genau …

Mir ist es ebenso ein Rätsel, wieso es auf dem gesamten Macmarkt nicht eine solche Lösung. Es schreit ja förmlich nach einer Marktlücke bzw. nach einer guten Geschäftsidee.

… Macs werden in einem geschäftlichen Umfeld, wo Verschlüsselung gefragt ist, kaum genutzt, vielleicht liegt es daran?

Wieso springt eine Softwareschmied nicht auf dieses Boot und entwickelt etwas?
So schwierig wird es ja nicht sein, wenn selbst ein Non-MSler wie Utimaco so was auch kann.

… und auch «gewöhnliche» Microsoft Windows-Benutzer legen kaum Wert auf Verschlüsselung, nicht umsonst zieht sich Utimaco aus dem Markt für KMU zurück.

Die Situation könnte sich ändern, wenn auch PCs per EFI booten würden … solange aber PCs primär noch per BIOS booten, scheitern vermutlich viele Softwarehersteller allein schon an der EFI-Hürde …

Es wird dich zwar nicht sehr befriedigen und ich erwähnte es bereits, aber die Verschlüsselungstools aus der Windows-Welt, Safeguard oder Bitlocker, machen genau das, was du hier schmerzlich vermisst.

Mir ist es ebenso ein Rätsel, wieso es auf dem gesamten Macmarkt nicht eine solche Lösung. Es schreit ja förmlich nach einer Marktlücke bzw. nach einer guten Geschäftsidee.

Wieso springt eine Softwareschmied nicht auf dieses Boot und entwickelt etwas?
So schwierig wird es ja nicht sein, wenn selbst ein Non-MSler wie Utimaco so was auch kann.

http://www.macosxhints.com/com.....;pid=93914