Zodra iemand met kwade bedoeling je Mac of iDevice in handen heeft wordt de bescherming van data al een lastige zaak, want als die data niet versleuteld is dan zal een beetje hacker al snel door de meeste beveiligingen heenbreken. Daarbij denk je misschien dat dat lang zal duren, maar met de USB Rubber Ducky kan dat in minder dan 10 seconden en het kost maar 37 dollar

Het enige wat je ervoor moet doen is een Mac met CommandS in Single User modus opstarten en de USB Rubber Ducky zal alle benodigde scripts voor de hacker uitvoeren, waardoor het zo snal kan. De hele uitleg van hoe dit werkt is hier te vinden.

Maar geen paniek, als je jouw data echt veilig wilt stellen dan kan dat natuurlijk ook, en de handleiding daarvoor vind je in hetzelfde stuk:

The only sure way to prevent unwanted root access to your system is by simply enabling File Vault’s full disk encryption (not home folder encryption!). Since this encrypts the entire drive, it is will be impossible to access single user mode without the (strong) password. Problem solved.

Mocht je je zorgen maken en er zeker van zijn dat jouw data nooit in andere handen komt, FileVault vind je in OS X 10.9/Mavericks in Systeemvoorkeuren > Beveiliging en Privacy. Mocht je het willen gebruiken, zorg voordat je aan dit soort dingen begint altijd voor een goede backup, en vergeet je wachtwoord dat je daar kiest nooit.

Want als hackers die met dit soort dingen bezig zijn ontzag hiervoor hebben komt waarschijnlijk alleen de NSA nog door dit soort beveiliging heen.

en zorg dat je je Mac voorlopig niet nodig hebt want in tegenstelling tot pgp kun je niet doorwerken op je Mac.
En hij is wel een paar uurtjes bezig met encrypten.

( spreek uit ervaring, heel handig als je een presentatie af moet maken, haha)

Echt niet? Ik kan me herinneren dat het encrypten gewoon op de achtergrond ging?
Even nalezen bij Apple: Inderdaad, je kunt gewoon tijdens de eerste encryptie doorwerken, sluimerstand gebruiken en zelfs de computer uitzetten (dan gaat hij verder als je hem weer aanzet).
Enige dat een beetje verstorend zou kunnen zijn is dat je na het aanzetten  van FileVault moet herstarten.

ja, ik zie het..... dan is dat waarschijnlijk een van de verschillen met V1 van FileVault...
Weer wat geleerd

Helaas werkt FileVault slechts met AES-versleuteling, wat max. 256-bit is. In 2007 heeft een groepje deskundigen uit 'het veld' (dus niet bij NSA e.d. werkzaam) een poging gedaan allerlei RSA-versleutelingen te kraken. Ze zijn daarbij gekomen tot de 768-bits versleuteling. De 1024- en 2048-bits versleuteling was op dat moment niet mogelijk.
Als je meer informatie wilt hebben over het breken van de RSA-768 versleuteling, kun je DEZE uitleg lezen. Daar heeft o.m. Phil Zimmerman zelf aan gewerkt, de bedenker van Pretty Good Privacy (PGP).
Een alternatief voor FileVault is TrueCrypt, wat een cross-platform oplossing is. Helaas ook geen open-source software en slechts met AES-versleuteling.

PGP is zo ongeveer het sterkste wat er is (1024- en 2048-bits versleuteling), en tegelijk open source en cross-platform (Linux en Windows) bruikbaar voor hele schijven. Om een .DMG-bestand te beveiligen is PGP onovertroffen met een 2048-bits versleuteling, zolang de NSA nog geen quantum-computer heeft weten te bouwen.

Gelijk even ingesteld, "better safe than sorry".

En dan nog, de NSA heeft vast een backdoor

Robertjan, wat wil je nu met dit verhaal (opnieuw) duiden?
Zou bijna geloven dat je belangen ergens hebt.
FV is zo veilig als een zeer goed beveiligd huis; wat niet betekent dat er niet ooit ingebroken zou kunnen worden.

Het nieuwsbericht gaat over het wapenen tegen hackers met een USB Rubber Ducky, niet tegen de NSA.

Maar robertjan's raad is natuurlijk wel een goed idee voor mensen die bezig zijn met terrorisme e.d.
 

@robertjan

Je haalt hier wel de sterkte van keys van public key cryptografie en de sterkte van keys van symmetrische cryptografie behoorlijk door elkaar. Zo is bv een RSA key van 3072 bits ongeveer even sterk als een AES key van 128 bits (bron: Understanding Cryptography door Christof Paar/Jan Pelzl; paragraaf 6.2.4: Key lengths and security levels).
Op dit moment is AES (nog steeds) dé standaard om disks te encrypten.

Artis

@ Flix ; Wat een minzame reactie weer. Ik vind het verhaal van Robertjan een prima aanvulling. Ben het ook niet eerder tegengekomen. En bepaald relevanter dan de kreet "FV is zo veilig als een zeer goed beveiligd huis".

@ Max Gaav: robertjan heeft recent exact dezelfde informatie al in een andere draadje gezet (weet zo snel niet meer welk), vandaar waarschijnlijk de reactie van Flix.

Maar het lijkt me interessanter om het over het onderwerp te hebben, in plaats van over de 'toon' van bepaalde reacties...

Elke vorm van beveiliging is een barrière, zowel voor de gebruiker als voor degene die je systeem wil 'inzien'.
Afhankelijk van je eigen opvatting - ergens van "wat heeft iemand nou aan mijn gegevens"* tot "niemand behalve ikzelf mag mijn gegevens inzien" - moet je dus bepalen of, en welke, beveiliging je toepast.
Zelf behoor ik tot de laatste categorie en heb ik mijn systeem direct bij installatie mijn MBP met FileVault versleuteld, waardoor de tijd die het kost wel meevalt.

Natuurlijk zijn er, zoals RobertJan aangeeft, ook andere opties die wellicht de moeite waard zijn. Dat is een afweging die iedereen voor zichzelf moet maken.

Daarbij zijn er wel een aantal kanttekeningen;
• Opstarten (met name als je Microsoft- of Adobeproducten gebruikt) duurt een stuk langer.
• Sommige bewerkingen (vooral onder Mavericks met App Nap) zijn aanmerkelijk trager dan zonder versleuteling.
• Niet alle recovery- en diagnosetools** kunnen overweg met een versleutelde schijf.

Bovenstaande is natuurlijk allemaal verloren moeite, als je online en in de cloud niet met zorg te werk gaat. Hou er bijvoorbeeld rekening mee dat bedrijven als DropBox en Google gebonden zijn aan Amerikaanse wet- en regelgeving en dus bij 'de juiste vraag' van justitie jouw bestanden inzichtelijk moeten maken voor FBI, NSA en dergelijke.

Uiteindelijk is geen enkel systeem, waar je ook fatsoenlijk mee wilt werken, voor 100% veilig of onkraakbaar, computers worden ontworpen door mensen en mensen gebruiken de computers…
Mensen maken fouten of worden (onbewust) beïnvloed.

* Je zult er versteld van staan hoeveel 'nut' je informatie voor anderen heeft (NSA, Facebook, Google, Apple, Belastingdienst et cetera.
** Dit geldt ook voor DiskUtility van Apple.

@Robertjan:
Je bewering dat AES wegens beperkte sleutel-lengte inferieur is aan RSA met langere sleutels is onjuist. Een forumdiscussie is niet het platform om dat in detail uit te leggen maar een goed begin is te lezen bij
Wikipedia.

@ Robert ; Ik ben die info van Robertjan niet tegengekomen. Uiteindelijk kom vrijwel elk onderwerp vele keren langs nietwaar?

Natuurlijk gaat het altijd primair over het onderwerp. Maar daarvoor is het nodig dat iedereen de ruimte krijgt om te zeggen wat hij weet, denkt of vindt, zonder dat je meteen een sneer krijg of minzaam behandeld wordt. Het valt mij op dat Flix, maar ook enkele anderen, geregeld reageren alsof ze de wijsheid in pacht hebben en bovendien gerechtigd zouden zijn anderen de les te lezen.

De bariere voor de gebruiker zoals Plexyglazz dat aanhaalt is voor mij vaak een reden om dingen niet te versleutelen en eenvoudig in te typen wachtwoorden te kiezen. Niets is zo irritant als telkens weer een wachtwoord met afwisselend cijfers, tekentjes, letters en hoofdletters op de iPad te moeten intypen
En daarom kan bij mij niet alles zomaar in de klaut

Waar het mij om gaat is dat de NSA en c.s. methoden van dien aard gebruikt, dat ik deze vind horen bij een totalitaire staat. Uit dat systeem wil ik me onttrekken. Nu nog niet op de korte termijn, maar in de komende jaren wil ik het de NSA wel een stuk lastiger maken om informatie over mij te vergaren. Daarom ben ik me aan het verdiepen in de mogelijkheden om informatie lastiger zichtbaar te maken.

@Robert: in ieder geval gaat het om een externe invloed om achter informatie te komen die op je gegevensdrager staat. Of dat nu om een eend of om 's werelds meest terroristische inlichtingendienst gaat, maakt daarvoor niet uit.

@jtk: interessant leesvoer, met de verwijzing naar de statements van RSA Security. Dat werpt weer een ander daglicht op de sterkte van de verschillende gebruikte sleutels. Nu ik weer wat meer erover lees lijkt het wel logisch dat voor e-mail voor een asymmetrische versleuteling wordt gekozen, maar voor gegevensdragers een symmetrische. Dank voor de verwijzing.

(By the way: op Macfreak is niet in te loggen met de Tor-browser. Iets wat ik graag mogelijk zou zien.)

En dan lees ik ook nergens over 'meerdere gebruikers' per computer.
Er werken hier 5 mensen op de iMac en die ga ik echt niet allemaal
het hoofdwachtwoord van de computer aan hun neusjes hangen

Interessant om de reacties te lezen, de ene leerzaam, de andere minder. Ik ben zelf geen beveiligingsdeskundige, maar ik hanteer voor mezelf wel het zogenaamde lagensysteem:

• Totaal geen beveiliging: alle data is voor iedereen leesbaar op welke manier dan ook. Geen password-beveiligde useraccounts of wat dan ook (openbare computer).[/*]
  
• Eerste beveiliging: password-beveiligde useraccounts.[/*]
  
• Tweedelaags beveiliging: alle 'kritische' data wordt opgeslagen in encrypted zip-bestand of 'container'. Kritisch bedoel ik mee data die niet iedereen hoeft te zien. Container kan een truecrypt-folder zijn of bijvoorbeeld een dmg-bestand.[/*]
  
• Derdelaags beveiliging: naast de eerste en tweede laag komt daar een volledig encrypte harddisk bij (i.e. FileVault of TrueCrypt).[/*]
  
• Vierdelaagsbeveiliging: Firmware-wachtwoord. Bij Apple-machines betekent dit dat er een wachtwoord wordt gevraagd bij wijzigingen in hardware zoals opstartvolume enz.[/*]
  

Afhankelijk van hoe ik een laptop of desktop inschat kwa risico van datadiefstal en waarde van de opgeslagen data, hoe meer lagen ik dan instel.

Als ik alle reacties dan bekijk, ja, AES 256 mag dan misschien minder sterk zijn dan bijv. RSA of andere encryptiemethoden. Door de combinatie toe te passen maak ik het m.i. datadieven toch moeilijker. Vervelend dat ik dan in sommige gevallen twee of drie keer een 12-token password (mixed case en tekens) moet intypen? Ja, soms wel maar dat neem ik wel voor lief. Ook ik heb nu eenmaal data op mijn laptop staan waarvan ik vind dat niemand daar iets mee te maken heeft. Ook ik wil het instanties zoals AIVD/MIVD, NSA, GCHQ en meer van die leuke clubs zo moeilijk mogelijk maken informatie van mij te krijgen waar ze niks mee te maken hebben.

(Bewerkt door MackeyV40 om 19:32, 11-01-2014)

@MackeyV40

Als ik alle reacties dan bekijk, ja, AES 256 mag dan misschien minder sterk zijn dan bijv. RSA of andere encryptiemethoden.

Als ik alle reacties bekijk, lees ik heel iets anders. AES is niet minder sterk dan RSA. De toepassing van beide technieken is anders.

AES is symmetrisch en RSA a-symmetrisch: What is the difference between AES and RSA

Ik doe even een gokje RobertJan, als het om de TOR-browser gaat;
Deze is waarschijnlijk geblokt omdat een aantal van de exit IP-adressen in het verleden gelinkt zijn aan diverse 'forumtrollen'.

Zie:Site operators may block traffic from Tor exit nodes en het stuk er na 'Controversy over illegal activities'.

Viool om 17:24, 11-01-2014
En dan lees ik ook nergens over 'meerdere gebruikers' per computer.
Er werken hier 5 mensen op de iMac en die ga ik echt niet allemaal
het hoofdwachtwoord van de computer aan hun neusjes hangen

Dat hoeft gelukkig ook niet. Je kunt per gebruiker instellen of hij/zij de harde schijf mag ontgrendelen (alleen bij koud opstarten, hoeft niet nadat je uit de slaapstand komt). Is de schijf eenmaal ontgrendeld dan kunnen alle gebruikers het systeem normaal gebruiken.

Je kunt nog een stapje verder gaan, jaco. Je kunt zelfs voorkomen dat men in elkaars home-folder kan kijken. Had ik zelf nog vergeten mee te nemen in mijn posting bij puntje "Derdelaags beveiliging".

Je doet dit in Terminal met:

sudo chmod go-rx /users/{username}/

En dan kan niemand in andermans folders kijken, tenzij je aangemeld bent als SuperRoot.

Merk je ook een "vertraging" van de totale computer nadat alles voor de eerste keer geencrypt is in VF of is dit niet merkbaar?