Daten verschlüsseln

Zocker909

Mitglied
Thread Starter
Dabei seit
11.12.2018
Beiträge
3
Reaktionspunkte
0
Guten Abend,

ich habe mich hier im Forum zu später Stunde angemeldet, weil ich bei meiner Recherche zum Thema Daten-Verschlüsselung auf dem Mac oft nur unzureichende Informationen finden konnte. Konkret geht es um Filevault(2) unter OS X.

Im Internet findet man neben viele Jahre zurückreichenden(!) Berichten immer noch aktuelle Berichte von Usern, die sich über eine quälend langsame Verschlüsselung von TimeMachine BackUps beschweren:
https://discussions.apple.com/thread/8297199
Das ist jetzt nur ein Beispiel von vielen, aber was genau ist da los, dass z.B. die Verschlüsselung einer 4 TB Festplatte nach über 2 Tagen erst knapp 25% fortgeschritten ist? AES-Verschlüsselung machen CPUs ja schon lange per Hardware und daher mit links nebenher. Ich gehe bei modernen USB3-HDDs schon sehr konservativ von gerade mal 100 MegaByte/Sekunde aus und komme - wenn ich mich nicht verrechnet habe - auf ca. 10 Stunden für die vollständige Verschlüsselung einer 4 TB großen Festplatte. Ich selbst hatte vor ein paar Jahren übrigens auch mal einen entsprechenden Versuch gestartet und dann irgendwann entnervt abgebrochen, weil bei mir auch eine inakzeptabel hohe Zeitdauer für die Verschlüsselung angezeigt wurde. Die Meldungen könnten daher durchaus echt sein.

Dann ist mir nicht klar, ob nun die gesamte Festplatte verschlüsselt wird, oder nur die mit Daten belegten Bereiche? Da mein MacBook recht voll ist, konnte ich damals bei der Verschlüsselung nicht anhand der Dauer feststellen, ob die leeren Bereiche mit verschlüsselt wurden. Ich habe aber diverse externe Datenträger (32 GB USB-Stick, 120 GB SSD) testweise via Festplatten-Dienstprogramm verschlüsselt formatiert (sowohl APFS als auch Mac OS X Extended) und es hat jeweils nur wenige Sekunden gedauert, bis die Formatierung abgeschlossen war und ich die Datenträger im Finder ganz normal als verschlüsseltes Laufwerk benutzen konnte. Werden bei Apple somit nur die vorhandenen Dateien verschlüsselt? Dann würde die extrem hohe Zeitdauer für das TimeMachine-BackUp aber noch weniger Sinn machen. Oder betrifft die TimeMachine-Verschlüsselung den kompletten Datenträger, während FileVault nur die belegten Bereiche betrifft? Das wäre noch verwirrender, aber ich bin momentan ja auch etwas verwirrt. :)

Was mich auf jeden Fall interessiert ist, wie das mit dem Schutz der Daten funktioniert, die VOR der Verschlüsselung auf dem Laufwerk drauf waren? Bei ner SSD könnte ich mir ja unter günstigen Bedingungen noch TRIM als möglichen Retter in der Not vorstellen, aber auch bei Festplatten und USB-Sticks können ja vor der Verschlüsselung durchaus sensible Daten gespeichert gewesen sein. Mache ich einen Denkfehler oder ist das tatsächlich ein ernstes Sicherheits-Problem, wenn man die Verschlüsselung auf Datenträgern unter OS X erst nachträglich einrichtet?

Vielen Dank schon mal fürs lesen - ich wünsche euch einen schönen Tag...
Zocker909
 
Wo ist das Problem bei der Zeit? Das läuft nebenher, ohne dass du in deiner Arbeit eingeschränkt bist. Du kannst den Rechner sogar zwischendurch ausschalten.
 
Wo ist das Problem bei der Zeit? Das läuft nebenher, ohne dass du in deiner Arbeit eingeschränkt bist. Du kannst den Rechner sogar zwischendurch ausschalten.
Das Problem könnte evtl. sein, dass es sich um ein MacBook (*/Pro/Air) handelt und die Firmenrichtlinie es untersagt, es aus dem Büro mitzunehmen, solange die Festplatte nicht (vollständig) verschlüsselt ist... nur Eines von vielen Beispielen, die man hier bringen könnte.
 
Dann lässt man es halt über Nacht laufen?
 
  • Gefällt mir
Reaktionen: dg2rbf
Ich vermute, dass Apple bewusst nicht mit voller Geschwindigkeit verschlüsselt, damit der Nutzer ohne Beeinträchtigung weiterarbeiten kann. Die Alternative wäre, dass Apple schlicht unfähig ist. Das ist zwar prinzipiell nicht auszuschließen, da sie das auf anderen Gebieten schon mehrfach nachgewiesen haben, aber in dubio pro reo.

Meines Wissens nach verschlüsselt Filevault die komplette Festplatte, d.h. auch den freien Speicher.

Ja, es ist mögich, wenn der Datenträger gelöschte Daten nicht unverzüglich löscht/überschreibt, diese nachträglich auszulesen. Und im vorliegenden Fall wären diese auch nicht verschlüsselt. Die alten Daten auszulesen und korrekt zu rekonstruieren ist jedoch nicht trivial, von daher ist die Gefahr eher gering, aber sicher nicht Null.
Wenn du das verhindern willst, solltest du die Festplatte direkt verschlüsselt formatieren und dann nutzen. Oder man aktiviert die Verschlüsselung und wartet mit dem ersten Backup bis die Verschlüsselung vollständig ist.
 
  • Gefällt mir
Reaktionen: dg2rbf
Ich habe aber diverse externe Datenträger (32 GB USB-Stick, 120 GB SSD) testweise via Festplatten-Dienstprogramm verschlüsselt formatiert (sowohl APFS als auch Mac OS X Extended) und es hat jeweils nur wenige Sekunden gedauert, bis die Formatierung abgeschlossen war und ich die Datenträger im Finder ganz normal als verschlüsseltes Laufwerk benutzen konnte.
Es ist ein Unterschied, ob du Daten verschlüsselst oder einfach eine leere Platte formatierst und dabei angibst, daß die Daten dort zukünftig verschlüsselt abgelegt werden sollen. Beim Formatieren werden ja nur wenige Daten geschrieben. Ist ja nicht so, daß die leere Platte dann in irgendeiner Form mit verschlüsselten leeren Sektoren beschrieben wird.
 
  • Gefällt mir
Reaktionen: dg2rbf
gelöscht wegen ungewünschtem Doppelpost.
 
Zuletzt bearbeitet:
Wo ist das Problem bei der Zeit? Das läuft nebenher, ohne dass du in deiner Arbeit eingeschränkt bist. Du kannst den Rechner sogar zwischendurch ausschalten.

Das Problem ist, dass ich gerne mehrere 8TB Festplatten an meinem MacBook verschlüsseln würde. Im Hinblick auf meinen damaligen Versuch würde das wohl locker bis Weihnachten dauern und ich müsste die ganze Zeit die lästige Verkabelung angeschlossen lassen und auch immer eine Steckdose in der Nähe haben, da es bei der Kapazität eine 3,5" Platte ist. Wenn ich es immer nur über Nacht laufen lasse, ist die Verschlüsselung mit etwas Glück Ostern 2019 abgeschlossen. :)

Meines Wissens nach verschlüsselt Filevault die komplette Festplatte, d.h. auch den freien Speicher.
Das würde in meinen Augen auch durchaus Sinn machen. Aufgrund meiner bisherigen Tests befürchte ich jedoch, dass zumindest bei FileVault der freie Speicher NICHT verschlüsselt wird. Ich hoffe ja, dass ich irgendetwas falsch mache - aber wenn ich externe Datenträger verschlüsselt formatiere, diese nach wenigen Sekunden einsatzbereit sind und die jeweiligen Datenübertragungs-LEDs dann aufhören zu blinken, gehe ich nicht davon aus, dass da im Hintergrund noch irgendetwas weiter verschlüsselt wird.

Die alten Daten auszulesen und korrekt zu rekonstruieren ist jedoch nicht trivial, von daher ist die Gefahr eher gering, aber sicher nicht Null.
Da hast Du sicherlich recht. Investiert man etwas Geld in ein geeignetes Datenrettungs-Programm, lässt sich aber auch von einem Laien zumindest ein Teil des ursprünglichen Verzeichnis-Baums inklusive Daten per Mausklick rekonstruieren.

Ist ja nicht so, daß die leere Platte dann in irgendeiner Form mit verschlüsselten leeren Sektoren beschrieben wird.
Das wird meines Wissens nach bei ernstzunehmender Verschlüsselungs-Software aber genau so gemacht, denn auf den zu verschlüsselnden Datenträgern befinden sich oft Altlasten.

Ich habe heute nochmal längere Tests gemacht und kann folgendes feststellen:
Ein Mac OS X Extended Laufwerk wird mit aktiver FileVault-Verschlüsselung von TimeMachine als BackUp-Volume akzeptiert.
Wie bereits festgestellt, scheint bei FileVault jedoch nicht das komplette Laufwerk verschlüsselt zu werden - was in Hinblick auf die Sicherheit meiner Ansicht nach fatal sein kann.
Wenn ich ein unverschlüsseltes Laufwerk für BackUps mit TimeMachine verschlüssele, verhält sich die Dauer der Verschlüsselungs-Phase NICHT proportional zur gesicherten Datenmenge, sondern zur Laufwerksgröße. Das spricht dafür, dass bei TimeMachine BackUps neben den Daten auch der gesamte freie Speicherplatz verschlüsselt wird.

Ich finde es irritierend, dass sich TimeMachine und FileVault derartig unterschiedlich verhalten. So wie es momentan aussieht, kann man zumindest eine nachträgliche FileVault-Verschlüsselung nicht empfehlen. Leider kenne ich keine vernünftigen Alternativen für macOS - ich kenne natürlich VeraCrypt, aber das bedingt bei macOS anscheinend FUSE und neben der fehlenden System-Verschlüsselung besteht da immer die Gefahr von Fehlfunktionen nach Betriebssystem-Updates.

Vielen Dank für eure Antworten und beste Grüße...
Zocker909
 
Das würde in meinen Augen auch durchaus Sinn machen. Aufgrund meiner bisherigen Tests befürchte ich jedoch, dass zumindest bei FileVault der freie Speicher NICHT verschlüsselt wird.

Moment mal, vielleicht sollte ich kurz erklären war ich mit den Begriffen meine. Filevault ist für mich das Feature die interne Festplatte des Macs über die Systemeinstellung (nachträglich) zu verschlüsseln. Das gleiche Verfahren wird angewendet, wenn man bei der TimeMachine Festplatte (nachträglich) die Verschlüsselung aktiviert. Dabei wird der komplette Volumeninhalt (der freie Speicherplatz inklusive) verschlüsselt. Formatiert man eine Festplatte im Festplattendienstprogramm und legt ein verschlüsseltes Volume an, wird der freie Speicherplatz nicht verschlüsselt (aber das ist auch nicht das Feature „Filevault“).

Was die Sicherheit angeht: Wenn du alte Daten überschreiben willst, kannst du die Festplatte einmal mit Nullen überschreiben und danach ein verschlüsseltes Volume anlegen. Dann hast du die gleiche Sicherheit als wenn du den freien Speicher einmal verschlüsselt hättest (da wird jeder Block ja einfach nur mit dem verschlüsselten Block mit lauter Nullen überschrieben, sicherer als ein Block mit lauter Nullen ist das nicht). Im Festplattendienstprogramm kannst du beim Löschen eine entsprechende Sicherheitsoption wählen. Häufigeres Überschreiben ist bei modernen Festplatten übrigens nicht nötig.
Das funktioniert so allerdings nur bei HDDs, eine SSD hat ja viele Reservezellen und der Kontroller der SSD verteilt die Daten selbstständig auf alle Speicherzellen, um die Schreibleistung zu optimieren und alle Zellen gleichmäßig zu nutzen (das optimiert die Lebensdauer der SSD). Der Nachteil ist nur, es ist nicht sichergestellt, dass beim Überschreiben mit Nullen (oder Verschlüsseln) die Nullen in den gleichen Speicherzellen landen wie die zu überschreibenden Daten waren.
 
  • Gefällt mir
Reaktionen: dg2rbf
Zurück
Oben Unten