System ausschalten für mehr FileVault-Sicherheit
Montag, 25. Februar 2008 um 5:35 Uhr«FileVault nicht mehr sicher: Forscher knacken Festplatten-Verschlüsselung»
… schreibt Lars Schenk per Kommentar in seinem Weblog.
Zuerst einmal: Don’t panic! Bedauerlicherweise hat FileVault viele Schwächen, aber mangels Alternativen bleibt FileVault weiterhin empfehlenswert für alle Mac-Benutzer, die ihr Benutzerverzeichnis schützen möchten, insbesondere auch auf MacBooks. Das von Lars Schenk erwähnte neue Sicherheitsproblem ist zwar unerfreulich, doch werden FileVault und all die anderen davon betroffenen Verschlüsselungslösungen dadurch glücklicherweise nicht nutzlos.
Heise Online beschreibt das neue Sicherheitsproblem wie folgt:
Festplatten- und Datei-Verschlüsselung mit Bitlocker unter Vista, dm-crypt in Linux, mit TrueCrypt oder auch Apples FileVault galt bislang als sicher. Forscher … haben nun demonstriert, wie man mit physischem Zugriff auf angeschaltete Rechner oder Rechner im Standby-Modus mit einfachen Mitteln an die Schlüssel zur Entschlüsselung gelangen kann.
Die Forscher nutzen den Effekt aus, dass Daten im DRAM nicht sofort nach der Kappung der Stromzufuhr verloren gehen, sondern erst nach einem kurzen Zeitraum von wenigen Sekunden bis hin zu einer Minute. … Bei der Kühlung mit flüssigem Stickstoff erreichten die Forscher [sogar] eine Haltbarkeit der Daten im Stundenbereich.
[…]
In den Speicherabbildern kann man nach den Schlüsseln für die Festplattenverschlüsselung suchen. Da nach dem Ausschalten schon Informationen in den Speicherzellen verloren gegangen sein können, haben die Forscher einige Algorithmen entwickelt, mit denen sie Passwörter auch bei geringen Fehlern aufspüren und in kurzer Zeit wiederherstellen können.
[…]
Im Ergebnis unerfreulich, aber kein Grund zur Panik! 
FileVault selbst funktioniert wie gewohnt und es gilt wie schon bisher, dass man sich bei der Verwendung von FileVault jeweils als Benutzer abmelden oder das System herunterfahren sollte. Ohne Benutzerabmeldung sind die mit FileVault geschützten Daten unverschlüsselt zugänglich, ohne Herunterfahren stellt sich das oben beschriebene Sicherheitsproblem mit dem Arbeitsspeicher. Schaltet man ein System hingegen aus, lässt sich der Arbeitsspeicher schon nach kurzer Zeit nicht mehr auslesen, es sei denn, man erlaubt jemandem, den Arbeitsspeicher zu kühlen und damit das Auslesen während längerer Zeit zu ermöglichen … 
Umfassende Informationen zum Thema sind unter http://citp.princeton.edu/memory/ zu finden.
Naja, wer den Aufwand treibt, ein gerade heruntergefahrenen/abgeschalteten Computer zu stehlen, mit Flüssigstickstoff zu kühlen und dann das RAM zum Auslesen ausbaut, um an die im RAM abgelegten (unverschlüsselten) Daten eines auf der HDD verschlüsselten Images zu kommen, wird imho einfacher an die Daten kommen, wenn er mehr ‘persöhnliche’, daumenschraubigere Methoden beim Eigentümer anwendet
Möglich, ja … da sich das Problem durch Ausschalten des Systems im Wesentlichen lösen lässt, halte ich es auch nicht für dramatisch (siehe «Don’t panic!» oben).
Wenn im Vorzimmer schon eine laute Stimme ertönt “Guten Tag, mein Name ist Meier, ich komme von der XYZ-Behörde und dies ist ein Durchsuchungsbefehl. Dürfen wir kurz reinkommen?…” – dann ist Eile geboten.
Einfaches Zuklappen des Macbooks dürfte wohl der größte Fehler sein – richtig? Der Passwortschutz nach dem Wiederaufwachen dürfte wohl einfach zu umgehen sein – oder?
Für ein ordentliches Log-out oder Runterfahren bleibt wahrscheinlich nicht genügend Zeit (zu viele Anwendungen offen, zu oft die Frage “Soll die Datei gespeichert werden?”). Also den Power-Button 5 Sekunden lang gedrückt halten? Liegen dann nicht die Daten im gefilevaulteten Ordner entschlüsselt auf der Festplatte und warten nur darauf, von Herrn Meier´s technisch begabten Experten entdeckt zu werden?
Was sollte man also tun, wenn neugierige Gangster oder Überwacher vorbeikommen, um mein Macbook mitzunehmen?
Ja, leider richtig, zumindest im Grundsatz …
… ja, diese Gefahr besteht leider, FileVault ist keine umfassende Verschlüsselungslösung, sondern arbeitet lediglich mit Disk Images/Sparse Bundles, die ohne Mounting verschlüsselt auf der Festplatte (oder sonstwo) liegen …
… gib Ihnen Dein MacBook mit, Du hast doch nichts zu verbergen!
Nach Möglichkeit sollte man die Festplatte zerstören, beispielsweise mit einem starken Magneten oder einem gezielten Hammerschlag – bei korrektem Vorgehen ist die Wahrscheinlichkeit einer erfolgreichen Wiederherstellung gering. Gleiches gilt übrigens für Daten auf der «Time Capsule», die sich leider nur über Umwege zum verschlüsselten Speichern von Daten bewegen lässt.
mit dem macbook air umgeht man übrigens die gefahr, dass jemand das ram ausbaut