04 Dez Verschlüsseltes MacBook Air: FileVault als Alternative zu PGP WDE?

Sicherheit durch vollständige Systemverschlüsselung mit PGP WDE bremst die aktuelle MacBook Air-Generation deutlich aus – genauso wie jedes andere System mit SSD statt Festplatte. Eine Alternative bietet die Verschlüsselung mit FileVault von Mac OS X, wie nachfolgende Messergebnisse zeigen:

Obiges Diagramm zeigt die erzielten Punkte mit Xbench, nachfolgende Diagramme die jeweils benötigte Zeit in Sekunden.

FileVault führt ebenfalls zu einer Leistungseinbusse, doch fällt diese wesentlich geringer aus als bei der Verwendung von PGP WDE. Leider ist die Nutzung von FileVault dabei mit zahlreichen Nachteilen verbunden, insbesondere funktioniert die stündliche Datensicherung mit «Time Machine» nicht … wie meistens bei Fragen der Sicherheit muss man als Benutzer auch in diesem Fall entscheiden, wo die eigenen Prioritäten liegen.

19 Kommentare
  • Asmus
    Veröffentlicht um 10:13h, 04 Dezember Antworten

    Dazu fällt mir immer wieder nur folgender XKCD ein:
    http://xkcd.com/538/
    :D

    • Lukas
      Veröffentlicht um 11:53h, 04 Dezember

      Plausible deniability lässt grüssen :)

    • Martin (MacMacken)
      Veröffentlicht um 14:38h, 04 Dezember

      Zum Glück spielt dieser Aspekt beim Schutz gegen Diebstahl und Liegen lassen keine Rolle! :)

  • Kay
    Veröffentlicht um 12:30h, 04 Dezember Antworten

    Kannst du vielleicht noch ergänzen, was die Zahlen zu bedeuten haben? Sind das Punkte, Sekunden oder Äpfel? ;-)

    • Martin (MacMacken)
      Veröffentlicht um 14:34h, 04 Dezember

      Punkte (Xbench), ansonsten Sekunden.

  • turboprinz
    Veröffentlicht um 18:18h, 06 Dezember Antworten

    ich benutze verschlüsselte images, weil mir das nicht vorhandene zusammenspiel von filevault und timemachine fehlt, ich aber auch nocht nicht bereit bin, das geld für pgp wde auszugeben.

    • Martin (MacMacken)
      Veröffentlicht um 18:24h, 06 Dezember

      Sofern man nur einen Teil seiner Benutzerdaten verschlüsseln möchte, sind verschlüsselte Disk Images – oder mit Blick auf «Time Machine» Sparse Bundles – ohne Zweifel eine gute Wahl.

  • Wolfgang
    Veröffentlicht um 22:52h, 08 Dezember Antworten

    Es wäre interessant, diesen Test mit PGP WDE 10.1 nochmal zu machen, um zu sehen, ob sich angesichts dieses Statements etwas geändert hat:

    >>Hardware crypto acceleration (when used with Intel Core i5 and i7 processors that support AES-NI)

  • Martin (MacMacken)
    Veröffentlicht um 23:07h, 08 Dezember Antworten

    PGP WDE 10.1 wurde verwendet. Aber: Es gibt kein MacBook Air mit i5- oder i7-Prozessoren. Und unterstützt Mac OS X überhaupt AES-NI?

    • Wolfgang
      Veröffentlicht um 14:28h, 09 Dezember

      Kam 10.1 nicht erst am 7. Dezember raus? Aber davon unabhängig wäre ein Test auf einem MBP auch sehr hilfreich.

    • Martin (MacMacken)
      Veröffentlicht um 14:47h, 09 Dezember

      Damit kann ich leider nicht dienen – das erneute Ausprobieren auf dem MacBook Air war schon aufwendig genug.

    • Lukas
      Veröffentlicht um 22:21h, 09 Dezember

      Und unterstützt Mac OS X überhaupt AES-NI?

      Ja.

      PGP WDE 10.1 wurde verwendet.

      PGP WDE und Filevault unterstützen allerdings (noch) kein AES-NI unter OS X.

    • Martin (MacMacken)
      Veröffentlicht um 22:27h, 09 Dezember

      Danke!

      Gibt es zu Mac OS X und AES-NI empfehlenswerten Lesestoff?

    • Lukas
      Veröffentlicht um 22:49h, 09 Dezember

      AES-NI Operationen laufen sehr Prozessornah ab, es ist daher eigentlich irrelevant auf welcher Plattform programmiert wird.
      Für die Sadisten unter uns bietet Intel auch gleich passenden Sourcecode an – auch in Assembler ;)

      Aber “endnutzer freundliche” Lektüre wirst du momentan (leider) noch nicht finden, für interessierte Nerds bietet sich aber diese Seite mit allen Verweisen etc. an.

      Btw. unter anderem Parallels Desktop ist unter OS X fähig auf AES-NI Funktionen zuzugreifen.

  • Martin
    Veröffentlicht um 12:42h, 08 Februar Antworten

    Hallo,

    ich habe mein Macbook Pro mit PGP WDE komplett verschlüsselt und habe vorher und nachher einmal Xbench laufen lassen.
    Vor Verschlüsselung:
    Disk Test 41.47
    Sequential 88.37
    Uncached Write 87.09 53.47 MB/sec [4K blocks]
    Uncached Write 86.50 48.94 MB/sec [256K blocks]
    Uncached Read 81.58 23.88 MB/sec [4K blocks]
    Uncached Read 100.34 50.43 MB/sec [256K blocks]
    Random 27.10
    Uncached Write 9.29 0.98 MB/sec [4K blocks]
    Uncached Write 67.65 21.66 MB/sec [256K blocks]
    Uncached Read 65.14 0.46 MB/sec [4K blocks]
    Uncached Read 100.95 18.73 MB/sec [256K blocks]

    Nach Verschlüsselung:
    Disk Test 43.48
    Sequential 67.46
    Uncached Write 47.76 29.32 MB/sec [4K blocks]
    Uncached Write 88.01 49.80 MB/sec [256K blocks]
    Uncached Read 58.05 16.99 MB/sec [4K blocks]
    Uncached Read 102.38 51.45 MB/sec [256K blocks]
    Random 32.08
    Uncached Write 12.29 1.30 MB/sec [4K blocks]
    Uncached Write 68.71 22.00 MB/sec [256K blocks]
    Uncached Read 65.23 0.46 MB/sec [4K blocks]
    Uncached Read 74.33 13.79 MB/sec [256K blocks]

    • Martin (MacMacken)
      Veröffentlicht um 17:11h, 08 Februar

      Ich nehme an, es handelt sich um ein MacBook Pro mit vergleichsweise neuem Prozessor und mit Festplatte (das heisst ohne SSD)?

    • Martin
      Veröffentlicht um 17:23h, 08 Februar

      Ja… gekauft Macbook Pro im Juni 2010, keine SSD
      Drive Type Hitachi HTS545032B9SA02

  • Alexander
    Veröffentlicht um 06:23h, 13 Februar Antworten

    Mal wieder typisch Apple: die Sicherheit wird stiefmütterlich behandelt.

    Bei FileVault wird per Default wird unsicher mit nur einem 112-bit-Schlüssel verschlüsselt – und gelegentlich kann auf die verschlüsselten Daten nicht mehr zugegriffen werden.
    (siehe http://www.stroica.com/fehlerhafte-links/

    Gut wenn man die Daten vorher (unverschlüsselt) mit TimeMachine gesichert hat. Ach – das geht gar nicht? Dumm gelaufen!

    • Martin (MacMacken)
      Veröffentlicht um 11:42h, 13 Februar

      Siehe dazu auch: http://www.macmacken.com/2007/12/09/10-schwaechen-von-filevault/.

      Leider behandeln alle Software-Hersteller Sicherheit nur mit Priorität, wenn sie dazu gezwungen werden – so wie beispielsweise Microsoft … diese fehlende Priorität ist letztlich eine Folge dessen, dass Sicherheit kein Verkaufsargument darstellt und die meisten Benutzer gar keine Sicherheit einfordern.

Kommentieren