Datensicherheit ist ein wichtiges Thema und auch Apple hat daran gearbeitet und Filevault 2 ist dabei herausgekommen. Wer sich mit Filevault vergangener Systeme schonmal beschäftigt hat, hat sicher bemerkt, dass es diverse Macken und Schwierigkeiten bereitet hat.
Kernfunktion des neuen Filevault 2 ist die Verschlüsselung des gesamten Volumes bzw. Dateisystems. Man kann unter Lion jetzt sogar USB-Sticks, Festplatten (gilt natürlich auch für das Time Machine Volume) oder andere Medien direkt und komfortabel verschlüsseln — und zwar das gesamte Dateisystem. Man wird nun also direkt beim Bootvorgang nach einem Benutzerpasswort gefragt, es kann irgendein Benutzer des Systems sein. Bei anderen Medien wird direkt nach dem Einstecken nach dem gewählten Passwort gefragt.
Warum sollte man überhaupt Filevault benutzen? Ich denke es gibt mehr als genug Gründe dafür, der wichtigste ist wohl, dass Unbefugter Zugriff auf dem Mac auch unbefugt bleibt. Insbesondere bei einem Diebstahl, bleiben die Daten sicher. Falls man irgendwann den Rechner verkauft, waren die Daten nie im Klartext auf der Festplatte (also immer nur Kauderwelsch) und können somit niemals rekonstruiert werden.
Funktionsübersicht
Apple selbst hat eine kleine Funktionsübersicht erstellt. Aber in diesem Artikel möchte ich aufklären, was einen Filevault Benutzer erwartet — aber eins sei schonmal gesagt: es ist einfach, transparent und unproblematisch!
Filevault 2 einrichten
Wie schon angesprochen ist das neue Filevault ganz einfach einzurichten und erstaunlich schnell. Ich frage mich ob Apple den Intel-Hardware-AES-Befehlssatz der i-Cores umgesetzt hat. Aber selbst wenn nicht, es ist schnell und braucht keine merkbaren Ressourcen.
Schritt für Schritt
In den Systemeinstellungen von Mac OS X 10.7 Lion findet man unter dem Punkt Sicherheit die Option Filevault.
aktivieren
Zunächst müssen alle Benutzer des Computers ihr Passwort hinterlegen, damit sie sich auch alle bei booten des Rechners einloggen können. Also gibt es für ein verschlüsseltes Dateisystem wie es jetzt in Lion bei Filevault eingesetzt wird mehrere Passwörter, die valide sind.
Wiederherstellungsschlüssel
Nur wird ein automatisch generierter Schlüssel angezeigt, den man sich für den Notfall aufbewahren sollte. Er fungiert quasi als zusätzliches Benutzerpasswort und ist eines der Zugangspasswörter.
Den Schlüssel kann man auch bei Apple speichern. Davon kann man halten was man auch immer will.
Das Verschlüsseln des Dateisystems
Nach einem Neustart fängt der Computer an, das Dateisystem zu verschlüsseln und kann dann nur noch mit einem der oben erwähnten Passwörter entsperrt werden, auch wenn man die Festplatte ausbaut, und in einen anderen Mac steckt. Auch wenn man ihn per Target-Modus startet (der Mac wird zur dummen externen Festplatte), wird man beim mounten des Dateisystems nach einem Passwort gefragt. Ohne das Passwort findet man nur Datenmüll vor.
Der Loginscreen vor dem eigentlichen booten des System sieht so aus:
Danach rödelt der Mac ein bisschen um alle Dateien zu verschlüsseln; man kann derweil normal arbeiten. Wenn das geschehen ist, wird alles live und transparent im Hintergrund ver- und entschlüsselt. Man muss sich nicht kümmern und hat eine hohe Datensicherheit.
Fazit
Ich finde es eine sinnvolle und tolle Entwicklung! Es läuft einfach und transparent und lässt keine Wünsche offen, zumal ich jetzt alle Medien verschlüsseln kann. Das Filevault 2 ist eine wunderbare Technologie! Ich kann nur jedem empfehlen nach dem Release Filevault anzuschalten und man muss sich um nichts kümmern. Alle Kritikpunkte des alten Filevault sind meines erachtens nach ausgemerzt.
Das neue Dateisystem kann übrigens nur von OS X 10.7 Lion gelesen werden. Ältere Systeme können damit absolut nichts anfangen!
Der Artikel „Die Daten sind sicher unter Lion. Filevault 2!“ wurde von Sven verfasst und am 18.06.2011 um 21:44 Uhr unter der Kategorie Allgemein veröffentlicht. Dieser RSS 2.0 Feed informiert über die neusten Kommentare. Über einen Kommentar, oder Trackback würde ich mich freuen.
Hi,
ich wollte mich immer schon mal mit FileVault auseinandersetzen, daher danke für den ausführlichen Artikel!
Was mich immer abgehalten hat, FV zu nutzen, ist das Gerücht, dass eine entsprechende Verschlüsselung die Funktionen von Time Machine und anderen Backup-Tools (z.B. CarbonCopyCloner oder SuperDuper) stark beeinträchtigt. Angeblich sollen die Backups damit mehr als doppelt so lange dauern.
Wird sich das mit dem neuen FV verbessern?
Nebenbei kann ich noch empfehlen, die Festplatte ebenfalls über Firmware Password zusätzlich zu verschlüsseln.
Grüße von
Sascha
Hallo Sascha,
zu CCC oder SuperDuper kann ich in diesem Bezug nichts sagen, aber halte ich für eher unwahrscheinlich. Zumal jetzt die ganze Festplatte verschlüsselt, sollte es auf jeden Fall kein Problem mehr sein.
Das Firmware Passwort verschlüsselt NICHT die Festplatte. Du kannst die Festplatte ausbauen und normal benutzen.
Aber zum Glück verschlüsselt nun das neue FV die Festplatte komplett.
Kann eine -schon mit Daten gefüllte- externe Festplatte einfach verschlüsselt werden oder muss man sie leeren und nach Verschlüsselung wieder neu aufspielen?
Ich habe bisher leider noch nichts gegenteiliges gefunden.
Du musst wohl den umständlicheren Weg machen und die Festplatte erstmal löschen, ihr das neue Dateisystem geben und dann das Backup wiederherstellen. (Bei diesen verschlüsselten Volumes, geht intern so einiges ab — logisches Volume wird noch zusätzlich angelegt etc.; trivial wird das definitiv nicht, falls es gehen sollte.)
Das wäre aber sehr umständlich. Bei der Root Platte geht es doch auch ohne Neuformatierung. Naja, mal den Donnerstag abwarten.
über das fdp kann eine externe platte nur nach dem löschen verschlüsselt werden! über das terminal funktioniert es aber auch ohne löschen und im hintergrund mit dem befehl :”diskutil cs convert [genaue bezeichnung der platte]“. mit “diskutil cs list” kann der status der verschlüsselung eingesehen werden.
mfg
Hallo Peda,
vielen Dank für diese Ergänzung. Ich werde demnächst darüber berichten — ich möchte meine externe Festplatte auf diese Weise (Terminal) verschlüsseln.
Und hat es funktioniert mit dem Befehl im Terminal?
Aber immer vorher sicherheitshalber ein Backup machen. Hier ist nochmals der Befehl:
diskutil cs convert /Volumes/DieFestplatte -passphrase deinGewünschtesPasswort
oder
diskutil cs convert FestplattenID -passphrase deinGewünschtesPasswort
Mit diesem Befehl kann man den Verschlüsselungsstatus einsehen:
diskutil cs list
Und um den Vorgang rückgängig zu machen statt “convert” das Wort “revert” eingeben. Und nochmals danke an Peda für diesen Tipp!