Wer selbst basteln will - auf zu Animoto! Und dann hier posten :-)

Seit je her habe ich meine Backups verschlüsselt. Das erledigt bisher ein Linux Rechner unter meinem Schreibtisch. Jetzt sammeln sich aber immer mehr Daten auf externen Festplatten an. Da wären z.B. die TimeMachine oder diverse FireWire Platten auf denen sich meine Lightroom Bibliothek befindet. Ich weiß, wie ich eine sichere Verschlüsselung unter Linux hin bekomme - aber wie geht das unter OSX?

FileVault2 ist kaputt

Nein, FileVault2 ist eigentlich sogar richtig gut - eigentlich. Standardmäßig ist der Key nämlich auf der Festplatte abgelegt und nur durch ein Passwort geschützt. Die Schwachstelle ist nicht der Key - sondern das Passwort. Das Vorgehen ansich ist gut, nur sollte der Key nicht auf der Festplatte sondern irgendwo anders (USB Stick?) liegen.

Systemfestplatte verschlüsseln

Ich verschlüssle meine Systemfestplatte nicht, da dort eigentlich kaum Daten liegen. Wer es dennoch tun möchte. Hier wird beschrieben wie man den public Key extrahiert und von externer Quelle wieder einbindet: Using Institutional Keys with FileVault 2

Externe Festplatte verschlüsseln

Leider habe ich es nicht geschafft die Lösung oben auf eine externe Festplatte anzuwenden. Der Grund dafür ist, dass ich keine Option für diskutil gefunden habe, die es erlaubt mit einem public key aus dem FileVault Master Zertifikat zu verschlüsseln. Falls jemand weiß wie das geht -> melden!

Also nutze ich den holprigen Weg zu Fuß:

Pflichtenheft:

• Ich möchte meine Festplatte mit einem sicheren Key (512 Byte aus /dev/random) verschlüsseln
• Dieser Key soll auf einem USB Stick liegen
• Dieser USB Stick soll mit einem Passwort gesichert und verschlüsselt sein

Vorgehensweise

1. USB Stick partitionieren (GPT Partitionstabelle verwenden!). Das geht mit dem Festplatten Dienstprogramm.

2. USB Stick verschlüsseln (Mein Stick heißt "Stick" und hört auf das Device disk2s1. Das findet ihr raus mit dem Befehl mount. Der Befehl fragt euch nach einem Passwort. Gebt hier das Passwort ein mit der ihr zukünftig den Key entschlüsseln wollt.

   diskutil cs convert disk2s1 -stdinpassphrase

3. Sicheren Festplattenschlüssl erzeugen und auf dem USB Stick ablegen

   dd if=/dev/random of=/Volumes/Stick/data.dat bs=512 count=1

4. Jetzt die Festplatte (die hört bei mir auf den Namen disk3s2 und muss ebenfalls eine GPT Partitionstabelle besitzen) mit dem Key auf dem USB Stick verschlüsseln

   diskutil cs convert disk3s2 -stdinpassphrase < /Volumes/Stick/data.dat

Im Wesentlichen war es das. Das System ist jetzt damit beschäftigt die Festplatte zu verschlüsseln. Den aktuellen Stand kann man mit diesem Befehl abfragen:

diskutil cs list

In der Liste sieht man auch die UUIDs der neu angelegten Logical Volumes, die brauchen wir zum entschlüsseln. Um an die Daten der Festplatte zu kommen muss zuerst der USB Stick im Rechner stecken.

USB Stick entschlüsseln (die UUID habe ich diskutil cs list entnommen):

diskutil cs unlockVolume F9C82434-AB12-4BB9-BE73-60871D59B32D -stdinpassphrase

Der Befehlt fragt nach dem FileVault2 Passwort welches ihr oben eingegeben habt zum verschlüsseln. Danach ist der Zugang zum eigentlichen Festplatten Key frei.

Festplatte entschlüsseln:

diskutil cs unlockVolume 9BDCFAD5-EFA3-42B4-AD54-87EE7409172D -stdinpassphrase < /Volumes/Stick/data.dat

Danach kann der USB Stick wieder ausgeworfen werden:

diskutil eject F9C82434-DC12-4BB9-BE73-60871D59B32D

Die letzten 3 Befehle habe ich mir einfach in ein Script gepackt und es "decrypt" genannt. D.h. ich kann jetzt einfach durch eingabe von decrypt im Terminal meine Festplatte entschlüsseln - vorausgesetzt der USB Stick mit dem Key darauf steckt im System.

Also, zieht ihr den USB Stick ab sind eure Daten sicher. Merkt euch das... im Falle eines Verlustes oder Zerstörung des USB Sticks kommt ihr nie-nie-nie mehr ran an eure Daten auf der Festplatte

Nachteile:

Leider hat das diese Methode ein paar kosmetische Mängel. Beim Start des Systems oder beim Einstecken des USB Sticks fragt OSX direkt nach einem Passwort. Wer möchte, kann den USB Stick direkt auf diese Art und weise entlocken. Der selbe Dialog kommt aber auch für die Festplatte. Da wir für diese aber kein Menschenlesbares Passwort, sondern eine Zeichenkette aus /dev/random genommen haben, ist es unmöglich dort etwas einzutragen. Ihr müsst diese Dialog also immer über die Schaltfläche "Abbrechen" schließen.

Es gibt/gab wohl die Möglichkeit in der Datei /etc/fstab Einträge zu hinterlegen die das automatische Mounten verhindern. Auf meinem OSX 10.7.2 habe ich dort jegliche UUIDs aus diskutil cs list mit der mountoption "noauto" versehen - ohne Erfolg. Diese Methode funktioniert bei mir also leider nicht.

Disclaimer

Diese Beschreibung basiert auf meinen Erkenntnissen der letzten Tage und eigenen Experimenten. Benutzung auf eigene Gefahr. Wenn euch also die Festplatten explodieren oder sich der Monitor verformt... ich habe euch gewarnt!

Wie gesagt, ein Test - nichts wirklich aufregendes im Video zu finden...

Vorher / Nachher Bild:

Wenn dir die Symptome oben bekannt vorkommen, dann mache folgendes:

Öffne diesen Ordner:

C:\Program Files (x86)\Common Files\Apple\Apple Application Support

Klicke rechts auf APSDaemon.exe -> Eigenschaften (Properties). Wähle den Tab "Kompatibilität" und markiere die Checkbox ganz unten um das Programm mit Administratorrechten zu starten. Starte danach den PC neu.

Nun holt sich Windows zwar bei jedem Start die Genehmigung (UAC) dieses Programm als Administrator ausführen zu dürfen, dafür sollten die Probleme mit iTunes, iCloud und Outlook aber behoben sein.

$ sudo defaults write /System/Library/LaunchDaemons/com.apple.backupd-auto StartInterval -int 172800