Er du paranoid eller har en datamaskin stappfull med svært sensitiv informasjon, holder verken Apples FileVault eller verktøy som Espionage som vi omtalte i forrige uke. De virkelige paranoide krypterer nemlig hele oppstartsdisken sin, noe som gjør det umulig å få tilgang til eller bruke en stjålet datamaskin. Mange bedrifter som behandler sensitiv informasjon krever at hele harddisk, inkludert oppstartsvolum, er kryptert. I Mac OS X har det ikke vært mulig inntil nå.
Et program med det slående navnet PGP Whole Disk Encryption gjør det nå endelig mulig å kryptere hele harddisken på en Intel Mac med Mac OS X. Etter introduksjonen av Mac OS X og nedleggelsen av Mac OS 9 fant dessverre ingen krypteringsprogrammer som krypterer hele oppstartsvolumet veien til Mac og i de siste 8 årene har paranoide Mac-brukere måtte benytte Windows for å få samme trygghet. Heldigvis har den økende utbredelsen av Mac, også i bedrifter, ført til at det kjente selskapet Pretty Good Privacy (PGP) nå har lansert sitt verktøy PGP Whole Disk Encryption også for Mac.
Med PGP Whole Disk Encryption velger du gjennom et grafisk brukergrensesnitt hvilke harddisker du ønsker å kryptere, et passord/nøkkel og deretter krypteres absolutt all data på din harddisk - uansett om dette er en oppstartsdisk, en ekstern harddisk eller en USB-minnebrikke. Innholdet krypteres med en AES 256bit-kryptering, noe som burde være nok for selv den mest paranoide.
Etter at du har kryptert din oppstartsdisk, noe som tar relativt lang tid med dagens store harddisker, merker du ingenting til PGP Whole Disk Encryption før du tar en omstart av datamaskiner. Etter en omstart presenteres du nemlig med PGPs BootGuard som ikke lar deg starte maskinen uten din krypteringsnøkkel. Blir din Mac stjålet får tyven absolutt ingen tilgang til maskinen, hvis ikke han da har et par superdatamaskiner som kan knekke AES 256-bits krypteringer.
PGP Whole Disk Encryption er et velfungerende verktøy, men har også sine klare mangler. Glemmer du å slå av din datamaskin, eller bare putter den i dvale, er fortsatt alle dine data dekryptert. Skulle du være så uheldig å få stjålet din bærbare med sensitive data og denne er på eller i dvale er alle dine data dekryptert. Da må du gamble på at ditt brukerpassord er bra nok slik at ondsinnede personer ikke får tilgang til datamaskinen. Når maskinen omsider omstartes, vil all data være dekryptert igjen. En stor oppside med dette programmet er derimot at det fungerer godt med Time Machine, noe man ikke kan si om Apples egne løsning FileVault.
Programmet koster hele $119 og kan kjøpes direkte fra pgp.com. Legger du $80 til på bordet, får du PGP Desktop Professional som er et komplett verktøy for kryptering av e-post, chat, individuelle filer og inneholder også hele PGP Whole Disk Encryption funksjonaliteten. Det finnes ingen prøveversjon av PGP Whole Disk Encryption, men du kan laste ned en 30 dagers prøveversjon av PGP Desktop Professional som har samme funksjonalitet.
chridal man, 03/11/2008 - 11:02
Genialt!
Simplicity is beauty | dalsvaag.net
dphilipps man, 03/11/2008 - 11:12
Da er det en ting jeg lurer på.
Skal i militæret i Januar og kunne tenkt meg å brukt dette da, men når jeg eventuelt kommer hjem fra militæret igjen, vil jeg ikke ha dette, hvordan gjør jeg det da?
Er skikkelig fersk på mac:)
ccjensen man, 03/11/2008 - 11:48
Jeg lurer på hvor stor effekt det har på maskinens hastighet...
Randy man, 03/11/2008 - 17:56
Hva med oppstartstid?
audunr man, 03/11/2008 - 18:28
Må min bærbare jobb-PC er heile harddisken kryptert. Merkar ikkje noko uvanleg under vanleg kontorbruk, så ein må sikkert måle for å sjå om det er noko skilnad på kryptert og ukryptert.
pianoman man, 03/11/2008 - 19:28
Finnes det noen gratis alternativer?
skaugabr man, 03/11/2008 - 21:54
På Windows med en disk kryptert med SafeBoot, så går det en del tregere. Spesielt ved kopiering av filer.. og kjøring av programmer som skriver mye til disken.. logisk nok. Men har ikke kjørt noen sammenlikning..
sag man, 03/11/2008 - 23:28
Jeg vil tro TrueCrypt (open source) er noe av det samme. Har hørt mye bra om denne på "Security Now" podcasten.
bohdi tir, 04/11/2008 - 01:37
Eg har berre brukt TrueCrypt til USB formål, men det er suverent her i alle fall. Det er Cross Platform - dvs at eit kryptert volum på pinnen kan opnast på alle platformer. Det er veldig praktisk!
Mr_MacBookPro17 tir, 04/11/2008 - 07:53
Hva hvis de bytter HDD på den stjelte maskinen... da er den vel brukelig igjen...
er stort sett beskyttelse for selve innholdet på datamaskinen og ikke selve maskina.
I´m Riding a MacBookPro 17" 2,16 GHZ, 2GB RAM, 100 GB HDD 7200RPM + 300GB 7200rpm iomega + Office prof + Final Cut Studio 5.1 + Apple care + Iwork 06 + sony vaio 2.10ghz bluerayRW :) i mellomtiden synger en Nano 4GB i mine ører...
svar tir, 04/11/2008 - 09:29
Mr_MacBookPro17: Stemmer nok bra det ja
bvborge ons, 05/11/2008 - 09:12
Mr_MacBookPro17: Hardware kan kjøpes ny - det er informasjon som er viktig å sikre, selv om jeg ikke helt ser vitsen i å kryptere hele disken på en privat maskin. Dokumenter man ønsker å kryptere kan man jo f.eks legge i ei kryptert DMG-fil.
Ev. kan du ta patent på no Mission Impossible greier - "This Mac will self-destruct in 10 sec" :p
fors1 ons, 05/11/2008 - 14:59
Problemet med å legge filer i en kryptert DMG fil, er at de ikke blir indeksert av spotlight. Det kan fort bli slitsomt hvis du har mange dokumenter.
Samme gjelder mail. Legger du mail folderen (og mail.app) i en kryptert diskfil, vil du miste indeksering. Du kan da kun søke på avsender / mottager og subjekt, du kan ikke søke på innhold i selve mailen.
fors1 ons, 05/11/2008 - 16:07
Nevermind, dette løser du enkelt med mdutil, og metadata blir også lagret på den krypterte diskfilen, så ingen sikkerhetsbrist her.
Vaffeljernia man, 10/11/2008 - 14:05
Dette gir ikke meningsfull sikkerhet om man ikke bruker et efi-passord. Når man lager et slikt skrur apple av direkte minneaksess fra firewire - uten dette så har alle med nogenlunde peil tilgang til hele minnet på maskinen med eller uten standbypassord. Er maskinen av sliter man muligens mer, men antageligvis ville man ihvertfall få tilgang til den krypterte utgaven av passordet som hjelper en hel del, skulle fremdeles være vnaskelig å få noen data.
Det er uklart om programmet fungerer sammen med Apple's efi passord
Pgp har ikke en fantastisk trakk rekord på OSX.