Hat FileVault 2 in Lion noch weitere Unterschiede zur alten Version von FileVault in früheren Versionen des Systems? Gibt es zusätzliche Vorteile bei der Verwendung der neuen Version?
Hat FileVault 2 in Lion noch weitere Unterschiede zur alten Version von FileVault in früheren Versionen des Systems? Gibt es zusätzliche Vorteile bei der Verwendung der neuen Version?
Antworten:
Kräftig von John Siracusa's Lion Review entlehnt ...
FileVault 2 ist ein System zur vollständigen Festplattenverschlüsselung und nicht nur eine Lösung zum Speichern Ihres privaten Ordners in einem verschlüsselten Festplattenabbild. Es ist als Dateisystemebene unterhalb des tatsächlichen Volumes implementiert, das Sie beim Systemstart entsperren. Wenn Sie mit LVM vertraut sind, verhält es sich ähnlich. Wenn Sie die Kennwortsperre überwinden, sieht für den Rest des Systems alles gleich aus.
Wie Steve erwähnte, kann die Verschlüsselungsarbeit durch spezielle Prozessoranweisungen unterstützt werden und läuft vollständig im Hintergrund. Das Schöne ist, dass Sie die Festplattenverschlüsselung auf einem vollständigen Laufwerk aktivieren können und alles nach Belieben erledigen können (Sie können es herunterfahren, neu starten usw. und alles wird fortgesetzt).
Es können keine "Gast" -Konten mehr mit weniger Kennwörtern erstellt werden, da die gesamte Festplatte verschlüsselt ist als nur das Basisverzeichnis des Benutzers. Es ist traurig, dass ich im kb-Artikel in Apple keine Informationen dazu finden konnte.
Der neue Filevault scheint Ihnen weit weniger Einschränkungen aufzuerlegen als die alte Version. Sie müssen sich beispielsweise nicht abmelden, damit time machine funktioniert, und alle Sharing-Daemons scheinen einwandfrei zu funktionieren (einige von ihnen waren deaktiviert, als der Dateifehler aktiviert wurde, wenn ich mich richtig erinnere. Ich glaube, das Web-Sharing gehörte dazu.) habe meinen Laptop als Entwicklungsplattform für Webanwendungen ein wenig unbrauchbar gemacht :)).
Ein Problem mit Filevault 2 besteht darin, dass Sie erst nach lokaler Eingabe eines Kennworts auf einen Computer zugreifen können, da der Startvorgang erst beginnen kann, nachdem das verschlüsselte Laufwerk entsperrt wurde.
Ich bin sicher, es gibt noch ein paar andere. Dieser Apple Support-Artikel sollte den Rest Ihrer Fragen beantworten.
Von der Handbuchseite fürfsck_cs
:
Das Dienstprogramm fsck_cs überprüft und repariert Metadaten der logischen Datenträgergruppe von CoreStorage.
...
BUGS
fsck_cs führt keine vollständige Validierung durch und kann auch viele der erkannten Inkonsistenzen nicht beheben.
fsck_hfs (von Disk Utility verwendet) wurde über zehn Jahre lang entwickelt und kann die meisten von FileVault 1 verwendeten Probleme mit JHFS + beheben.
Sollten Sie auf ein Problem stoßen, fsck_hfs
das nicht behoben werden kann, gibt es mehrere alternative Hilfsprogramme von Drittanbietern.
fsck_cs
(wird auch vom Festplatten-Dienstprogramm verwendet) wurde erstmals zusammen mit CoreStorage unter Mac OS X 10.7.0 veröffentlicht. Inkonsistenzen können irreparabel sein.
Wenn ein LVG-Fehler auftritt und fsck_cs
die erforderlichen Reparaturen nicht durchgeführt werden können, wird Ihr Startvolume nicht bereitgestellt. In dieser Situation können Sie die Festplatte destruktiv neu formatieren und Mac OS X neu installieren. (Die Verwendung von Recovery OS Time Machine allein bietet nicht die Apple_Boot Recovery HD, die für FileVault 2 erforderlich ist.)
Ein Nachteil, den ich sehe, ist, dass Sie vor dem Verschlüsseln einzelner Benutzerkonten nur die gesamte Festplatte verschlüsseln können. Wenn Sie die gesamte Festplatte verschlüsseln, müssen Sie bei jeder Verwendung des Computers auch die gesamte Festplatte entschlüsseln. Dies bedeutet, dass nach dem Start des Computers die gesamte Festplatte für Malware zugänglich ist, während Sie sich zuvor separat bei sicherheitskritischen Konten anmelden (und bald wieder von dort abmelden) konnten.
Ich nehme an, Sie können weiterhin verschlüsselte Datenträgerabbilder für wirklich wichtige Daten über FileVault verwenden.
Ein weiteres Problem könnte Time Machine sein. Während zuvor die FileVault-Benutzerverzeichnisse auch verschlüsselt auf dem Backup-Volume gespeichert waren, scheint dies nicht mehr der Fall zu sein.
Weiß jemand, ob Time Machine jetzt auch die Ganzplattenverschlüsselung unterstützt (aus den Berichten geht hervor, dass es für externe Laufwerke anscheinend nicht aktiviert ist, zumindest nicht über die GUI)?
Update: Time Machine unterstützt anscheinend keine Ganzplattenverschlüsselung: Können Time Machine-Volumes problemlos mit FileVault 2 verschlüsselt werden?
Ähnlich wie die Antwort von Thilo. Diese Logik gilt für jeden Computer mit zwei oder mehr Administratoren.
Es gibt eine gute Sicherheitsstufe, um zu verhindern, dass eine Person ohne das Hauptkennwort auf die Daten einer anderen Person zugreift.
Jeder Administrator kann die Daten aller anderen Benutzer anzeigen, kopieren und bearbeiten.
Beispiel
Zwei Geschäftspartner teilen sich einen Computer, beide Administratoren. Einer der beiden Partner möchte vielleicht etwas für sich behalten. Der Partner mit dem Master-Passwort, der etwas geheim halten möchte, gibt dieses Passwort nicht an den anderen Partner weiter.
Mit FileVault 2 allein in solchen Szenarien werden Sicherheit und Datenschutz leicht ignoriert - sudo wird sofort in den Sinn kommen.
Vergleich
ZFS-Verschlüsselung in Oracle Solaris , die auf die Basisverzeichnisse der Benutzer angewendet werden kann.
Wenn ein Benutzer von FileVault 2 in der obigen Situation die zusätzliche Sicherheit benötigt, kann diese Person:
Alternativ kann diese Person nur einen Teil einer vorhandenen Festplatte verwenden. Die Partitionsverwaltung in und um coreStorage world ist jedoch schwierig. Aus Gründen der langfristigen Einfachheit würde ich empfehlen, in eine zusätzliche / separate Festplatte zu investieren.
Erwarten Sie, dass einige Benutzerdaten in ein Unterverzeichnis von geschrieben werden /private/var/folders
- alle Administratoren haben Zugriff auf diese Daten. Eine Lösung hierfür würde den Rahmen dieser Frage sprengen.
Bei einer Festplatte, die FileVault 2 oder eine andere Anwendung von Core Storage verwendet, ist es möglicherweise unmöglich, Partitionen mit dem Festplatten-Dienstprogramm hinzuzufügen oder deren Größe zu ändern.
Im Super User:
Erwarten Sie, dass Apples diskutil (8) Mac OS X Manual Page zu gegebener Zeit auf 10.7 aktualisiert wird. Wenn Sie Lion bereits installiert haben, lesen Sie in der Zwischenzeit die Manpage im Terminal.
Für jeden Benutzer, der FileVault 1 verwendet:
In Mac OS X 10.7 (Build 11A511) können Sie einem Benutzer erlauben, das Startvolume zu entsperren, sofern es aktiviert ist:
Version 1.0 des mit FileVault 2 in Mac OS X 10.7 (Build 11A511) verwendeten Assistenten erstellt ein Wiederherstellungs-Betriebssystem auf einem USB-Flash-Laufwerk. Jedoch:
Ich habe dieses Problem mit zwei verschiedenen Computern gefunden.
Nach meiner Erfahrung ist die Auswirkung normalerweise akzeptabel. Ich würde gerne relevante Benchmarks sehen.
In Ask Different: Geschwindigkeit der alten und der neuen Lion-Festplattenverschlüsselung
Apple schlägt vor:
- Seite zwischengespeichert am 2011-07-28 .
AnandTech - Zurück zum Mac: OS X 10.7 Lion-Test: Die FileVault-Leistung stellt Folgendes fest:
… Insgesamt liegt der Hit bei der reinen E / A-Leistung im Bereich von 20 - 30% . Es ist auffällig, aber nicht groß genug, um die Vorteile einer vollständigen Festplattenverschlüsselung aufzuwiegen. …
Ich möchte, dass die AnandTech-Rezensenten die Dinge noch einmal allgemeiner abwägen, um zumindest Folgendes zu berücksichtigen:
Weitere Beobachtungen zu CPU, kernel_task usw. in Betreff : [Fed-Talk] Lion FileVault (22.07.2011) ( Höhepunkte ).
Erwarten Sie keinen Remotezugriff auf das EFI-Anmeldefenster.
Zwei Volumes von angemessener Größe (eines davon ein Basisverzeichnis) mit einem guten Satz von B-Bäumen sind für das System wahrscheinlich einfacher zu verwalten - und mit ziemlicher Sicherheit besser - als ein einziges kolossales Volume mit Attributen und Katalog-B-Bäumen übergroß und fragmentiert.
FileVault 1 verwendet Bänder mit einer optimierten Größe.
Je nach Inhalt eines Basisverzeichnisses kann das Verlassen dieser Bänder zugunsten einer größeren Anzahl kleinerer Dateien die Größe und Fragmentierung der folgenden kritischen Bereiche des Startvolumes erheblich erhöhen:
Was folgt, ist fragwürdig, über den Rahmen der Eröffnungsfrage hinausgehend und relativ technisch, aber für jeden Benutzer eines Computers mit (a) begrenztem Arbeitsspeicher und (b) einer beträchtlichen Anzahl von Dateien innerhalb und außerhalb seines Home-Verzeichnisses lohnt es sich, vorher darüber nachzudenken Verlassen von FileVault 1.
Wenn die Summe der Größen der B-Bäume zu groß ist und eine Reparatur erforderlich ist, können Dienstprogramme von Drittanbietern auf Ihrem Computer den Schaden möglicherweise nicht reparieren.
Wenn ein Volume durch fsck_hfs irreparabel ist - am offensichtlichsten mithilfe des Festplatten-Dienstprogramms, weniger offensichtlich, wenn das System auf ein verschmutztes Dateisystem stößt -, kann sich ein Benutzer an ein angesehenes Drittanbieter-Dienstprogramm wenden.
Ich bin auf eine Situation gestoßen, in der die Summe der Größen der B-Bäume - im Verhältnis zum physischen Speicher - zu groß war, als dass ein Dienstprogramm eines Drittanbieters für ein mit Core Storage verschlüsseltes Sicherungsvolume, das nicht reparabel war, die erforderliche Leistung erbringen konntefsck_hfs
. Da mein MacBookPro5.2 nicht mehr als 8 GB aufnehmen kann, war dieses Volume für einige Zeit schreibgeschützt.
Möglicherweise habe ich die Lautstärke mit oder ohne Computer an einen Dienstanbieter weitergeleitet, um in einer Umgebung mit mehr Arbeitsspeicher Aufmerksamkeit zu erregen. Aus Sicherheitsgründen sollte ich die Passphrase oder den Schlüssel für einige Datenträgertypen jedoch nicht an Dritte weitergeben, auch wenn diese nicht vertrauenswürdig sind.
Irgendwann und unerwartet hat der fsck_hfs
in Lion das Volume repariert, ohne dass ich das Festplatten-Dienstprogramm verwendet habe. Dies ist möglicherweise darauf zurückzuführen, dass ich das Volume experimentell (riskant?) Aus der CoreStorage-Welt entfernt habe (zurückgesetzt, vollständig rückwärts konvertiert), während es sich im irreparablen und schreibgeschützten Zustand befand . Das war ein erfreuliches Ergebnis für mich und ein Daumen hoch für Apple hinsichtlich der Qualitäten und Fähigkeiten von 10.7 (Build 11A511), aber dies sollte anderen Lesern als Warnung dienen.
Nicht alle Installationen von Lion erhalten die für FileVault 2 - OS X Lion erforderliche versteckte Apple_Boot
Wiederherstellungs-HD : "Einige Funktionen von Mac OS X Lion werden für die Festplatte (Volume-Name) nicht unterstützt" wird während der Installation angezeigt (2011-07-21) .
Sie können FileVault nicht verwenden.
In diesem Fall - und wenn Sie FileVault 1 vor dem Upgrade auf Lion verlassen haben - ist Ihr Mac mit Lion weniger sicher .
In den von Macworld vor der Veröffentlichung von Lion veröffentlichten Hinweisen wird den Benutzern weiterhin empfohlen, FileVault 1 vor der Installation von Lion zu deaktivieren . Es ist höchst ungewöhnlich, dass Macworld umstrittene Ratschläge gibt, aber in diesem Fall bin ich anderer Meinung.
Am einfachsten ist es, das FileVault 1-Heim in Snow Leopard zu erstellen, bevor Sie auf Lion aktualisieren.
Wenn ohne Snow Leopard: Sie können Lion verwenden, um das Zuhause zu erstellen, aber es gibt ein paar Schritte zur Routine.
Kann Filevault 1 nach dem Deaktivieren in Lion erneut aktiviert werden?
Durch die Kombination von FileVault 2 mit FileVault 1 erhalten Sie doppelte Sicherheitsebenen. Beachten Sie, dass dies zu Problemen mit TimeMachine und der gemeinsamen Nutzung führt. Daher ist diese doppelte Sicherheitsebene nur für ein Konto empfehlenswert, bei dem TimeMachine deaktiviert ist!
Auf meinem Computer habe ich ein Konto für die tägliche Arbeit, ein FileVault 1-Konto (von TimeMachine ausgeschlossen) und ein Administratorkonto. Als ich FileVault 2 über mein tägliches Arbeitskonto (unter Verwendung des Kennworts des Administratorkontos) aktivierte, erwartete ich, dass FileVault 1 nicht mehr angezeigt wird, da Apple unter OS X Lion Folgendes sagt : Über FileVault 2 : «Wenn Sie Legacy FileVault deaktivieren, wird die Registerkarte Legacy FileVault ausgeblendet Anschließend können Sie FileVault 2 von OS X Lion aktivieren ».
Als FileVault 2 vollständig eingerichtet war, war ich sehr überrascht, dass FileVault 1 weiterhin FileVault 1-Verschlüsselung unterstützt. Also hatte ich eine doppelte Sicherheitsebene: Ein älteres FileVault 1-Konto in einem FileVault 2-Computer. Ich brauchte nur ein Nicht-FileVault 1-Konto, um FileVault 2 zu aktivieren.
Schließlich habe ich FileVault 2 wieder ausgeschaltet. Ich mag es, vom Bootcamp-Windows-System aus auf das OS X-Dateisystem zugreifen zu können. Mit FileVault 2 war das nicht mehr möglich. Ich behalte weiterhin das FileVault 1-Konto und es funktioniert auch in 10.8.1 einwandfrei.