Full HDD Preboot-Encryption, the sage continues

SilentCry

SilentCry

Mitglied
Thread Starter
Dabei seit
28.04.2005
Beiträge
1.435
Reaktionspunkte
36
Hi,
ich gebe nicht auf. :)
Nachdem ich jetzt einen Kollegen in .de mitfinanziert habe um eine HW-Encryption-Lösung auf Platte (Hitachi Tavelstar 7k200 mit AES 128 Hardware)
zu testen (Ergebnis: GEHT NICHT) habe ich mich mit rEFIt beschäftigt.

Konkret: Momentan geht es offenbar nicht. ABER auf der Feature-Request-Seite hat jemand diesen Wunsch geäussert: http://sourceforge.net/tracker/index.php?func=detail&aid=1773064&group_id=161917&atid=821767

Ich poste das hier, damit viell. die Masse an bedürftigen Usern entsprechend Motivation beim rEFIt-Team aufbaut.

Denn Apple steckt anscheinend lieber seine Entwickler in iPhone-Projekte und sein Geld in "I am a Mac and I am secure because of definition"-Werbung. Sorry, soll nicht böse klingen, aber eine FullHDD-Encryption fehlt mir wirklich MASSIV am Mac.
 
Ich hätte auch sehr starkes Interesse an der Plattenverschlüsselung.
(Wir hatten das ja neulich schon)

Aber warum soll es denn mit refit nicht gehen?
Davon abgesehen würde mir ja auch erstmal die einfache Lock/Unlock-Variante wie von sonstigen Business-Laptops/PCs gewohnt, reichen.
 
refit auf nem usb stick und dann weiter booten von interner Platte.
Soweit ich efi verstanden habe, müsste das doch gehen.
 
olivetti schrieb:
refit auf nem usb stick und dann weiter booten von interner Platte.
Soweit ich efi verstanden habe, müsste das doch gehen.
Zum Vergrößern anklicken....

Warte - reden wir von der selben Sache?
Ich spreche von folgendem Szenario:
Ankauf einer HW-Encrypteten Platte. Gibt es von WD, Stonewood und Hitachi, nur als Beispiel. Diese Platte verlangt wie die alten SCSI-Controller einen Zwischenschritt im BIOS (das es nicht gibt, danke Apple für ein vorschnell eingeführtes EFI). In diesem Zwischenschritt gibt man die Passphrase an den Plattencontroller - der entschlüsselt dann alle Zugriffe.

Ich sehe den Zusammenhang nicht zwischen USB-Boot und dieser HardwareHDD_Unterstützung.

Alternativ könnte man natürlich auch eine Preboot-Auth&Encryption direkt als EFI-Funktion... aber das geht schon weit, das müsste imho Apple machen.
 
Jau, das meine ich schon. Ich sage jetzt mal "Profi"-Laptops haben sowas.
Du kannst einstellen, beim starten ein PW eingeben zu müssen um die Platte zu entschlüsseln. Und ich rede nicht vom BIOS-PW das es auch in der Boot-Variante gibt.
Ich hatte in einem älteren Thread auch mal nen Heise-Link gepostet. Der betrifft das setzen des FP-PWs, weil die BIOS-Heinis das nicht "locken". Gibt's auch ne kext für Apple. Suche ich nochmal raus.
 
Ach, Du meinst das ATA-Security Feature.
Das ist keine Verschlüsselung. Das ist zwar besser als nichts, aber keine Verschlüsselung. Da sagt nur der Controller der Platte "hey, wennste das PWD nicht haste, haste Pech, du kummst hier net rein!". Allerdings, und auch das bestätigt die C't, können Datenretter selbst dieses ATA-Pwd umgehen und aushebeln.
In einem SSchäuble-Schnüffelstaat reicht das nicht. Mir nicht.
 
Link

Ja genau. Schon klar, die Hitachi verschlüsselt alles und wird dann halt a bisserl langsamer. Aber erstmal muss das ja efi handlen und dazu kannst du halt efi nicht auf die platte schreiben. Also wäre mein Weg:
Bios -> Efi auf Stick -> HD

EDIT:
Mir würde ja Platten-Start-PW schonmal reichen. Die Problematik ist doch die gleiche, denke ich.

... Datenretter selbst dieses ATA-Pwd umgehen...
Zum Vergrößern anklicken....

Ja, weil das PW verschlüsselt auf der HD liegt. Also nur was für's Labor und da habe ich noch keins. :D
 
Zuletzt bearbeitet:
Ich erinnere mich noch an Beiträge bei heise.de bzw. in der c't in der diese ach so tolle Hardwareverschlüsselung relativ schnell und einfach geknackt bzw. umgangen worden ist.

Wäre nicht eine kleine unverschlüsselste /boot partition die besser lösung? den key dafür würde ich z.b. immer auf einem usb stick bei mir tragen. dieser ist beim booten erforderlich und ist meines erachtens nach die besser lösung. Ausserdem ist das ganze so bei weitem günstiger und man kann mit mehr wie 128Bit AES verschlüsseln.
 
Ja, wenn OSX mit verschlüsselten Systemplatten umgehen könnte, so wie andere BS, dann wäre unser Problem wohl keins.
Ich denke da hat sich halt noch nix getan.
 
Verdammt, OS X ist ein Unix, es muss doch möglich sein, die Platte so zu partitionieren das ich /boot auf eine eigene Partition packen kann die dann alles regelt?

Falls das nicht geht, dann tritt wieder das in Kraft was ich schon die ganze Zeit sage: es ist eine schande was apfel mit unix unter der haube angestellt hat.
 
Ist zwar OT, aber ich wollte nur darauf hinweisen, dass 3 Tage bevor dieser Thread erstellt wurde ein anderer mit genau diesem Thema erstellt wurde - wäre vielleicht sinnvoll sich auf einen Thread zu beschränken.
 
dtwardy schrieb:
Ist zwar OT, aber ich wollte nur darauf hinweisen, dass 3 Tage bevor dieser Thread erstellt wurde ein anderer mit genau diesem Thema erstellt wurde - wäre vielleicht sinnvoll sich auf einen Thread zu beschränken.
Zum Vergrößern anklicken....
Ist zwar auch OT aber ein Link auf diesen Thread wäre bei solch einer Reply durchaus anzuraten, sonst muss ich nämlich suchen, nur um u.U. festzustellen, dass Du Dich irrtest und nicht die gleichen Themenkreise besprochen werden.
 
Er meint wahrscheinlich den hier:

Link

Da geht's um softwaremäßiges verschlüsseln, FileVault usw.
Manche lesen halt nicht gescheit...

Edit: Hast Du aber sicher selber schon gesehen.
 
Zuletzt bearbeitet:
Sry, hab den Link verpennt einzufügen. Prinzipiell geht es erstmal um SW Verschlüsselungen, aber am Ende hat noch jemand das Thema HW Verschlüsselung aufgeworfen. Prinzipiell geht es aber einfach darum, ob es anständigen Möglichkeiten gibt, die Festplatte komplett zu verschlüsseln und da ist es erstmal egal, ob es eine HW-Implementation oder eine SW-Implementation ist.

Ich will dir keinen großen Vorwurf machen, aberich denke die Übersicht würde nur davon profitieren, würde man solche Grundsatzdiskussionen über komplette HDD-Verschlüsselung (denn darum geht es ja - wir haben ja leider noch kein wirklich breites Spektrum an möglichen Wegen zur Verschlüsselunge der ganzen Festplatte) in einen Thread packen.
 
Wie schon bemerkt wurde war und bin ich der Ansicht, dass der vermutlich von Dir gemeinte Thread nicht dem hier diskutierten Thema entspricht.

Über Vor- und Nachteile von Sammelthreads würde ich mich auch lieber in einem "Vor- und Nachteile von Sammelthreads"-Thread unterhalten :D

Ansonsten gibt es noch von mir: https://www.macuser.de/forum/showthread.php?t=245021&page=29
Bei 29 Seiten allerdings verschreckt man viele im Ansatz.
 
Update

Ich habe einen Hoffnungsschimmer:
http://arstechnica.com/news.ars/pos...50gb-notebook-hardware-encrypted-desktop.html

Ich frage den Autor:
Hello Mr. Stokes,
I am contacting you because of your article http://arstechnica.com/news.ars/pos...50gb-notebook-hardware-encrypted-desktop.html
My question is short: Does this drive run with MacBooks (MacBookPros respectivly) under the circumstance that Macs use EFI and not BIOS and under the aspect that one has to set the passphrase probably through a utility not running in OS X? (Later fact one could circumvent by assembling it in a Winmachine prior to usage in the Mac if it at all would at least work in a MacBook(Pro))
Thanks in advance for your answer,
sincerely yours
Zum Vergrößern anklicken....

Kommentare zu meinem holprigen Englisch werden gerne in PNs entgegen genommen :)
 
mhm ... ich gehe jetzt mal davon aus, dass der Verlust/Diebstahl eines Books häufiger vorkommt als das Szenario, das Jon Stokes vorschwebt: Diebe dringen nachts in sein Haus, (tun keiner Fliege was zuleide, lassen alle Wertgegenstände liegen) und klauen sein NAS ;)

Von daher finde ich deine Frage schon sinnvoll. So eine DriveTrust encryption im Book wäre wahrscheinlich für einige Leute interessant.

Der Stand der Dinge ist wohl, dass dieses DriveTrust SDK Entwicklern die Möglichkeit bietet, Zugangsmechanismen zu implementieren, die in der pre-boot Phase ansetzen.
Wann praktische Lösungen zum Einsatz kommen, muss man mal abwarten. Man darf nicht übersehen, dass Jon z.T. auch Spekulatius in seinem Artikel verarbeitet, was natürlich sein gutes Recht ist:

(...)Seagate says that there's a DriveTrust SDK that software vendors can use "to build DriveTrust Technology-enabled applications such as access controls needed to manage encryption keys, passwords and other forms of authentication for large deployments," but this still doesn't suggest to me that the drive's encryption functionality could be readily integrated with a post-boot, login-based solution like FileVault. It's not a stretch to imagine that another revision of DriveTrust aimed at portables is on its way, however, and that it will feature such functionality.(...)
Zum Vergrößern anklicken....

Einerseits kann er sich nicht vorstellen, dass DriveTrust direkt in eine post-boot Lösung implementiert werden kann, andererseits geht er davon aus, dass dies in einer zukünftigen Version möglich ist.
 
Funktioniert vermutlich nicht:
Jon Stokes schrieb:
Apparently it doesn't yet work with MacBooks. Check out the comment thread in that article for more info.
Jon
Zum Vergrößern anklicken....
Seagates Doku dazu ist aber auch schwach, was klare Aussagen angeht:
http://www.seagate.com/docs/pdf/whitepaper/TP564_DriveTrust_Oct06.pdf

Ganz sicher bin ich immer noch nicht. Aber es verlangt vermutlich nach einer SW, die das PWD setzen lässt und einem BIOS (EFI?), das die PWD-Abfrage vor eventuellen Bootvorgängen startet. Ein Satz "does/does not currently work on EFI (e.g. Macintosh-Computers)" wäre natürlich hilfreichst aber im Informationszeitalter ist es zur Kunstform erhoben worden, seitenlang zu schwätzen aber die essentiellen Informationen (also, die, die in der Praxis gebraucht werden) zu verschweigen. Wir sollten uns "Informationsverheimlichungsgesellschaft" nennen. bah!

Ich habe eine TechPreSales-Frage an Seagate dazu gestellt ('071008-000023'). Mal sehen. Viell. erkennen die Jungs und Mädels bei Seagate, dass es jenseits des reaktiverungssüchtigen Despoten aus Redmond auch noch einen anderen Markt zu bedienen gilt.
 
Zuletzt bearbeitet:
Und weiter geht es, folgendes schrieb ich an MacUp:

Sg. Damen und Herren,

in Ihrer aktuellen Ausgabe von MacUp (11/2007) schreiben Sie auf Seite 11 über die neue Seagate Platte Barracuda mit 1TB (im 3.5"-Format) mit FDE (Full Disk Encryption). Da ich schon monatelang auf der Suche nach einer Mac-tauglichen Lösung bin war ich grundsätzlich erfreut, in Ihrem Artikel "Entsprechende OS X Software ist verfügbar" zu lesen. Dies lies mich hoffen, dass auch für die fde.2 (2,5"-Format) entsprechendes existiert, denn mein Bedarf ist natürlich auf mobile Macs (MB, MBP) gerichtet.

Leider kann ich auf www.seagate.com keine Hinweise zu OS X und Macs finden. Auch eine Serviceanfrage bei Technical Presales Seagate war praktisch ergebnislos:
With regards to your query, I understand that you want to know whether Seagate Momentus 250 FDE.2 is used within MacBooks.
Please contact Seagate Sales Department Toll Free at 1-877-271-3285 for most appropriate information regarding this drive.

Ich habe natürlich nicht vor, transatlantische Gespräche zu führen, zumal ich mir von TECHNICAL Presales eine bessere Antwort erwarte als von einer Sales-Hotline.

Daher meine Fragen:
1) Auf welche OS X-Software beziehen Sie sich in Ihrer Meldung in der MacUp 11/2007, Seite 11?
2) Haben Sie Informationen, ob die Laufwerke dieser Reihe (namentlich Momentus 250 FDE.2) in MacBooks resp. MacBookPros inkl. Full HDD-Encryption funktionieren?

Vielen Dank für Ihre Antwort im Voraus,
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

schnobbel
HDD nach dem Öffnen
Antworten
7
Aufrufe
262
cpx
cpx
msg
Konflikt mit Theme und Elementor
Antworten
2
Aufrufe
137
msg
msg
Örs
Mojave nach Dosdude usw starten scheitert an Apple. Ewiges Thema Apple-ID
5 6 7
Antworten
120
Aufrufe
2.295
Örs
Örs
Zurück
Oben Unten