Bootfähigen Klon verschlüsseln?

[Florian]

Muss meine Backups absichern.

Das Time-Machine-Backup ist in einem verschlüsselten Disk Image, aber wie schaffe ich einen bootfähigen Klon?

Mit Truecrypt geht es ja scheinbar nicht, oder doch?
 Die einzige Software-Möglichkeit nach meiner Recherche könnte PGP WDE sein, aber davon gibt es wieder keine Demoversion und 110 € sind mir zum Ausprobieren zu teuer, auch wenn es eine Geld-Zurück-Garantie gibt. Die Infos auf deren Seite sind nicht zielführend. Hat das Jemand von Euch im Einsatz und kann bestätigen, dass die Platte am Mac per FW/USB bootet?

Gleiche Frage zu WDs My-Passport-Platten. Zwar habe in älteren Beiträgen in deren Supportforen gelesen, dass es bei Beachtung einer gewissen Datei (vom Klon ausnehmen) funktionieren müsste, aber lieber wäre mir eine aktuelle Bestätigung eines Mitglieds hier.

[radneuerfinder]

Klon in abschliessbare schublade?

[MacFlieger]

Das Thema hatte mich auch schon einmal interessiert, weil eine komplett verschlüsselte Platte dafür sorgen würde, dass jemand auch durch Diebstahl des Gerätes keinen Zugriff auf die Daten hat.

Mit TrueCrypt unter Windows geht es problemlos und habe ich auch schon mal eingerichtet. Leider macht TrueCrypt auf dem Mac genau das nicht.

Ansonsten gibt es wohl nur 2 kommerzielle Softwaren, die das können.
1. Das von Dir erwähnte PGP Whole Disk Encryption für ca. 110$
2. Check Point Endpoint Security (Preis keine Ahnung)

Erfahrung habe ich mit beiden nicht. Aber bei PGP WDE gab es mal vor kurzem echte Probleme, weil die wohl ihre Software nicht mit den Developer Releases getestet hatten:
http://www.heise.de/newsticker/meldung/PGP-warnt-vor-Update-auf-Mac-OS-X-10-6-5-1135334.html
Das würde mir Angst machen. Mit TrueCrypt unter Windows hatte ich derartige Probleme noch nicht, obwohl ich das noch nie geupdatet habe.

[Florian]

Ja, weiß ich von diesem Problem. Ich bin sowieso kein Fan von PGP.
Check Point richtet sich m.E. nur an Firmen. Ich muss das leider in Eigenregie austüfteln weil MS-Vermeider.

Also doch die angeblich hardware-verschlüsselte WD? Aber diese My Passport ist ja total intransparent. Ich finde die verdächtig günstig, falls das Konzept wirklich sicher ist, d.h. volle Datenverschlüsselung auf Hardware-Basis.
Und ob die dann auch pre-boot das Passwort verlangen, und dann OS X booten, konnte ich auch nicht herausfinden.

Schublade ist lästig, wird leicht geknackt… und die Platte müsste auch unterwegs sicher sein.  

Ebenso lästig Filevault - denn dann muss man für TM und Klon immer den User wechseln. Und hat viel Zeitaufwand, weil das Sparsebundle nur in 8-MB-Schritten „vermessen“ wird, also vermeintlich viel geändert wurde.

Ein sicheres Backup muss aber automatisch passieren. Je lästiger, desto seltener.

Eine andere Option wäre, auf den bootfähigen Klon zu verzichten, stattdessen ein nacktes OS X auf einen USB-Stick/einen anderen Mac und von dort auf die verschlüsselten Daten zugreifen. Aber das ist wieder nicht so supereasy wie es sein sollte, wenn man kurz vor der Deadline was fertigmachen muss.

Ein Disk Image für ausgewählte Dinge scheidet aus, ich muss/will alles absichern.


Vielleicht bestelle ich einfach mal eine My Passport und wenn's nicht funktioniert, habe ich halt eine normale HD zusätzlich. Leider installiert WD scheinbar auch gleich wieder Crapware auf den Rechner.  

Ach, es ist wirklich alles nicht so einfach.
 

[MacFlieger]

Also doch die angeblich hardware-verschlüsselte WD? Aber diese My Passport ist ja total intransparent. Ich finde die verdächtig günstig, falls das Konzept wirklich sicher ist, d.h. volle Datenverschlüsselung auf Hardware-Basis.
Und ob die dann auch pre-boot das Passwort verlangen, und dann OS X booten, konnte ich auch nicht herausfinden.

Da bin ich mir fast zu 100% sicher, dass man davon nicht OS X booten kann.
Bezgl. der Sicherheit solcher Hardwarelösungen gibt es öfters mal Tests in der c't, die oft verheerend sind.
Ich persönlich würde auf die Bootfähigkeit verzichten und die Platte mit dem Backup ganz normal verschlüsseln.

Ebenso lästig Filevault - denn dann muss man für TM und Klon immer den User wechseln. Und hat viel Zeitaufwand, weil das Sparsebundle nur in 8-MB-Schritten „vermessen“ wird, also vermeintlich viel geändert wurde.

Ja, Filevault und TM harmonieren nicht.

Eine andere Option wäre, auf den bootfähigen Klon zu verzichten, stattdessen ein nacktes OS X auf einen USB-Stick/einen anderen Mac und von dort auf die verschlüsselten Daten zugreifen. Aber das ist wieder nicht so supereasy wie es sein sollte, wenn man kurz vor der Deadline was fertigmachen muss.

So würde ich es machen. Gerade das mit dem USB-Stick. Halte ich nicht für so kompliziert. Zumal man das sowieso selten bis nie.

[Florian]

Zumal man das sowieso selten bis nie.

Aber wenn, dann immer dann, wenn man es gar nicht brauchen kann.

Ein bootfähiger, aktueller Klon ist halt der absolute König, denn man arbeitet einfach weiter. Nun ja. 

[radneuerfinder]

bootfähiges agespecktes os x auf externer Backupplatte. Das zu sichernde System kommt in ein verschlüsseltes Image, das das original oder das abgespeckte os x aufsperren und entpacken kann. Ich frage mich nur ob alle Programme in so einem Image richtig laufen. Aber warum nicht?

[warlord]

Ein bootfähiger, aktueller Klon ist halt der absolute König, denn man arbeitet einfach weiter. Nun ja.  

Ist halt einfach immer die Frage, wogegen man sich schützen will/muss. Das Zielpublikum, bei dem sowas einerseits notwendig ist und andererseits gegen die abzusichernden Gefahren auch wirklich schützt, dürfte halt einfach extremst klein sein.

[MacFlieger]

Aber wenn, dann immer dann, wenn man es gar nicht brauchen kann.

Naja, _so_ häufig passiert das doch auch nicht, oder? Mir ist es zum Glück noch nie passiert, das ich auf ein Backup zurück greifen musste und keine Zeit gehabt hätte, das dann wie von mir und radneuerfinder vorgeschalgen zurück zu spielen.

Ein bootfähiger, aktueller Klon ist halt der absolute König, denn man arbeitet einfach weiter. Nun ja. 

Wobei ein Klon, von dem man bootet ist auch kein Backup mehr, d.h. neben dem normalen Backup müsstest Du dann auch noch jeweils den bootfähigen Klon backupen...

Ich denke, das ist alles viel zu kompliziert.
Bootfähiges System auf USB-Stick, ext. Platte oder CD, verschlüsseltes Backup auf ext. Platte und gut. Sollte man wirklich darauf zugreifen müssen, kann man halt nicht sofort booten und arbeiten, sondern muss vor dem Arbeiten noch ein paar Stunden warten, bis die Daten zurück kopiert sind. Wenn derartiges wirklich mal notwendig sein sollte. Dafür hat man vorher die ganze Zeit weniger Arbeit und kann das automatisieren.

[radneuerfinder]

Diese Platte kommt in der c't besser weg:
http://www.heise.de/security/artikel/Klein-schwarz-sicher-270126.html

[Florian]

Naja, _so_ häufig passiert das doch auch nicht, oder? Mir ist es zum Glück noch nie passiert, das ich auf ein Backup zurück greifen musste und keine Zeit gehabt hätte, das dann wie von mir und radneuerfinder vorgeschalgen zurück zu spielen.

Nur weil es noch nie passiert ist, heißt es ja nicht, dass man sich dagegen nicht versichern sollte. Klar muss das Jeder selbst entscheiden.

Ich habe eigentlich immer irgendeinen Zeitdruck, und ich muss verschlüsseln.

Man kann sich den Alptraum ja gut vorstellen:
Man reist zu einem Vortrag, auf dem Hotelzimmer will man noch fertig recherchieren, da bootet der Mac nicht mehr. Zeit hat man dann vielleicht sogar noch, aber die Nerven?

Wobei ein Klon, von dem man bootet ist auch kein Backup mehr, d.h. neben dem normalen Backup müsstest Du dann auch noch jeweils den bootfähigen Klon backupen...

Das schon. Aber das wäre dann ja das kleinere Problem.

Ich denke, das ist alles viel zu kompliziert.
Bootfähiges System auf USB-Stick, ext. Platte oder CD, verschlüsseltes Backup auf ext. Platte und gut. Sollte man wirklich darauf zugreifen müssen, kann man halt nicht sofort booten und arbeiten, sondern muss vor dem Arbeiten noch ein paar Stunden warten, bis die Daten zurück kopiert sind. Wenn derartiges wirklich mal notwendig sein sollte. Dafür hat man vorher die ganze Zeit weniger Arbeit und kann das automatisieren.

Hast ja recht, habe das selber ja als Alternative geschrieben. Das Optimum ist es aber nicht. Allerdings, auch schon geschrieben, ist ein nicht-automatisiertes Backup per se unsicher. Damit ist das auch mit Filevault erledigt… die Userpassworte in OS X sind ja ein Witz an Sicherheit. Wird der Mac gestohlen… 
Würde ich sagen: Okay, ich arbeite unter Windows, würde das alles Jemand für mich einrichten. Macs sind eben nicht nur immer easy.

[Florian]

Diese Platte kommt in der c't besser weg:
http://www.heise.de/security/artikel/Klein-schwarz-sicher-270126.html

Danke für den Link. Leider wird auch nicht erörtert, ob man davon booten kann.
WD bietet übrigens generell keinen Support fürs Booten, verschlüsselt oder nicht. Lustiger Verein.

[MacFlieger]

Nur weil es noch nie passiert ist, heißt es ja nicht, dass man sich dagegen nicht versichern sollte. Klar muss das Jeder selbst entscheiden.

Ich habe ja nicht geschrieben/gemeint, dass man sich dagegen nicht versichern muss/sollte.
Wie Du selber schreibst, muss man das ganze möglichst automatisch machen lassen, sonst findet es nicht statt.

Bootfähiger Klon heisst dann, dass man neben dem normalen Backup also noch ein zweites machen muss, was bei den meisten Programmen dafür jedes Mal sehr zeitaufwändig ist.

Praktisch hast Du leider nur die Wahl:
- entweder einfaches automatisiertes Backup (z.B. mit TM) und dann im sehr seltenen Problemfall ein hoher Zeitbedarf zum Zurückkopieren des Backups.
- oder zusätzlich zum normalen automatisierten Backup noch einen unverschlüsselte Klon (oder verschlüsselt, wenn das die Platte selber und transparent ohne Treiber macht), den man regelmäßig anlegen muss.
Also die Wahl zwischen sehr selten einem Zeitverlust oder ständig viel Arbeit.

Man kann sich den Alptraum ja gut vorstellen:
Man reist zu einem Vortrag, auf dem Hotelzimmer will man noch fertig recherchieren, da bootet der Mac nicht mehr. Zeit hat man dann vielleicht sogar noch, aber die Nerven?

Ist mir schon klar, wann so etwas zum Horror werden kann. Ich mache es daher meist so, dass ich die Präsentation dann noch zusätzlich in anderen Formen (USB-Stick, CD) und anderen Formaten (PDF, Film) mitbringe. Dann kann ich zur Not immer noch eine abgespeckte Version auf einem Fremdrechner ablaufen lassen.

Du müsstest Dir mal überlegen, welche Problemfälle tatsächlich von Dir verlangen, dass es sofort gehen muss und nicht in dem sehr seltenen Fall ein paar Stunden Zeit hätten. Eine Präsentation wäre da wie von Dir genannt ein Punkt. Wie wäre es dann mit folgender Idee:
- Auf einen USB-Stick oder externe Platte packst Du keinen Klon, sondern einfach ein installiertes OS X mit nur den Programmen, die Du in solchen Notfällen brauchst. Diese Platte müsste dann ja nicht ständig aktualisiert werden und auch nicht verschlüsselt. Bei einem Hardwareausfall könntest Du dann entweder von Deinem verschlüsselten Backup wiederherstellen, wenn genügend Zeit ist, oder einfach diese andere Version booten, aus dem verschlüsselten Backup oder woanders her die Präsentation kopieren und fertig.
Was hältst Du davon?

[Florian]

Praktisch hast Du leider nur die Wahl:
- entweder einfaches automatisiertes Backup (z.B. mit TM) und dann im sehr seltenen Problemfall ein hoher Zeitbedarf zum Zurückkopieren des Backups.
- oder zusätzlich zum normalen automatisierten Backup noch einen unverschlüsselte Klon (oder verschlüsselt, wenn das die Platte selber und transparent ohne Treiber macht), den man regelmäßig anlegen muss.
Also die Wahl zwischen sehr selten einem Zeitverlust oder ständig viel Arbeit.

Das Klonen kann man auch automatisieren, natürlich inkrementiell, z.B. mit SuperDuper oder, soweit ich weiß, CCC. Und ja, so mache ich das: TM und Klon per SD auf verschiedene Platten. Leider eben Letzterer unverschlüsselt.

Ist mir schon klar, wann so etwas zum Horror werden kann. Ich mache es daher meist so, dass ich die Präsentation dann noch zusätzlich in anderen Formen (USB-Stick, CD) und anderen Formaten (PDF, Film) mitbringe. Dann kann ich zur Not immer noch eine abgespeckte Version auf einem Fremdrechner ablaufen lassen.

Klar, es geht alles irgendwie. Ich such(t)e aber meine Königslösung.

Du müsstest Dir mal überlegen, welche Problemfälle tatsächlich von Dir verlangen, dass es sofort gehen muss und nicht in dem sehr seltenen Fall ein paar Stunden Zeit hätten

.

Na was glaubst Du, warum ich mich für das Thema interessiere? Die Überlegung stand natürlich am Anfang. Und ja, ich tendiere dazu oft im allerletzten Moment noch mal was zu ändern… kann mich vielleicht auch wandeln, aber da ich das seit frühen Schulzeiten so halte, denke ich eine Adaption der Tools an mich ist erfolgsversprechender.

Auf einen USB-Stick oder externe Platte packst Du keinen Klon, sondern einfach ein installiertes OS X mit nur den Programmen, die Du in solchen Notfällen brauchst. Diese Platte müsste dann ja nicht ständig aktualisiert werden und auch nicht verschlüsselt. Bei einem Hardwareausfall könntest Du dann entweder von Deinem verschlüsselten Backup wiederherstellen, wenn genügend Zeit ist, oder einfach diese andere Version booten, aus dem verschlüsselten Backup oder woanders her die Präsentation kopieren und fertig.
Was hältst Du davon?

Die Idee hatte ich doch selbst gepostet, und noch mal bestätigt: Ja, ist ein akzeptabler Ausweg. Habe ich auch schon mal so gemacht.

Aber ich werde trotzdem noch mal in mich gehen, ob ich nicht PGP WDE bevorzuge, ein Booten eines Klons scheint hier möglich, wenn auch nicht unter allen Konfigurationen. Ich dachte halt vielleicht  hat hier Jemand so etwas laufen und kann etwas empfehlen.

[Florian]

Die einzige Software-Möglichkeit nach meiner Recherche könnte PGP WDE sein, aber davon gibt es wieder keine Demoversion

Da habe ich mich vertan. Man kann sich ein Trial des ganzen PGP Desktop ziehen:
http://www.pgp.com/downloads/desktoptrial/desktoptrial2.html

Da ist WDE dann dabei. Werde mich demnächst erst wieder damit beschäftigen können, derweil ist ein USB-Stick im Einsatz.