Die Daten sind sicher unter Lion. Filevault 2!
Datensicherheit ist ein wichtiges Thema und auch Apple hat daran gearbeitet und Filevault 2 ist dabei herausgekommen. Wer sich mit Filevault vergangener Systeme schonmal beschäftigt hat, hat sicher bemerkt, dass es diverse Macken und Schwierigkeiten bereitet hat.
Kernfunktion des neuen Filevault 2 ist die Verschlüsselung des gesamten Volumes bzw. Dateisystems. Man kann unter Lion jetzt sogar USB-Sticks, Festplatten (gilt natürlich auch für das Time Machine Volume) oder andere Medien direkt und komfortabel verschlüsseln — und zwar das gesamte Dateisystem. Man wird nun also direkt beim Bootvorgang nach einem Benutzerpasswort gefragt, es kann irgendein Benutzer des Systems sein. Bei anderen Medien wird direkt nach dem Einstecken nach dem gewählten Passwort gefragt.
Warum sollte man überhaupt Filevault benutzen? Ich denke es gibt mehr als genug Gründe dafür, der wichtigste ist wohl, dass Unbefugter Zugriff auf dem Mac auch unbefugt bleibt. Insbesondere bei einem Diebstahl, bleiben die Daten sicher. Falls man irgendwann den Rechner verkauft, waren die Daten nie im Klartext auf der Festplatte (also immer nur Kauderwelsch) und können somit niemals rekonstruiert werden.
Funktionsübersicht
Apple selbst hat eine kleine Funktionsübersicht erstellt. Aber in diesem Artikel möchte ich aufklären, was einen Filevault Benutzer erwartet — aber eins sei schonmal gesagt: es ist einfach, transparent und unproblematisch!
Filevault 2 einrichten
Wie schon angesprochen ist das neue Filevault ganz einfach einzurichten und erstaunlich schnell. Ich frage mich ob Apple den Intel-Hardware-AES-Befehlssatz der i-Cores umgesetzt hat. Aber selbst wenn nicht, es ist schnell und braucht keine merkbaren Ressourcen.
Schritt für Schritt
In den Systemeinstellungen von Mac OS X 10.7 Lion findet man unter dem Punkt Sicherheit die Option Filevault.
aktivieren
Zunächst müssen alle Benutzer des Computers ihr Passwort hinterlegen, damit sie sich auch alle bei booten des Rechners einloggen können. Also gibt es für ein verschlüsseltes Dateisystem wie es jetzt in Lion bei Filevault eingesetzt wird mehrere Passwörter, die valide sind.
Wiederherstellungsschlüssel
Nur wird ein automatisch generierter Schlüssel angezeigt, den man sich für den Notfall aufbewahren sollte. Er fungiert quasi als zusätzliches Benutzerpasswort und ist eines der Zugangspasswörter.
Den Schlüssel kann man auch bei Apple speichern. Davon kann man halten was man auch immer will.
Das Verschlüsseln des Dateisystems
Nach einem Neustart fängt der Computer an, das Dateisystem zu verschlüsseln und kann dann nur noch mit einem der oben erwähnten Passwörter entsperrt werden, auch wenn man die Festplatte ausbaut, und in einen anderen Mac steckt. Auch wenn man ihn per Target-Modus startet (der Mac wird zur dummen externen Festplatte), wird man beim mounten des Dateisystems nach einem Passwort gefragt. Ohne das Passwort findet man nur Datenmüll vor.
Der Loginscreen vor dem eigentlichen booten des System sieht so aus:
Danach rödelt der Mac ein bisschen um alle Dateien zu verschlüsseln; man kann derweil normal arbeiten. Wenn das geschehen ist, wird alles live und transparent im Hintergrund ver- und entschlüsselt. Man muss sich nicht kümmern und hat eine hohe Datensicherheit.
Fazit
Ich finde es eine sinnvolle und tolle Entwicklung! Es läuft einfach und transparent und lässt keine Wünsche offen, zumal ich jetzt alle Medien verschlüsseln kann. Das Filevault 2 ist eine wunderbare Technologie! Ich kann nur jedem empfehlen nach dem Release Filevault anzuschalten und man muss sich um nichts kümmern. Alle Kritikpunkte des alten Filevault sind meines erachtens nach ausgemerzt.
Das neue Dateisystem kann übrigens nur von OS X 10.7 Lion gelesen werden. Ältere Systeme können damit absolut nichts anfangen!
iTunes in the Cloud — Musik legal waschen?
Wie viele habe auch ich heute die Keynote verfolgt und gerade etwas zum doch recht interessanten iCloud gelesen.
Die Funktionen die es bietet sehen schonmal sehr gut aus und auch günstig. Ich werde sie auf jeden Fall mal ausprobieren, wenn sie rauskommen!
Jedoch sprang mir doch iTunes in the Cloud ins Gesicht. Es verspricht Musik die man über andere Wege eingekauft hat (z.B. CD-Rip, Schallplatte usw.) und im iTunes-Store verfügbar sind über die iTunes Cloud auf allen anderen Geräten die man besitzt (wohl auch der heimische Mac) zu “ersetzen” — sodass man sich halt die große Uploaderei spart im Vergleich zum Amazon-Musikclouddienst zum Beispiel.
Aber was ist jetzt, wenn Musik über dubiose Quellen auf den Rechner gelang? Wäscht die neue iTunes-Cloud diese Musik (theoretisch) rein und das noch in perfekter Qualität? Oder muss man gar nur Dummy-MP3-Dateien erstellen, die nur in der Struktur (Länge, Name etc.) gleich aussehen und iTunes schiebt mir die Musik auf den Mac?
Interessante Frage wie ich finde, und wie sich Apple dagegen schützt. Ansonsten läutet Apple gerade das Zeitalter der Musikwäsche ein! Und dieser Teil der iCloud kostet gerade mal 25 USD im Jahr — eine neue (ungewollte) Musikflat?
E-Mail Zertifikate und Verschlüsselung am Mac
Ich hatte es schon länger mal vor, bin aber nie richtig dazu gekommen mich dort einzuarbeiten. Für die Hochschule stand allerdings eine Semesterarbeit über Internetsicherheit an, indem ich den Bereich der Zertifikate in Angriff nahm und habe es direkt einmal umgesetzt.
Es ist ein wichtiges Thema und es sollten wirklich mehr Menschen nutzen, zumal es doch so einfach ist! Hier will ich also erklären, wie man sich ein Zertifikat einrichten kann mit Apple Mail und einem Google Mail Account (geht natürlich auch noch mit anderen).
Funktionsweise eines E-Mail-Zertifikats
Dieses Zertifikat ist ein Dokument, welches ein zusammengehöriges Schlüsselpaar enthält — den öffentlichen Schlüssel und den privaten Schlüssel. Sie ermöglichen es, dass der E-Mail-Verkehr signiert bzw. sogar (bei Bedarf) verschlüsselt werden kann. Eine Fallenfunktion sorgt dafür, dass man nur in eine Richtung (das verschlüsseln) schnell rechnen kann und in die andere Richtung extrem lange Zeit braucht (Jahre, Jahrzehnte,…).
Diese Schlüssel leben nun in einer solchen Symbiose, dass man mit dem öffentlichen Schlüssel (des Empfängers) etwas verschlüsseln kann (als Sender) und nur mit dem zugehörigen privaten Schlüssel (des Empfängers) diese Nachricht wieder in Klartext wandeln kann.
Nutzen auch wenn die Gegenstelle kein Zertifikat hat
Auch wenn die Gegenstelle (noch) kein Zertifikat besitzt, hat dieser auch schon einen Nutzen. Zwar kann man die E-Mail nicht verschlüsseln, weil er kein Zertifikat hat, aber er kann mit dem richtigen E-Mail-Programm die Signatur der E-Mail prüfen ob diese unverändert zu ihm gekommen ist. Da der Sender sein öffentlichen Schlüssel mitschickt, kann in Zukunft auch immer nachgewiesen werden, dass es definitv von ihm stammt und eben unverändert ist.
Programme wie Apple Mail, Thunderbird oder Outlook zeigen also direkt an, ob diese E-Mail erfolgreich signiert wurde und eine gültige Signatur besitzt — unabhängig davon, ob der Empfänger ein Zertifikat besitzt oder nicht. Leider unterstützen Webinterfaces wie Gmail noch keine Zertifikatsprüfung.
Nutzen wenn die Gegenstelle ein Zertifikat hat
Zusätzlich zur Prüfung der Signatur kann hier nun auch die E-Mail komfortabel verschlüsselt werden. Der Sender muss nur den öffentlichen Schlüssel seines Empfängers besitzen, dann kann die Nachricht mit Hilfe dieses Schlüssels verschlüsselt werden. Und wie oben genannt, wird dieser bei jeder signierten Mail mitgeschickt.
Mit dem jeweiligen privaten Schlüssel (den dann jeder auf seinem Rechner bunkert) kann nun die Nachricht “entschlüsselt” werden.
Zertifikat besorgen
Ich habe mir ein Zertifikat bei trustcenter geholt, welches ein Jahr lang gültig ist. Das ist kostenfrei und diese Zertifizierungsstelle ist von der Bundesnetzagentur offiziell akkreditiert.
Das ist schnell und einfach besorgt. Natürlich ist bei diesem Zertifikat das Vertrauen nicht so hoch wie es bei anderen (teureren) Zertifikaten der Fall ist. Als Class 1 Zertifikat, beweist es nur, dass man der Besitzer der jeweiligen E-Mail-Adresse ist. Aber 100 mal besser als keines!
Am besten mit Safari das Zertifikat holen, weil dann wird es direkt systemweit gespeichert (im Mac OS X Schlüsselbund). Wer Firefox oder Opera benutzt muss aufpassen, da diese nicht auf die systemweiten Zertifikate zurückgreifen! Das Zertifikat wird mittels Java-Script lokal erzeugt, weil der private Schlüssel darf niemals nach außen treten, sonst ist das ganze nicht mehr wirklich sicher — verständlich.
Nachdem ihr übrigens erfolgreich das Zertifikat erstellt habt, sollte es im Schlüsselbund auftauchen.
Apple Mail einrichten
Ich habe ein Google Mail Account, dies funktioniert auch mit jedem anderen IMAP oder POP3 Anbieter, allerdings erkläre ich hier nochmals wie man Apple Mail für GMail einrichtet. Das beinhaltet doch einige Tücken.
Vorbereitung: Google Mail richtig in Apple Mail einrichten
Google selbst gibt eine recht gute Beschreibung, wie man seinen E-Mail-Client einrichten kann (zu finden in GMail selbst). Zusammen mit diesen Bildern sollte man kein Problem haben mit dem IMAP-aktivierten GMail-Account zu kommunizieren.
Persönliches Anliegen:
Bitte immer alle Mails als Plain-Text verschicken, das ist quasi ein ungeschriebenes Gesetz — zumindest falls man einigermaßen professionell wirken möchte. Es gibt Ausnahmen, wo auch html-Mails angebracht sind.
Vorgehen: Signierung
Was geschieht bei der Signierung?: Der Sender bildet mit Hilfe seines privaten Zertifikatsschlüssels eine Signatur und hängt diese zusammen mit dem öffentlichen Zertifikatsschlüssel an die E-Mail an. Jetzt kann der Empfänger gegenprüfen, ob diese Nachricht unverändert bei ihm angekommen ist und ob sein Zertifikat gültig ist. Das Zertifikat ist ja über das Wurzelzertifikat der Zertifizierungsstelle gültig gemacht worden — wenn dort irgendetwas nicht stimmt (z.B. Betrüger etc.) findet man das somit recht schnell heraus.
Wenn beide Seiten ein Zertifikat besitzen und jeweils die öffentlichen Schlüssel bekannt sind, kann man auch verschlüsselt übertragen. Das geschickte ist, dass ja die öffentlichen Schlüssel mitgeliefert werden bei der E-Mail und Apple Mail legt diese in den Schlüsselbund ab, also kann die nächste E-Mail automatisch verschlüsselt übertragen werden. Ohne viel Aufwand.
Mein Gesprächspartner schickt mir also eine E-Mail mit seinem öffentlichen Schlüssel und ich kann ihm schon verschlüsselt zurückschreiben, und nachdem er meine Mail erhalten hat, kann er mit meinem öffentlichen Schlüssel wieder verschlüsseln. Wenn Du mehr darüber erfahren willst, lege ich dir meine Facharbeit (asymmetrische Verschlüsselung) ans Herz. Apple Mail macht uns das aber so einfach, dass wir fast gar nichts davon merken, wenn wir es einmal eingerichtet haben.
Beim Sender
Hier ein kleines Bild, wie das aussieht, quasi nur ein Klick. Mail merkt sich sogar den Klick, also muss man sich quasi nicht mehr darum kümmern, wenn es einmal eingerichtet ist.
Was geschieht beim Empfänger?
Und der Empfänger bekommt zumindest eine signierte Mail, selbst wenn er kein Zertifikat besitzt. Apple Mail und auch viele andere E-Mails-Clients (Thunderbird, Outlook, …) prüfen das Zertifikat! Und wie gesagt, wenn beide Kommunikationspartner ein Zertifikat besitzen können sie sogar verschlüsselt senden und haben damit sogar die E-Mail sicherer vor Dritten gemacht als es ein Brief täte.
Fazit
Ich hoffe, dass dieser Beitrag motivierend war, sich selbst damit auseinanderzusetzen und selbst damit anzufangen und eventuell die Funktionsweise besser zu verstehen. Je mehr Leute es machen, umso besser ist die Sicherheit — man könnte damit sogar den “Spammern” das Leben erheblich schwerer gestalten! E-Mails können damit sicherer werden als normale Briefe, insbesondere wenn der Statt auch noch anfängt Zertifikate gekoppelt mit dem Ausweis auszustellen (Class 4 Zertifikate!) — dann kann man sich einer echten natürlichen Person sicher sein. Wenn noch ein Web Of Trust daran gekoppelt wird, fallen sogar noch Betrüger (die z.B. ihren echten Namen missbrauchen) aus dem Raster und können schnell identifiziert werden.
Mac OS X 10.7 (Lion) — warum es kein iOS-Abklatsch ist.
Heute wurde nun der Nachfolger für Mac OS X Snow Leopard enthüllt, was Mac-only-User wie mich freut. Ich bin wegen dem Betriebssystem zu Apple gewechselt und nicht wegen den iPods, iPhones, iPads also nicht wegen irgendwelchem iGedöns. Mich überzeugte Mac OS X, UNIX, die Benutzerfreundlichkeit, von Anfänger bis Hardcore-UNIX-Geek-Profi ist dieses System für jedermann geeignet. Und wie man sieht bewärt sich das System auf sehr vielen Plattformen, von Heimcomputer, Profiwerkzeug (von Fotograf bis Programmierer), für Server, Serverfarmen, ja und sogar als Mobiltelefonplattform — es gibt nichts worauf sich UNIX nicht skalieren lässt.
NTFS und Mac OS X — ein viel diskutiertes Thema
Da im Forum sehr häufig das Thema ntfs durchgekaut wird, habe ich mir überlegt eine kleine Zusammenfassung zu den Dateisystemen zusammenzustellen und insbesondere Lösungsmöglichkeiten aufzeigen die das Microsoft-Dateisystem NTFS und Mac OS X betreffen.
Mehr lesen …
Snow Leopard Grafik-Update unter der Lupe
Vor wenigen Stunden (man kann sogar fast noch von Minuten sprechen) wurde ein neues und lang ersehntes Grafiktreiber-Update von Apple veröffentlicht. Zur Zeit machen immer mehr und mehr Spiele den Umzug auf Mac OS X real und das ist auch gut so. Allerdings hatte sich Apple mit 10.6.4 einen Schnitzer erlaubt — die Grafikperformanz war im Vergleich zu 10.6.3 gesunken. Aber heute ändert sich wieder alles zum Guten:
Mehr lesen …
iMac — Auktion erstellt
Da ich nun mein MacBook Pro endlich erhalten habe und es schon seit einer Woche in Betrieb ist, werde ich meinen Plan fortführen: Das MacBook Pro ersetzt meine bisherigen Macs, nämlich das MacBook1,1 und mein iMac7,1. Das MacBook hat schon im Freundeskreis einen Abnehmer gefunden. 
Nun wartet mein iMac auf ein neues Zuhause — ich verkaufe ihn wirklich mit viel Wehmut — und ich hoffe er erhält ein schönes Zuhause! Falls ihr euch für den top in Schuss gehaltenen 20″ iMac Alu erster Generation, der noch nie *klopf auf Holz* die kleinsten Zicken gemacht hat, erwerben wollt, kann gerne auf eBay mitgesteigert werden.
Mehr lesen …
MacBook Pro 6,1 bestellt!
Endlich sind sie da, die neuen MacBook Pros — und ich habe mir direkt eines bestellt:
- 2.4GHz Intel Core i5
- 4GB 1066MHz DDR3 SDRM – 2×2GB
- 320GB Serial ATA Drive @ 5400
- MBP 15″HR Antiglare WS Display
Da meine Hochschule an „Apple on Campus“ teilnimmt, konnte ich einige Prozent sparen.
Jetzt fragen sich sicher einige, warum ich das doch relativ schwache MBP bestellt habe und nicht das mit Intel Core i7. Der Grund ist ganz einfach: Für die geringe Mehrleistung, ist mir der Aufpreis nicht wert. Zwischen diesem Prozessor (der etwa dem schnellsten Core2Duo entspricht) und dem i7 liegen etwa 12% Leistungsunterschied, also nicht viel — zumal technologisch i5 und i7 sich nichts schenken (bis auf 1 MB Level-3-Cache mehr und ein paar MHz). Dieses Geld werde ich lieber in eine SSD investieren! Zumal ich nicht auf „prozessorintensive“ Anwendungen setze, dies sind in den meisten Fällen eben die Spiele.
Ich hoffe mal, dass sich der recht hohe Preis für das bessere Display gelohnt hat! Aber ich denke schon, denn ich habe diesen Spiegel-Glossy-Müll, schon seit dem die Industrie damit angefangen hat, satt und darauf freue ich mich besonders. Wie immer gibt es einen Bericht, insbesondere da ich doch mal gerne das ein oder andere Spiel (Battlefield Bad Company 2, World of Warcraft, …) anwerfe, wird’s auch dazu einen Test geben.
Was habt ihr für einen subjektiven Eindruck der neuen Generation der MacBook Pros?
Mit dem deutschen Tastaturlayout komfortabel coden
Wenn programmiert wird, werden des öfteren sämtliche Klammerungstasten ausgiebig genutzt. Auf dem deutschen Tastaturlayout führt dies oft zu Verrenkungen, besonders wenn es sich um die sehr unzugänglichen Tasten der eckigen Klammern dreht. Unser Lieblingsbetriebssystem Mac OS X hat dort natürlich auch eine Lösung parat — mit etwas Bastelei, was gar nicht so viel Bastelei war, konnte ich auf einfache Art das Tastaturlayout meinen Wünschen anpassen.
Mehr lesen …
Das neue Design ist da!
Nach dem ganzen Prüfungsstress habe ich nun Zeit gefunden endlich das neue Design aufzusetzen und im selben Atemzug auch dem 4pple.de Backend ein Wordpress-Update zu spendieren. Nun ist es da, auch wenn es hat länger gedauert hat, dennoch hat sich gelohnt. Ich finde es ganz gelungen! Ich hoffe euch gefällt es auch so gut.
ältere Artikel »