iCloud sichert Ihre Inhalte, indem sie verschlüsselt über das Internet gesendet, in verschlüsseltem Format gesichert und sichere Token zur Authentifizierung verwendet werden.

Nicht verschlüsselt gesichert werden allerdings unter anderem E-Mail und Notizen.

Weitere Informationen zur Sicherheit von iCloud wären wünschenswert, auch mit Blick auf den berühmt-berüchtigten laschen Umgang von Apple mit Sicherheitsfragen. Als aktuelles Beispiel sorgt gerade die Magnet-Sicherheitslücke im iPad 2 für Schlagzeilen …

Bei Tarsnap hingegen ist der Quelltext verfügbar und dank entsprechender Prämien besteht Anreiz zur Suche nach Fehlern im Tarsnap-Quelltext. Entwickler Colin Percival zog kürzlich eine diesbezügliche Bilanz:

So what does $1265 of bugs look like? A handful of serious bugs, and a handful more which are serious but sufficiently obscure that they would likely have gone for years without causing problems; sixty places where code was wrong but in ways which simply didn’t matter; and well over a hundred things which were wrong yet didn’t actually affect the compiled code.

But most importantly, $1265 of bugs gives me the peace of mind of knowing that I’m not the only person who has looked at the Tarsnap code, and if there are more critical bugs like the security bug I fixed in January, they’ve escaped more than just my eyeballs. Worth the money? Every penny.

Schade, dass die oben erwähnten Cloud-Backup-Anbieter auf Werbeversprechen anstelle von nachprüfbarer Sicherheit setzen …

(Genauso schade ist allerdings, dass Tarsnap bislang nicht über eine grafische Benutzeroberfläche verfügbar. Für die meisten Mac OS X-Benutzer dürfte Tarsnap ohne eine solche Benutzeroberfläche nicht in Frage kommen.)

Verschlüsselung ist nur so wirksam wie ihre Implementierung. Aus diesem Grund ist es hilfreich, wenn man den Sicherheitsversprechen von Hardware- und Software-Anbietern nicht vertrauen muss, sondern diese Versprechen überprüfbar sind. «Heise Security» stiess bei einer solchen Überprüfung auf eine mutmassliche «Hintertür im Crypto-NAS von Verbatim»:

Beim Test von NAS-Systemen mit eingebauter Verschlüsselung stolperte heise Security bei Verbatims Powerbay Databank über einen unerklärlichen Zweitschlüssel, den der Hersteller nicht kommentieren wollte.

Leider legen die meisten Anbieter von Hardware, Software oder Diensten mit Verschlüsselung ihren Quelltext nicht offen. Und selbst bei Software mit offenem Quelltext wie TrueCrypt ist Skepsis angesagt … :roll:

Ich nutze die MacMacken-Sommerpause unter anderem um Software zum Synchronisieren von Macs auszuprobieren. In den letzten Wochen nutzte ich Wuala intensiv, nun probiere ich SpiderOak aus. SpiderOak verspricht wie Wuala ein hohes Mass an Sicherheit durch lokale Verschlüsselung, basiert aber nicht auf Java und läuft diskret im Hintergrund – leider vorläufig noch ohne Unterstützung aller Mac-Metadaten.

SpiderOak bietet kostenlos und standardmässig 2 GB verfügbaren Speicher. Wer SpiderOak selbst ausprobieren und ein zusätzliches GB Speicherplatz erhalten möchte, kann sich über folgenden kostenlos und unverbindlich Weblink anmelden – ich erhalte dann ebenfalls ein zusätzliches GB Speicherplatz:

https://spideroak.com/download/referral/0922a5b9bc5162a0597c4b141bfc23c7

+5 GB Speicherplatz für bestehende SpiderOak-Benutzer

Wer als Benutzer bei SpiderOak angemeldet ist, erhält mit dem Promocode «worldbackupday» weitere 5 GB Speicherplatz (in der Anwendung unten in der «Storage Bar» auf «BUY MORE SPACE» klicken und danach beim «Kauf» den obigen Promocode eingeben).

Spartipp

Wer SpiderOak kostenpflichtig nutzen möchte – so weit bin ich noch nicht! – bezahlt mit dem Promocode «safetyfirst» für 100 GB SpiderOak-Speicherplatz pro Jahr nur 80 statt 100 Dollar (momentan rund 56 Euro) und mit dem Promocode «spring» sogar nur 75 statt 100 Dollar (momentan rund 52 Euro) – Letzterer Tipp stammt freundlicherweise von MacMacken-Leser Nico per E-Mail mit Hinweis auf sein Weblog.

Das Erscheinen von Mac OS X 10.7 «Lion» mit vielen bereits von Microsoft Windows bekannten Funktionen – SCNR! – steht unmittelbar bevor. Viele Weblogs veröffentlichen aus diesem Grund Empfehlungen, wie man seinen Mac für die Aktualisierung vorbereiten soll. Für alle, die nicht warten können, bis die ersten gröberen Fehler behoben sind und all ihre Anwendungen wirklich «Lion»-tauglich erscheinen, halte ich zur Vorbereitung nur etwas notwendig, ja für unverzichtbar: Datensicherung!

Bild via «nichewp»-Weblog.

Ich verwende für meine Datensicherung SuperDuper! – die aktuelle Version ist bereits «Lion»-kompatibel und die kostenlose Version genügt um sein bestehendes System als zuverlässige Datensicherung zu klonen. Im Fall der Fälle ist eine solche Datensicherung wesentlich effizienter für die Wiederherstellung als mittels «Time Machine» (oder gar via «Time Capsule») gesicherte Daten. Ausserdem kann man ab Datensicherungen von SuperDuper! bei Bedarf auch direkt starten, das heisst sogar ohne Wiederherstellung weiterarbeiten.

Für jene Mac OS X-Benutzer, die VileFault FileVault verwenden, eine weitere Empfehlung: Mac vor der «Lion»-Aktualisierung entschlüsseln. So kann man direkt nach der Mac OS X-«Lion»-Aktualisierung auf die neue FileVault-Version umsteigen.

P.S.: Das Schweizer Apple-Portal «macprime.ch» bittet um Unterstützung durch den Kauf von Mac OS X «Lion» über den entsprechenden «macprime.ch»-Partner-Weblink. Wieso auch nicht?

Epicreal Team stellte mir unverbindlich eine kostenlose Lizenz zum Ausprobieren von ePic zur Verfügung.

Der Schweizer Evernote-Konkurrent Memonic geht gemeinsam mit «COMPUTER BILD» in die Offensive:

Herzstück der Kampagne ist eine Co-Promo mit der deutschen Computer Bild. Leser der morgen, am 4. Juni, am Kiosk liegenden Ausgabe erhalten einen lebenslangen Memonic-Account für 3,33 Euro. Der Deal kommt mit editorialer Begleitung im Heft und online, Memonic wird auf der Titelseite vertreten sein. Das reichenweitenstarke Magazin dürfte dem Online-Notizbuch einen markanten User-Pickup bescheren. […]

Nutzungsbedingungen

Grund genug für einen Blick auf die Mac-Version von Memonic zu werfen. Beim ersten Start von Memonic erscheint der so genannte «Titanium Installer», der darum bittet, die Nutzungsbedingungen genau zu lesen (Memonic wird mit dem gleichnamigen Framewerk entwickelt):

Mit gutem Grund, denn die Nutzungsbedingungen sind zwar erfreulich knapp behalten, beinhalten aber mindestens zwei Überraschungen (jeweils mit Hervorhebungen durch mich):

Communication over the Application which are accessible by the public at large (for example, with a web form) is made unencrypted over the Internet and may be read with simple technical means by third persons, and are clearly related not only to the sender but also to the recipient. The same applies to the delivery of an Email to the Service Provider. It is therefore strongly inadvisable to communicate confidential information to the Service Provider or to third parties over the Application or by Email.

Wieso nutzt Memonic keine verschlüsselten Verbindungen um die Privatsphäre der Memonic-Benutzer zu gewährleisten?

You grant to the Service Provider free of charge a non-exclusive, worldwide, and irrevocable right for commercial use and utilization in an anonymous form of the data submitted by you to the Service Provider in the context of this Application.

Wozu möchte Memonic die «anonymen» Daten der Memomic-Benutzer kommerziell nutzen und wie soll die anspruchsvolle (häufig unmögliche) Anonymisierung gewährleistet werden?

Beide Bestimmungen aus den Nutzungsbedingungen laden nicht dazu ein, Memonic auszuprobieren. Und ja, zumindest der Web-Zugriff auf Memonic erfolgt tatsächlich unverschlüsselt:

Auch noch aufgefallen ist mir, dass Memonic neue Notizen nicht zeitnah synchronisiert:

Fazit

Wieso gibt es immer noch Cloud-Dienste, die ihren Benutzern unverschlüsselte Verbindungen zumuten? Auch mit Verschüsselung gibt es noch genügend Potenzial für Sicherheitslücken …

Aber wie immer gilt: Selbst ausprobieren! Memonic ist für alle gängigen Plattformen und Systeme kostenlos erhältlich und kann entsprechend in aller Ausführlich ausprobiert werden.

Die Sicherheitsforscher von Elcomsoft haben einen Weg gefunden, den Speicher von iPhones mit Hardwareverschlüsselung (3GS und 4) auszulesen und zu entschlüsseln. Das besondere daran ist, dass sie offenbar den Speicher direkt auslesen und damit beispielsweise bereits gelöschte Daten restaurieren konnten. […]

Um diese zu knacken seien weitere Maßnahmen erforderlich, die aber keine echte Hürde darstellen. So musste Elcomsoft bei seinem Angriff den (einfachen, vierstelligen) Passcode per Brute Force knacken. Dabei probierte ein auf dem iPhone laufendes Tool die möglichen 10.000 Zahlenkombinationen innerhalb von 40 Minuten durch. Wie es um das Knacken von längeren Passcodes mit alphanumerischem Zeichensatz bestellt ist, schreibt der Hersteller von Passwortknackern nicht. Vermutlich dürfte ein längeres, gut gewähltes Passwort den Angriff aber erheblich erschweren.

Sofern ein iPhone mit einem Rechner synchronisiert sei, könne man jedoch auch vom PC den Nachschlüssel (Escrow Key) extrahieren und statt des Passcodeschlüssels verwenden. Unklar ist auch noch, welchen Einfluss eine Fernlöschung auf das Extrahieren der Schlüssel hat. Bei der Fernlöschung wird nämlich nicht der Speicher im iPhone gelöscht, sondern nur der (per Software nicht auslesbare) AES-Schlüssel. […]

(Gelesen bei Heise Online.)

In seiner Beschwerde verweist Soghoian unter anderem auf die Dropbox-Konkurrenten SpiderOak und Wuala:

Dropbox’s use and storage of encryption keys does not follow best practices for the “cloud” backup industry. Several competing services, such as SpiderOak and Wuala, encrypt users’ data, by default, with a key only known to each user. These competing companies do not have the ability to access their customers’ unencrypted data.

Leider unterstützen beide Dienste bislang keine Mac OS X-Metadaten wie beispielsweise Farbmarkierungen im «Finder». Mit solcher Metadaten-Unterstützung wären SpiderOak und Wuala valable Dropbox-Konkurrenten auf dem Mac.

Voraussetzung dafür ist selbstverständlich, dass alle vorhandenen WLAN-Geräte WPA2 unterstützen. Bei Geräten von Apple aus den letzten Jahren sollte dies der Fall sein.

Nebenbei: Verwendet man bei AVM keine langen Kennwörter für die WLAN-Verschlüsselung?

Die Dropbox-Entwickler haben das experimentelle Update 1.2.0 für Windows, Mac OS X und Linux zum Testen bereitgestellt, das das kürzlich gemeldete Sicherheitsproblem beseitigen soll. […]

Darüber hinaus führt die Version 1.2.0 ein neues, verschlüsseltes Format für die lokal verwendete SQLite-Datenbank ein, um den unberechtigten Zugriff auf Inhalte zu verwehren. Leider führt das nach Angaben der Entwickler dazu, dass einige Anwendungen mit Dropbox-Unterstützung nicht mehr funktionieren. Konkret sind unter anderem 1Password und KFilebox betroffen.

(Via «Apfelkraft» und Heise Online.)

Nachtrag

MacMacken-Leser Rafael beantwortet die Frage abschlägig:

Das betrifft nur Neuinstallationen von 1Password nachdem die neue Beta von Dropbox bereits installiert wurde.

[…] Verschlüsselt man sein Backup nicht, ist die Datei zugänglich. Beispielsweise von der Visualisierungs-Software ‘iPhoneTracker‘, die im gleichen Schritt das Licht der Öffentlichkeit erblickte. Kryptografiert man dagegen seine Daten (ein iTunes-Klick reicht aus), ist die Datei nicht auszulesen. […]

Das ist grundsätzlich richtig, verhindert allerdings nur das einfache Auslesen aus dem iOS-Geräte-Backup, nicht aber das Auslesen direkt von iOS-Geräten oder das Sammeln der persönlichen Geodaten überhaupt. Ausserdem ist die Empfehlung zur Verschlüsselung von iOS-Geräte-Backups unsinnig, denn mit der Verschlüsselung ist eine gravierende Sicherheitslücke verbunden.

Agile Web Solutions, die Entwickler von 1Password, beschreiben das Sicherheitsproblem auf ihrer Website wie folgt:

When iTunes on your Mac or PC makes a backup of your device data it all remains encrypted with the hardware key. This means that such data cannot be decrypted from that backup on anything other than your iOS device.

Starting with iOS 4, Apple introduced an exception to this so that people could – under limited circumstances – migrate all of their data (all apps and their data) from one iOS device to another. These backups, designed for migratation, do not have their data encrypted using the device hardware key. To create such a backup, the user must select to encrypt their device backup within iTunes. This kind of backup will be encrypted with a password that the user gives it in iTunes, but the internal data (including keychain data) will no longer be encrypted using a device hardware key. […]

Agile Web Solutions verweist für weitere Erklärungen auf Elcomsoft. Das Unternehmen führt unter anderem die Anwendung «Phone Password Breaker» zum Zugriff auf verschlüsselte iOS-Geräte-Backups im Angebot und schreibt in diesem Zusammenhang unter anderem:

If a backup IS NOT password-protected, the keychain is encrypted using “hardware” keys stored in the iPhone and not accessible from the outside. You can safely restore such backups to the same iPhone; however, if you restore it to another iPhone, the keychain will be lost completely.

If a backup IS password-protected, the keychain is encrypted using software keys that are generated from the backup password. As a result, you can restore such backups to any device, and keychain information will be restored as well. In order to restore the backup, you will have to enter the original password, so you must know it. Or you can crack it with Phone Password Breaker.

Auf Deutsch kurz zusammengefasst: Verschlüsselte iOS-Geräte-Backups sind weniger sicher als solche ohne Verschlüsselung!

«Deine Dateien sind sicher aufbewahrt» – so werden Bedenken von Dropbox-Benutzern ^{(Referral-Link)} im Bezug auf die Sicherheit ihrer bei Dropbox gespeicherten Daten duzenderweise beruhigt. Auf der gleichen «Features»-Seite und auch anderswo bewirbt Dropbox die Verschlüsselung beim Übertragen und Speichern aller Daten und behauptet darüber hinaus:

Dropbox-Mitarbeiter haben keinen Zugriff auf Benutzerdateien.

Diese Behauptung ist falsch, wie ein Blick in die englischsprachige «Privacy Policy» von Dropbox zeigt:

If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement.

Dropbox stellt Strafverfolgungsbehörden demnach nicht nur Daten von Dropbox-Benutzern zur Verfügung, sondern entschlüsselt diese dabei auch — und wer, wenn nicht Dropbox-Mitarbeiter, haben dabei Zugriff auf Benutzerdateien?

In der deutschen Version der «Privacy Policy« fehlt diese Information übrigens bislang, nachfolgend der entsprechend Abschnitt «Beachtung der Gesetze und Strafverfolgung» beziehungsweise «Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights» im Vergleich (mit Hervorhebung in der englischsprachigen Version):

Dropbox arbeitet mit der Regierung und den Behörden sowie privaten Entitäten zusammen, um die Gesetze einzuhalten. Wir werden nach unserem eigenen Ermessen dies im Verlauf von rechtlichen Ansprüchen oder Verfahren (einschl. aber nicht begrenzt auf Vorladungen) Information über Sie der Regierung oder den Strafverfolgungsbehörden bekannt geben, um die Rechte von Dropbox oder Dritten zu schützen, die Sicherheit der Öffentlichkeit oder von Personen zu wahren oder um Aktivitäten zu stoppen oder vorzubeugen, von denen wir meinen, dass Sie illegal, unethisch, unangemessen oder rechtlich fragwürdig sein könnten.

We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

Dropbox-Sicherheit bleibt Benutzersache, denn «Verschlüsselung» à la Dropbox ist letztlich Schlangenöl — und Cloud-Speicherdienste mit integrierter lokaler Verschlüsselung bleiben rar. Unter den gängigen Cloud-Speicherdiensten ist Wuala der einzige mir bekannte, der Daten lokal und vor der Datenübertragung verschlüsselt. Gibt es allenfalls noch andere solche Anbieter?

SSL-Verschlüsselung für die Verbindung zur FRITZ!Box scheint auch optional nicht verfügbar zu sein:

Einige weitere Macken, denen ich begegnet bin, sind die langen Neustart-Zeiten nach Änderungen der Konfiguration, die fehlende Konfigurationsmöglichkeit für DNS-Server und der fehlende Reset-Knopf am Gerät – Zurücksetzen kann man die FRITZ!Box nur über ein angeschlossenes Telefon.

Out of curiosity, I fired up tcpdump on my router to have a look at the traffic my Android phone’s Dropbox client was transferring during usage. To my surprise, I noticed that all file metadata was sent in the clear.

Metadaten von Dateien werden demnach unverschlüsselt übertragen – worin man bei Dropbox offensichtlich kein Problem sieht, wie nachfolgende E-Mail-Antwort von Dropbox an Mike Cardwell zeigt:

Thank you for the blog coverage of this issue. This has been a topic of ongoing discussion for our mobile developers and the preference of speed over security when it comes to file metadata on mobile may change in the future.

… ohne die fehlende Verschlüsselung allerdings transparent zu kommunizieren, worüber sich Mike Cardwell zu Recht ärgert:

So yeah. This is a speed vs security issue. Also, on their security page, they have modified the sentence where it says they encrypt file data and metadata such that it now only states that they encrypt file data. No mention of the fact that the mobile client doesn’t encrypt metadata though. Feels slightly dishonest to me.

Weiterhin gilt, dass man Cloud-Anbietern leider kein Vertrauen schenken kann und dass insbesondere Dropbox-Sicherheit Benutzersache ist.

Schütze alle Daten auf deinem Mac jetzt noch besser mit der XTS-AES 128 Datenverschlüsselung auf Volume-Ebene. Die Erstverschlüsselung erfolgt schnell und unauffällig – während du arbeitest, wird alles im Hintergrund verschlüsselt. FileVault bietet auch Verschlüsselung für deine externen Laufwerke und erlaubt es, alle Daten sofort von deinem Mac zu löschen.

Vielen Dank für die zahlreichen Leserhinweise per E-Mail!

Den Fraunhofer-Mitarbeitern Jens Heider und Matthias Boll ist es gelungen, trotz Passcode-Sperre unter anderem abgespeicherte Passwörter aus einem iPhone auszulesen. Somit bedeutet ein verlorenes oder geklautes iPhone nach wie vor ein ernsthaftes Sicherheitsproblem – auch bei der aktuellen iPhone-Generation.

[…]

Somit kann man sich also nicht auf die Verschlüsselung der Daten auf dem iPhone verlassen. Auch das Löschen der Daten via Remote Wipe schafft keine Sicherheit, da man nicht wissen kann, ob es noch rechtzeitig passiert ist. Schließlich dauert der Angriff nur wenige Minuten. Wenn ein iPhone also tatsächlich in falsche Hände gerät, sollten die Besitzer schleunigst alle Passwörter ändern, die auch auf dem verlorenen iPhone gespeichert sind, empfehlen Heider und Boll im Fazit ihrer Analyse Practical Consideration of iOS Device Encryption Security (PDF).

(Gelesen bei Heise Online aufgrund zahlreicher Leserhinweise per E-Mail – vielen Dank!)

Enttäuschend ist, dass man weiterhin nur Dateien und Ordner innerhalb der «Dropbox» zwischen der Dropbox-Website sowie verschiedenen Computern klonen kann, nicht aber sonstige Dateien und Order. Die viel versprechende Funktion «Selective Sync» bezieht sich ausschliesslich auf Dateien und Ordner innerhalb der «Dropbox».

Immerhin: Dropbox nervt zwar mit der ungefragten Installation von Growl, ist aber für das Klonen und Teilen von nicht allzu schützenswerten (oder lokal verschlüsselten) Daten eine äusserst komfortable und dank häufigen Speichergeschenken auch kostenlose Möglichkeit. Hingegen taugt Dropbox weiterhin nicht um Daten zwischen zwei Macs synchron zu halten – dazu fehlt es an der komfortablen Auswahl von Dateien und Ordnern ausserhalb der «Dropbox», an ausreichender Unterstützung für Mac-Metadaten und an Möglichkeiten zur lokalen Verschlüsselung. Aber vielleicht folgen diese Funktionen mit einer künftigen 2er-Version …

Obiges Diagramm zeigt die erzielten Punkte mit Xbench, nachfolgende Diagramme die jeweils benötigte Zeit in Sekunden.

FileVault führt ebenfalls zu einer Leistungseinbusse, doch fällt diese wesentlich geringer aus als bei der Verwendung von PGP WDE. Leider ist die Nutzung von FileVault dabei mit zahlreichen Nachteilen verbunden, insbesondere funktioniert die stündliche Datensicherung mit «Time Machine» nicht … wie meistens bei Fragen der Sicherheit muss man als Benutzer auch in diesem Fall entscheiden, wo die eigenen Prioritäten liegen.

Danach suchte ich nach «Medwedew», doch wurde 1Password nicht fündig:

Ich vermute das Problem darin, dass 1Password jeweils nur den aktuellen Datenbank-Eintrag entschlüsselt und die Suchfunktion deshalb nur für Daten funktioniert, die gar nicht verschlüsselt werden. In der freien und kostenlos Open Source-Alternative KeePassX sind immer alle Daten durchsuchbar, dafür aber jeweils auch vollständig entschlüsselt und damit eher abgreifbar … die Entwickler von 1Password scheinen sich diesbezüglich für Sicherheit zugunsten von Benutzerfreundlichkeit und Funktionsumfang entschieden zu haben.

Korrektur

Meine Vermutung war falsch. Das Problem lag darin, dass 1Password nicht standardmässig alle Daten durchsucht, man aber problemlos alle Daten durchsuchen lassen kann. Die Suchfunktion ist damit nicht eingeschränkt und es besteht leider auch kein Vorteil in Sachen Sicherheit. Vielen Dank an die MacMacken-Leser «Heiko» und «dr3do» für ihre entsprechenden Hinweise!

Die Mozilla Firefox-Erweiterung «Firesheep» zeigt problemlos nachvollziehbar auf, mit welchen Risiken die Nutzung von Google, Facebook und anderen Websites ohne verschlüsselte Verbindungen verbunden ist. In diesem Zusammenhang hat mich MacMacken-Leser Sven per E-Mail auf das «HTTPS Everywhere»-Projekt der Electronic Frontier Foundation (EFF) hingewiesen. «HTTPS Everywhere» ist genauso wie «Firesheep» eine Mozilla Firefox-Erweiterung, sorgt aber durch das Anfordern von verschlüsselten Verbindungen von ausgewählten Websites für etwas mehr Sicherheit:

https://www.eff.org/https-everywhere

«HTTPS Everywhere» ist eine sinnvolle Möglichkeit zur Selbsthilfe. Gleichzeitig sollte man aber nicht versäumen, die Betreiber von Evernote, Facebook, usw. darum zu bitten, endlich nur noch Daten über verschlüsselte Verbindungen zu übertragen – oder im eigenen Interesse auf die Nutzung solcher Websites verzichten.

Für meine Messungen nutzte ich Xbench sowie Geekbench und führte ausserdem einige definierte Aufgaben jeweils mit und ohne PGP WDE durch. Als Vergleich diente ein nicht mehr ganz taufrisches MacBook Pro (15″-Modell mit Core2Duo-Prozessor mit 2,66 GHZ und 8 GB RAM mit einer 7200er-Festplatte mit 320 GB Speicherkapazität) ohne PGP WDE. Die nachfolgenden Werte entsprechen jeweils dem Durchschnitt von fünf Durchläufen, wobei ich darauf achtete, dass die MacBooks jeweils nicht mit anderen Aufgaben beschäftigt waren.

Gesamtleistung

Mit PGP WDE fühlte sich das MacBook Air (MBA) spürbar weniger performant an als ohne, was auch das Xbench-Gesamtergebnis bestätigte. Nachfolgend nochmals das obige Gesamtergebnis mit veränderter Skala auf der x-Achse:

Ohne PGP WDE war das MBA schneller als das MacBook Pro (MBP), mit PGP WDE fiel es im Gesamtergebnis zurück. Diese Messergebnisse entsprechend dem subjektiven Eindruck bei der alltäglichen Nutzung.

Prozessorleistung

Die ermittelte Prozessorleistung sowie der entsprechende Unterschied zwischen den MacBooks bewegte sich im Rahmen der Erwartungen. Sie ist für beide MacBooks gross genug um durch PGP WDE nicht beeinträchtigt zu werden:

Gleiches galt für die Ergebnisse der Xbench-Testergebnisse für Arbeitsspeicher (für beide MacBooks gleich), Benutzeroberfläche (MBP wie erwartet schneller durch leistungsfähigere Prozessoren und dedizierte Grafikkarte) und Grafikleistung (dito). Eine relevante Differenz mit und ohne PGP WDE ergab sich hingegen beim Threading-Messergebnis mit Xbench:

Festplattenleistung

Die Ergebnisse zur Festplattenleistung zeigten einerseits, inwiefern selbst die vergleichsweise langsame SSD im MBA einer herkömmlichen Festplatte deutlich überlegen ist, offenbarten aber gleichzeitig auch den dramatischen Leistungsverlust durch Verwendung von PGP WDE:

Mit PGP WDE war die SSD im MBA mehrheitlich nicht mehr wesentlich schneller als die Festplatte im MBP. Ohne PGP WDE hingegen kann die SSD im MBA ihre Geschwindigkeit ausspielen und trägt damit wesentlich dazu bei, dass sich das MBA in der alltäglichen Nutzung performant (genug) anfühlt.

Aufgaben im Zeitvergleich

Mit PGP WDE stieg die Zeit in Sekunden zwischen dem Einschalten und dem Erscheinen des Anmeldebildschirms spürbar an – von 15 Sekunden ohne PGP WDE bis zu mehr als einer Minute mit PGP WDE auf dem MBA und damit noch länger als auf dem MBP:

Ein ähnliches Ergebnis ergab sich beim Duplizieren (lokales Kopieren) einer 1.34 GB grossen Videodatei:

Beim Entpacken einer vergleichsweise kleinen ZIP-Datei war die absolute Differenz weniger dramatisch, relevativ gesehen war sie aber bereits sehr gross:

Beim Öffnen von vergleichsweise kleinen Text- und Tabellendokumenten hingegen waren die Unterschiede weniger dramatisch, wenn auch vor allem beim leistungshungrigen NeoOffice spürbar:

Fazit zum MacBook Air mit PGP WDE

Die Nutzung von PGP WDE auf dem MacBook ist sinnvoll, weil insbesondere die Daten auf mobilen Geräten geschützt werden müssen, fordert aber gleichzeitig leider einen hohen Preis an Systemleistung. Für die meisten Benutzer dürfte dieser Preis zu hoch sein, denn aus einem MacBook Air, das bei hoher CPU-Auslastung bald einmal hörbar lüftet, sich ansonsten aber schnell anfühlt, wird ein MacBook Air, das einem gar oft warten lässt …

Bei späterer Gelegenheit hoffe ich, die Verschlüsselung mit FileVault ausprobieren zu können. FileVault von Mac OS X hat zwar zahlreiche Nachteile, insbesondere die fehlende regelmässige «Time Machine»-Datensicherung, aber ich bin neugierig auf die Ergebnisse und wer das MacBook Air als Zweitgerät nutzt, kann allenfalls sowieso auf «Time Machine» verzichten.

https://pgp.custhelp.com/app/answers/detail/a_id/2288/

Bei der Wiederherstellung fällt auf, dass dafür die «PGP Recovery CD» vorausgesetzt wird. Weiss man bei PGP, dass es Macs ohne optisches Laufwerk gibt, insbesondere das MacBook Air?

Nutzer von PGP Whole Disk Encryption sollten vor dem Einspielen allerdings die Festplatte entschlüsseln oder sich im Nachhinein mit Punkt 1 der TN “PGP Whole Disk Encryption: Recovering Data (Mac OS X)” auseinandersetzen, da das Update die Dateien für die Pre-Boot Authentication überschreibt.

Wer PGP WDE verwendet, sollte vorläufig nicht auf Mac OS X 10.6.5 aktualisieren – oder vor der Aktualisierung sein System entschlüsseln.

(Auch via @nggalai).

Nachtrag

Inzwischen warnt auch PGP selbst vor der Mac OS X 10.6.5-Aktualisierung:

Alert: Mac OS X PGP WDE customers should not apply the recent Mac OSX 10.6.5 update. Compatibility issues may prevent the system from successfully booting. We will provide a detailed update as soon as a solution has been identified.

«Kik» ist ein weiteres geschlossenes Instant Messaging-System für Smartphones im Stil von «PingChat!» und «WhatsApp». Im Bezug auf die Sicherheit von «Kik» machte mich bereits skeptisch, dass mein Passwort beim Anlegen meines Benutzerkontos vollständig im Klartext angezeigt wurde und nicht bloss wie auf dem iPhone üblich nur das soeben eingegebene Zeichen. Und tatsächlich ist «Kik» unsicher, wie Mike Cardwell in seinem Weblog dokumentiert hat:

So anyone listening gets your username, password, full name, email address and the content of your conversations. […]

«Kik» basiert zwar auf dem XMPP/Jabber-Standard, nutzt aber die entsprechenden Verschlüsselungfunktionen nicht, so dass jeder im gleichen Netzwerk sowie überall, wo die entsprechenden Daten durchfliessen, insbesondere Benutzername und Passwort mit geringstem Aufwand mitlesen kann. In einem Public WLAN jedenfalls sollte man «Kik» im eigenen Interesse nicht nutzen … und überhaupt sollte man Dienste boykottieren, die nicht willens oder in der Lage sind, eine grundlegende Sicherheitsfunktion wie verschlüsselte Verbindungen zu implementieren – wie es leider gar häufig der Fall ist bei kostenlosen Diensten à la «Kik, deren Geschäftsmodell nicht erkennbar ist und die kein Interesse an der Datenschutz- und sicherheit ihrer Benutzer haben.

Nebenbei: Kann es sein, dass ein Ändern des eigenen Passwortes in «Kik» in der iPhone-App nicht möglich ist?

An meinem Google-Konto scheiterte Firesheep infolge Verschlüsselung, meine eigenen Evernote- und Facebook-Konten hingegen konnte ich von einem anderen Mac aus im gleichen Netzwerk problemlos übernehmen … bei Facebook erstaunt der fehlende Datenschutz der Benutzer nicht und auch Evernote fiel mir diesbezüglich schon vor langer Zeit negativ auf.