Seit Herbst 2008 ist PGP Whole Disk Encryption (PGP WDE) endlich auch für den Mac erhältlich. Die Anwendung ermöglicht das vollständige Verschlüsseln der Systemfestplatte anstatt wie FileVault von Mac OS X lediglich das Benutzerverzeichnis in einem verschlüsselten Sparse Bundle unterzubringen. Leider hat Sicherheit durch Verschlüsselung ihren Preis, insbesondere in der Form von Verlust an Systemleistung. Für das MacBook Pro (MBP), mit dem ich täglich arbeite, ergibt der Vergleich mittels Xbench 1.3, eine Leistungseinbusse von rund 25 Prozent …
… diese Leistungseinbusse resultiert fast ausschliesslich aus einem massiven Verlust an Leistung der Festplatte, die gemäss Xbench durch die Verwendung von PGP WDE nur noch etwa halb so viel Leistung erbringt wie ohne PGP WDE …
… Prozessorleistung und sonstige Leistungswerte hingegen werden gemäss Xbench durch PGP WDE nicht relevant beeinflusst, jedenfalls nicht im Rahmen der Messung von Xbench. Diese Messergebnisse stimmen mit einem subjektiven Empfinden überein, das heisst mein MBP verliert bei Verwendung von PGP WDE jeweils dann spürbar an Leistung, wenn die Festplatte intensiv genutzt wird.
Immerhin: Mein MBP läuft mit PGP WDE dank einer schnellen Festplatte, die ich nachträglich einbaute, nicht langsamer als mit der ursprünglich von Apple verbauten Festplatte! 
Dennoch wäre es selbstverständlich erfreulich, wenn eine hohe Festplattenleistung und das vollständige Verschlüsseln der Festplatte gleichzeitig möglich wären … 
Du kannst nicht alles haben
Allerdings hätte ich vermutet, dass es eben auf den Prozessor geht und nicht auf die Festplatte. Irgendwie leuchtet mir das nicht so ein. Oder ist der Prozessor dann bei 100% und die Festplatte ist nicht der Flaschenhals?
Liegt es eventuell am Swapping? Könnte man das in OSX abschalten? Bei 4GB RAM könnte ich wohl meist drauf verzichten.
Aber wenn der Speicher noch frei ist, dann sollte das doch eigentlich problemlos funktionieren. Xbench betrachtet wohl die Lesegeschwindigkeit der Festplatte, und irgendwas scheint da zu verlangsamen…
Die c’t kam in Ausgabe 2008/25 übrigens auf ähnliche Ergebnisse, wobei die Messungen dort mit TrueCrypt unter Microsoft Windows durchgeführt wurden:
P.S.: Es gibt keine Testversion von PGP WDE, aber PGP WDE ist in der Testversion von PGP Desktop enthalten, die man via https://woext.pgp.com/cgi-bin/WebObjects/Trial.woa?accept=on beziehen kann. Nach der Installation sollte man die Messaging-Funktionen von PGP Desktop deaktivieren, ansonsten spielt Apple Mail verrückt …
Gibt es freie Alternativen, um unter OSX sein ganzes / zu verschluesseln?
@trash:
Mir sind keine bekannt.
Es gibt durchaus alternativen zu PGP:
http://www.winmagic.com/produc.....on-for-mac
http://www.checkpoint.com/prod.....index.html
Aber fragt nicht nach den Preisen….
Vielen Dank für den Hinweis!
Leider handelt es sich nicht um freie Alternativen, interessiert bin ich aber dennoch … ohne findet sich bedauerlicherweise kaum etwas an Informationen zu diesen beiden Anwendungen und ihrer Mac-Tauglichkeit.
TrueCrypt kann WDC unter Windows, unter Mac OS geht es noch nicht.
Aber unter Linux geht es mit dm-crypt, von daher sollte es doch eigentlich auch für OS X funktionieren, vielleicht kann man das ja portieren oder es läuft direkt schon.
… noch nicht? AFAIK basiert TrueCrypt für den Mac momentan auf MacFUSE, womit keine vollständige Verschlüsselung der System-Festplatte möglich ist. Im Übrigen bin ich gegenüber TrueCrypt skeptisch, die Entwicklung ist nicht transparent und offen genug.
… wobei fraglich ist, ob Apple dm-crypt zum Mac OS X-Kernel hinzufügen möchte. Mit FileVault zeigt Apple, dass Datensicherheit durch Verschlüsselung keine hohe Bedeutung zugemessen wird.
Achso, dm-crypt ist eine Kernel Extension, für die man Kernel neu kompilieren müsste, also die Quellen haben müsste? Das wäre natürlich super so…
>Im Übrigen bin ich gegenüber TrueCrypt skeptisch,
>die Entwicklung ist nicht transparent und offen genug.
Wie kann dann PGP die Lösung sein? PGP ist closed source, TrueCrypt ist immerhin Open Source…. Mir ist da Truecrypt oder encfs lieber, aber leider gibt es keine gute Methode das gesamte Benutzerverzeichnis zu verschlüsseln, daher schlage ich mich mit FileVault rum.
Encfs: http://www.chuckknowsbest.com/ikrypt/
Truecrypt: http://www.truecrypt.org/
Grüße
Sebastian
Der Vollständigkeit halber: Es gibt «encfsvault», aber wie gut das ist, weiß wohl keiner, oder?
http://code.google.com/p/encfsvault/
Für PGP sind die Quelltexte durchaus verfügbar:
http://www.pgp.com/developers/sourcecode/
Allerdings nützt mir «Open Source» per se wenig – ja, es handelt sich bei Verschlüsselung um eine wichtige Grundvoraussetzung, aber selbst überprüfen kann ich den Quelltext nicht. Wie sieht es mit dem Überprüfen bei TrueCrypt aus? Gibt es dazu publizierte Gutachten usw.?
Als Anmerkung, warum Vollverschlüsselungen üblicherweise die Festplatte aus-
bremsen: Das tun sie m.M.n. nicht!
Die durchgeführten Messungen verschleiern die ursächlichen Auslöser des Problems. So gesehen siehst du nur die Symptome, nicht den wahren Grund:
Während bei einem nicht verschlüsselten System üblicherweise Daten durch die
CPU angefordert, dann per Chipsatz nebst DMA-Kanal weitgehend autark in den
RAM (und damit in die CPU bzw. ihre lokalen Caches) befördert werden, muß
nun jeder Sektor seperat nachbearbeitet werden, das betrifft jeden I/O-Prozess.
Da es sich bei Intelprozessoren wie dem Core2 um eine Architektur ohne eigenen Speichercontroller handelt, macht sich das hier besonders stark bemerkbar. Daher scheint es so, als wäre die HDD die Ursache, aber bei nüchterner Betrachtung kann das logischerweise nicht stimmen: Der HDD sind die ART der gespeicherten Daten egal – ganz gleich, wie der Block aufgebaut ist, ganz gleich von welcher Art das Filesystem ist – ja, und letzten Endes auch
unabhängig davon ob die Daten nun verschlüsselt sind oder nicht.
HDD’s sind so gesehen “dumm” – sie bekommen die Anfrage entspr. Sektoren
einzulesen bzw. zu schreiben. Das setzen sie um, unabhängig vom Dateninhalt.
Auf der anderen Seite: AMD Prozessoren mit integriertem Speichercontroller
als auch neuere Intelprozessoren mit Speichercontroller auf der CPU-Die sollten solche Vollverschlüsselungen schneller bearbeiten können – und das hab ich auch schon durch Tests nachvollziehen können.
Das die Prozessorlast gering ist, ist also nur logisch: Die eigentlichen Algorithmen zur Verschlüsselung beanspruchen (gerade bei AES) moderne Prozessoren nur sehr gering (was auch einer der Gründe für Rijndaal als AES Standard war), der Flaschenhals ist der Bus! Bei neueren Systemen fällt dieser
Nachteil mehr und mehr weg. Übrigens ist das auch der Grund warum oftmals
Notebooks im Nachteil sind, das wird sich aber auch mehr und mehr relativieren.
just my 2cent, vielleicht konnte ich mit dem Beitrag da ein wenig hilfreich sein.
Jedenfalls läuft ein Mac mit vollständiger Systemverschlüsselung langsamer als ohne … :(
Der Einfluss von PGP WDE ist dramatisch!
Nach der Installation war es nicht so dramatisch, aber im Vergleich! Wieso ich das weiss? Ich musste PGP WDE entfernen damit ich Snow Leopard testen konnte. Mein altes System lief auf einer externen Platte weiter. Nach dem Test von Snow Leopard installierte ich mein gespiegeltes System wieder auf mein MacBook, also gleiches System wie vorher. Aber viel viel schneller, ein richtiges Wow-Erlebnis! Spotlight reagierte wieder sofort. Mail startete einfach so. Firefox hängt viel weniger häufig. Und noch besser: Time Machine blockiert nicht mehr Spotlight wenn ein Backup läuft!
Dumm nur, dass ich PGP WDE wieder installieren muss. Ich Armer!!!
Ich kann Deine Beobachtungen bestätigen, wobei der Leistungsverlust je nach System unterschiedlich ausfällt – aber er besteht und ist nicht marginal. Für den Benutzer zählt im Ergebnis, dass sein System langsamer läuft, woraus das Problem letztlich resultiert, ist für den Benutzer weniger wichtig.
Ist das immer noch so extrem mit den Daten ? Ich überlege ernsthaft mir PGP zu kaufen.
Ja, je nach Nutzung … bei alltäglicher Nutzung stört mich PGP WDE nicht.
(Hingegen könnte bald einmal gegen PGP WDE sprechen, dass PGP von Symantec kürzlich gekauft wurde …
)
Das habe ich auch gelesen, das spricht dagegen, aber es gibt keine Alternative.
Ist das nur unter Mac so extrem, oder auch unter Windows ? Kann man die Lizenz auf Win und Mac nutzen, wie man will ? Oder kauft man die Win oder Mac Version ?
Aus heutiger Sicht halte ich PGP WDE für die beste Möglichkeit um einen privaten Mac vollständig zu verschlüsseln.
AFAIK gibt es keine gemeinsame Lizenz für die Mac OS X- und Microsoft Windows-Versionen von PGP.
Hm, ok. Denn es steht beim Kauf, (Win,Mac,Lin), daher dachte ich, dass es auf allen läuft.