Czy FileVault 2 w Lion ma jakieś inne różnice w porównaniu do starej wersji FileVault w poprzednich wersjach systemu? Czy korzystanie z nowej wersji wiąże się z dodatkowymi korzyściami?

Pożyczki na podstawie recenzji Johna Siracusa Lion ...

FileVault 2 to system szyfrowania całego dysku, w przeciwieństwie do rozwiązania „przechowuj folder domowy w zaszyfrowanym obrazie dysku”. Jest zaimplementowany jako warstwa systemu plików poniżej rzeczywistego woluminu odblokowanego podczas uruchamiania systemu. Jeśli znasz LVM , jest tak samo. Za każdym razem, gdy mijasz hasło, wszystko wygląda tak samo jak reszta systemu.

Jak wspomniał Steve, prace nad szyfrowaniem mogą być wspomagane przez wyspecjalizowane instrukcje procesora i działają całkowicie w tle. Zaletą jest to, że możesz włączyć szyfrowanie dysku na pełnym dysku, a wszystko zostanie zrobione w wolnym czasie (możesz go zamknąć, przywrócić z powrotem itp. I wszystko będzie kontynuowane).

Konta gościa bez hasła nie można już tworzyć, ponieważ cały dysk jest szyfrowany niż tylko katalog domowy użytkownika. To smutne, że nie mogłem znaleźć żadnych informacji na ten temat w artykule kb w Apple.

Nowy Filevault wydaje się narzucać o wiele mniej ograniczeń niż stara wersja. Na przykład nie musisz się wylogowywać, aby wehikuł czasu działał, a wszystkie demony udostępniania wydają się działać poprawnie (niektóre z nich zostały wyłączone, gdy funkcja filefault została włączona, jeśli dobrze pamiętam. Myślę, że udostępnianie w sieci było wśród nich, co mój laptop stał się trochę bezużyteczny jako platforma programistyczna dla aplikacji internetowych :)).

Jednym z problemów z Filevault 2 jest to, że nie możesz ssh na maszynie, dopóki nie wprowadzisz hasła lokalnie, ponieważ proces uruchamiania nie może się rozpocząć, dopóki zaszyfrowany dysk nie zostanie odblokowany.

• Obsługuje AES-NI, który odciąża szyfrowanie i deszyfrowanie na obsługiwanych procesorach (niektóre podstawowe i5 i i7).
• Możesz przechowywać swój klucz szyfrujący w Apple.

Jestem pewien, że jest jeszcze kilka innych. W tym artykule pomocy technicznej Apple powinna znaleźć się odpowiedź na pozostałe pytania.

http://support.apple.com/kb/HT4790

Awarie FileVault 2 LVG mogą być nieodwracalne

Ze strony podręcznika dlafsck_cs :

Narzędzie fsck_cs weryfikuje i naprawia metadane logicznej grupy woluminów CoreStorage.

...

BŁĘDY

fsck_cs nie przeprowadza wyczerpującego sprawdzania poprawności, ani nie jest w stanie naprawić wielu niespójności, które wykrywa.

Problemy z FileVault 1

fsck_hfs (używany przez Narzędzie dyskowe) jest rozwijany od ponad dziesięciu lat i jest w stanie naprawić większość problemów z JHFS + stosowanym przez FileVault 1.

W przypadku wystąpienia problemu, fsck_hfsktórego nie można naprawić, istnieje wiele alternatywnych narzędzi stron trzecich.

Podstawowe problemy z pamięcią masową w FileVault 2

fsck_cs(używany także przez Disk Utility) po raz pierwszy pojawił się wraz z CoreStorage w Mac OS X 10.7.0. Niespójności mogą być nieodwracalne.

W przypadku braku alternatyw dla fsck_cs

Jeśli wystąpi awaria LVG i fsck_csnie będzie można wykonać niezbędnych napraw, wolumin startowy nie zostanie podłączony. W tej sytuacji możesz destrukcyjnie sformatować dysk i ponownie zainstalować Mac OS X. (Samo użycie Recovery Time Time Machine nie zapewni Apple_Boot Recovery HD wymaganego dla FileVault 2.)

Jedną wadą jest to, że wcześniej można było zaszyfrować poszczególne konta użytkowników, a teraz można szyfrować tylko cały dysk. Jeśli szyfrujesz cały dysk, musisz również odszyfrować cały dysk za każdym razem, gdy korzystasz z komputera. Oznacza to, że po uruchomieniu komputera cały dysk jest dostępny dla złośliwego oprogramowania, natomiast zanim będzie można osobno zalogować się (i wkrótce ponownie wylogować) na konta o krytycznym znaczeniu dla bezpieczeństwa.

Podejrzewam, że nadal możesz używać zaszyfrowanych obrazów dysków na FileVault do naprawdę ważnych danych.

Innym problemem może być Time Machine. Podczas gdy wcześniej katalogi użytkowników FileVault były również przechowywane w postaci zaszyfrowanej na woluminie kopii zapasowej, wydaje się, że już tak nie jest.

Czy ktoś wie, czy Time Machine obsługuje teraz również szyfrowanie całego dysku (z dotychczasowych raportów wydaje się, że nie jest ono włączone dla dysków zewnętrznych, przynajmniej nie poprzez GUI)?

Aktualizacja: Najwyraźniej Time Machine nie obsługuje szyfrowania całego dysku: czy woluminy Time Machine można łatwo zaszyfrować za pomocą FileVault 2?

Dla wielu administratorów: sam FileVault 2 jest mniej bezpieczny niż FileVault 1 

Podobne do odpowiedzi Thilo. Ta logika dotyczy dowolnego komputera z dwoma lub więcej administratorami.

FileVault 1 w Snow Leopard i Lion

Istnieje dobry poziom bezpieczeństwa, aby uniemożliwić osobie bez hasła głównego dostęp do danych innej osoby.

FileVault 2 sam

Każdy administrator może przeglądać, kopiować, edytować dane wszystkich innych użytkowników.

Przykład

Dwóch partnerów biznesowych korzysta z jednego komputera, obaj administratorzy. Jeden z dwóch partnerów może chcieć zachować prywatność. Partner posiadający hasło główne, który chce zachować prywatność, nie przekazuje tego hasła drugiemu partnerowi.

Dzięki samej FileVault 2 w takich sytuacjach bezpieczeństwo i prywatność są łatwo ignorowane - sudo przychodzi natychmiast na myśl.

Porównanie

Szyfrowanie ZFS w Oracle Solaris , które może mieć zastosowanie do katalogów domowych użytkowników.

Obejście

Jeśli użytkownik FileVault 2 w powyższej sytuacji wymaga dodatkowego bezpieczeństwa, osoba ta może:

1. dodaj osobny dysk, wewnętrzny lub zewnętrzny
2. na tym dysku mieć zaszyfrowany wolumin logiczny Core Storage (LV) z hasłem dysku, które różni się zarówno od (a) hasła dysku dla woluminu startowego systemu operacyjnego, jak i (b) wszystkich haseł użytkownika do woluminu startowego
3. przechowują swój katalog domowy na LV na osobnym dysku
4. dopasuj hasło do konta użytkownika do hasła dysku dla LV.

Alternatywnie, osoba ta może wykorzystać tylko część istniejącego dysku… ale zarządzanie partycjami w świecie coreStorage i wokół niego jest trudne , więc dla długoterminowej prostoty: zaleciłbym inwestycję w dodatkowy / osobny dysk.

/ var / foldery

Spodziewaj się, że niektóre dane użytkownika zostaną zapisane w podkatalogu /private/var/folders- wszyscy administratorzy będą mieli dostęp do tych danych. Rozwiązanie tego problemu wykracza poza zakres tego pytania.

Zarządzanie partycjami w świecie coreStorage i wokół niego jest trudne

W przypadku dysku korzystającego z FileVault 2 lub dowolnej innej aplikacji Core Storage dodanie lub zmiana rozmiaru partycji za pomocą Narzędzia dyskowego może być niemożliwe.

W trybie Super User:

• odpowiedź w części Jak zmienić rozmiar zaszyfrowanej partycji FileVault 2?
• odpowiedź w sekcji Utwórz nową partycję na zaszyfrowanym woluminie w OS X Lion .

Spodziewaj się, że strona podręcznika systemowego diskutil (8) firmy Apple dla systemu Mac OS X zostanie zaktualizowana do wersji 10.7 w odpowiednim czasie. W międzyczasie, jeśli już zainstalowałeś Lion, przeczytaj stronę podręcznika w Terminalu.

FileVault 1 można wyłączyć dla poszczególnych osób

Dla każdego użytkownika korzystającego z FileVault 1:

• Preferencje systemowe pozwalają wyłączyć FileVault tylko dla tego użytkownika, pod warunkiem, że jest wystarczająca ilość wolnego miejsca.

Włączonych użytkowników FileVault 2 nie można wyłączyć

W Mac OS X 10.7 (kompilacja 11A511) możesz zezwolić użytkownikowi na odblokowanie woluminu startowego, ale po włączeniu:

• tego użytkownika nie można wyłączyć
• tylko FileVault 2 w całości można wyłączyć.

Wyłącz zdolność użytkownika do odblokowania woluminu FileVault 2 podczas uruchamiania / logowania

Lion Recovery Disk Assistant nie obsługuje FileVault 2

Wersja 1.0 asystenta używana z FileVault 2 w Mac OS X 10.7 (kompilacja 11A511) tworzy system operacyjny odzyskiwania na dysku flash USB. Jednak:

• komputer nie może uruchomić się z tego systemu odzyskiwania.

Znalazłem ten problem z dwoma różnymi komputerami.

Wpływ FileVault 1 na wydajność

Z mojego doświadczenia wynika, że ​​wpływ jest zwykle do przyjęcia. Chciałbym zobaczyć odpowiednie testy porównawcze.

Porównanie wydajności

In Ask Different: Speed ​​of old Filevault vs. new Lion Full disk encrypting

• moja odpowiedź tam (praca w toku) zawiera pewne dane techniczne.

Wpływ FileVault 2 na wydajność

Apple sugeruje:

FileVault 2 szyfruje i odszyfrowuje dane w locie z niezauważalnym wpływem na wydajność.

- strona w pamięci podręcznej 2011-07-28 .

AnandTech - Powrót do systemu Mac: OS X 10.7 Przegląd Lion: wydajność FileVault obserwuje:

… Ogólnie rzecz biorąc, wydajność czystego wejścia / wyjścia mieści się w zakresie 20–30% . Jest zauważalny, ale niewystarczająco duży, aby przewyższyć zalety pełnego szyfrowania dysku. …

Chciałbym, aby recenzenci AnandTech ponownie ważyli rzeczy szerzej, obejmując co najmniej:

• FileVault 1 zamiast FileVault 2.

Więcej obserwacji na temat procesora, kernel_task et cetera w Re: [Fed-Talk] Lion FileVault (2011-07-22) ( najważniejsze ).

FileVault 2 zapobiega zdalnemu restartowi

Nie należy oczekiwać zdalnego dostępu do okna logowania EFI.

Wyłączenie FileVault 1 może pogorszyć wydajność

Dwa rozsądne rozmiary (jeden katalog domowy), z dobrym zestawem B-drzewek, są prawdopodobnie łatwiejsze do zarządzania przez system - i prawie na pewno działają lepiej - niż jeden kolosalny wolumin z atrybutami i katalogami B-drzewek, które są duże i rozdrobnione.

Wyjaśnienie

FileVault 1 korzysta z pasm o zoptymalizowanym rozmiarze.

W zależności od zawartości katalogu domowego porzucenie tych pasm na rzecz większej liczby mniejszych plików może znacznie zwiększyć rozmiary i fragmentację następujących krytycznych obszarów woluminu startowego:

• atrybuty B-drzewa
• katalog B-drzewa
• rozszerza B-drzewa.

Powiększone B-drzewa mogą być nieoczekiwanie problematyczne

To, co następuje, jest zdecydowanie poza zakresem pytania otwierającego i jest względnie techniczne, ale dla każdego użytkownika komputera z (a) ograniczoną pamięcią i (b) znaczną liczbą plików w katalogu domowym i poza nim, warto o tym pomyśleć wcześniej porzucanie FileVault 1.

Jeśli suma rozmiarów drzewek B jest zbyt duża i jeśli wymagana jest naprawa, narzędzia innych firm na twoim komputerze mogą nie być w stanie naprawić uszkodzeń.

Jeśli wolumin jest nieodwracalny przez fsck_hfs - najwyraźniej za pomocą Narzędzia dyskowego, mniej oczywiście za każdym razem, gdy system napotka brudny system plików - użytkownik może zwrócić się do szanowanego narzędzia zewnętrznego.

Przykład

Zetknąłem się z sytuacją, w której suma rozmiarów drzewek B - w stosunku do pamięci fizycznej - była zbyt wielka, aby narzędzie innej firmy działało zgodnie z wymaganiami woluminu kopii zapasowych zaszyfrowanych w Core Storage, którego nie można było naprawić fsck_hfs. Ponieważ mój MacBookPro5,2 może zająć nie więcej niż 8 GB, więc przez pewien czas ten wolumin był tylko do odczytu.

Mogłem zabrać wolumin z komputerem lub bez niego do usługodawcy w celu uzyskania uwagi w środowisku z większą ilością pamięci. Jednak ze względów bezpieczeństwa nie powinienem przekazywać stronom trzecim - jakkolwiek zaufanym - hasła lub klucza do niektórych rodzajów woluminów.

W końcu i nieoczekiwanie, fsck_hfsw Lion naprawił wolumin beze mnie za pomocą Narzędzia dyskowego, być może dzięki mnie eksperymentalnie (ryzykownie?) Usunąłem wolumin ze świata coreStorage (cofanie, całkowite przekształcanie do tyłu), będąc w stanie nieodwracalnym i gotowym do odczytu . Był to dla mnie przyjemny wynik i aprobata dla Apple za jakość i możliwości 10.7 (kompilacja 11A511), ale powinno to stanowić ostrzeżenie dla innych czytelników.

Niektóre instalacje nie mogą korzystać z FileVault 2

Nie wszystkie instalacje Lion zyskują ukryty Apple_Boot Recovery HD wymagany dla FileVault 2 - OS X Lion: „Niektóre funkcje Mac OS X Lion nie są obsługiwane dla dysku (nazwa woluminu)” pojawia się podczas instalacji (2011-07-21) .

… Nie będziesz mógł korzystać z FileVault…

Jeśli tak się stanie - i jeśli opuścisz FileVault 1 przed aktualizacją do Lion - Twój komputer Mac z Lion będzie mniej bezpieczny .

The Rada opublikowane przez Macworld przed wydaniem Lion nadal zaleca użytkownikom, aby wyłączyć FileVault 1  przed zainstalowaniem lwa. Macworld nierzadko udziela porad, które są kontrowersyjne, ale w tym przypadku zdecydowanie się nie zgadzam.

Lion sprawia, że ​​tworzenie domów FileVault 1 jest trudniejsze

Najłatwiej jest stworzyć dom FileVault 1 w Snow Leopard przed aktualizacją do Lion.

Jeśli bez systemu Snow Leopard: możesz użyć Lwa, aby stworzyć dom, ale jest kilka kroków do rutyny.

Czy po wyłączeniu Filevault 1 można włączyć go ponownie w programie Lion?

Łącząc FileVault 2 z FileVault 1, możesz mieć dwuwarstwowe zabezpieczenia. Pamiętaj, że spowoduje to problemy z TimeMachine i udostępnianiem. Dlatego te dwuwarstwowe zabezpieczenia są zalecane tylko dla konta, na którym TimeMachine jest wyłączony!

Na moim komputerze mam codzienne konto do pracy, konto FileVault 1 (wyłączone z TimeMachine) i konto administratora. Kiedy aktywowałem FileVault 2 z mojego codziennego konta służbowego (używając hasła konta administratora), spodziewałem się, że FileVault 1 zniknie, ponieważ Apple mówi w OS X Lion: O FileVault 2 : «Jeśli wyłączysz starszą FileVault, karta Starsza FileVault zniknie i możesz następnie włączyć OS X Lion's FileVault 2 ».

Kiedy wszystko zostało skonfigurowane FileVault 2, byłem bardzo zaskoczony, że mój FileVault 1 nadal ma szyfrowanie FileVault 1. Miałem więc dwuwarstwowe zabezpieczenia: starsze konto FileVault 1 na komputerze FileVault 2. Wszystko, czego potrzebowałem, to konto inne niż FileVault 1, z którego można włączyć FileVault 2.

W końcu ponownie wyłączyłem FileVault 2. Lubię mieć dostęp do systemu plików OS X z systemu Windows Bootcamp. W FileVault 2 nie było to już możliwe. Nadal mam konto FileVault 1 i nadal działa dobrze, nawet w 10.8.1.