Oprócz możliwości zaszyfrowania całego woluminu, jakie są inne różnice między FileVault 2 a FileVault?

17

Czy FileVault 2 w Lion ma jakieś inne różnice w porównaniu do starej wersji FileVault w poprzednich wersjach systemu? Czy korzystanie z nowej wersji wiąże się z dodatkowymi korzyściami?

Aron Rotteveel
źródło

Odpowiedzi:

7

Pożyczki na podstawie recenzji Johna Siracusa Lion ...

FileVault 2 to system szyfrowania całego dysku, w przeciwieństwie do rozwiązania „przechowuj folder domowy w zaszyfrowanym obrazie dysku”. Jest zaimplementowany jako warstwa systemu plików poniżej rzeczywistego woluminu odblokowanego podczas uruchamiania systemu. Jeśli znasz LVM , jest tak samo. Za każdym razem, gdy mijasz hasło, wszystko wygląda tak samo jak reszta systemu.

Jak wspomniał Steve, prace nad szyfrowaniem mogą być wspomagane przez wyspecjalizowane instrukcje procesora i działają całkowicie w tle. Zaletą jest to, że możesz włączyć szyfrowanie dysku na pełnym dysku, a wszystko zostanie zrobione w wolnym czasie (możesz go zamknąć, przywrócić z powrotem itp. I wszystko będzie kontynuowane).

Yuriismaster
źródło
9

Konta gościa bez hasła nie można już tworzyć, ponieważ cały dysk jest szyfrowany niż tylko katalog domowy użytkownika. To smutne, że nie mogłem znaleźć żadnych informacji na ten temat w artykule kb w Apple.

Sairam
źródło
3
Wow, to całkiem spora różnica, która pozostała niezauważona! Ma to naprawdę duży wpływ na strategie odzyskiwania po kradzieży, które zalecają utworzenie konta gościa bez hasła.
Aron Rotteveel
@Aron Ale nadal możesz skonfigurować konto gościa z wyraźną wskazówką do hasła.
Asmus
2
@Asmus, oczywiście, ale to prawie uczyniłoby Filevault całkowicie bezużytecznym.
Aron Rotteveel,
@Aron, ale jak to jest bardziej niepewne niż kiedyś „stara metoda”? Konto gościa „bez hasła” jest nadal takie samo, jak kiedy podajesz gościowi hasło ?!
Asmus
2
Oczywiście fakt, że dysk jest zaszyfrowany w całości przez dowolny login użytkownika sprawia, że ​​logowanie gościa jest bezużyteczne, gdy używasz go jako narzędzia do odzyskiwania po kradzieży. W większości przypadków lepszym rozwiązaniem byłoby Filevault 1
Aron Rotteveel
7

Nowy Filevault wydaje się narzucać o wiele mniej ograniczeń niż stara wersja. Na przykład nie musisz się wylogowywać, aby wehikuł czasu działał, a wszystkie demony udostępniania wydają się działać poprawnie (niektóre z nich zostały wyłączone, gdy funkcja filefault została włączona, jeśli dobrze pamiętam. Myślę, że udostępnianie w sieci było wśród nich, co mój laptop stał się trochę bezużyteczny jako platforma programistyczna dla aplikacji internetowych :)).

Jednym z problemów z Filevault 2 jest to, że nie możesz ssh na maszynie, dopóki nie wprowadzisz hasła lokalnie, ponieważ proces uruchamiania nie może się rozpocząć, dopóki zaszyfrowany dysk nie zostanie odblokowany.

GordonM
źródło
„Na przykład nie musisz się wylogowywać, aby wehikuł czasu działał, a wszystkie demony udostępniania wydają się działać dobrze”: OTOH prawdopodobnie oznacza to, że kopie zapasowe Time Machine nie są już szyfrowane, a udostępnianie demonów (i złośliwego oprogramowania) może teraz również dostać się do plików.
Thilo,
Kopie zapasowe Time Machine muszą być szyfrowane osobno, ale nadal jest to możliwe. Można to zrobić z Time Machine Preferences> Select Disk> Pole wyboru do szyfrowania dysku,
lekką
4
  • Obsługuje AES-NI, który odciąża szyfrowanie i deszyfrowanie na obsługiwanych procesorach (niektóre podstawowe i5 i i7).
  • Możesz przechowywać swój klucz szyfrujący w Apple.

Jestem pewien, że jest jeszcze kilka innych. W tym artykule pomocy technicznej Apple powinna znaleźć się odpowiedź na pozostałe pytania.

http://support.apple.com/kb/HT4790

Steve Moser
źródło
W przypadku, gdy ktoś nie wie, dlaczego jest to przydatne, obsługa AES-NI oznacza niższe wykorzystanie procesora dla lepszej wydajności i żywotności baterii.
jmk
4

Awarie FileVault 2 LVG mogą być nieodwracalne

Ze strony podręcznika dlafsck_cs :

Narzędzie fsck_cs weryfikuje i naprawia metadane logicznej grupy woluminów CoreStorage.

...

BŁĘDY

fsck_cs nie przeprowadza wyczerpującego sprawdzania poprawności, ani nie jest w stanie naprawić wielu niespójności, które wykrywa.

Problemy z FileVault 1

fsck_hfs (używany przez Narzędzie dyskowe) jest rozwijany od ponad dziesięciu lat i jest w stanie naprawić większość problemów z JHFS + stosowanym przez FileVault 1.

W przypadku wystąpienia problemu, fsck_hfsktórego nie można naprawić, istnieje wiele alternatywnych narzędzi stron trzecich.

Podstawowe problemy z pamięcią masową w FileVault 2

fsck_cs(używany także przez Disk Utility) po raz pierwszy pojawił się wraz z CoreStorage w Mac OS X 10.7.0. Niespójności mogą być nieodwracalne.

W przypadku braku alternatyw dla fsck_cs

Jeśli wystąpi awaria LVG i fsck_csnie będzie można wykonać niezbędnych napraw, wolumin startowy nie zostanie podłączony. W tej sytuacji możesz destrukcyjnie sformatować dysk i ponownie zainstalować Mac OS X. (Samo użycie Recovery Time Time Machine nie zapewni Apple_Boot Recovery HD wymaganego dla FileVault 2.)

Graham Perrin
źródło
3

Jedną wadą jest to, że wcześniej można było zaszyfrować poszczególne konta użytkowników, a teraz można szyfrować tylko cały dysk. Jeśli szyfrujesz cały dysk, musisz również odszyfrować cały dysk za każdym razem, gdy korzystasz z komputera. Oznacza to, że po uruchomieniu komputera cały dysk jest dostępny dla złośliwego oprogramowania, natomiast zanim będzie można osobno zalogować się (i wkrótce ponownie wylogować) na konta o krytycznym znaczeniu dla bezpieczeństwa.

Podejrzewam, że nadal możesz używać zaszyfrowanych obrazów dysków na FileVault do naprawdę ważnych danych.

Innym problemem może być Time Machine. Podczas gdy wcześniej katalogi użytkowników FileVault były również przechowywane w postaci zaszyfrowanej na woluminie kopii zapasowej, wydaje się, że już tak nie jest.

Czy ktoś wie, czy Time Machine obsługuje teraz również szyfrowanie całego dysku (z dotychczasowych raportów wydaje się, że nie jest ono włączone dla dysków zewnętrznych, przynajmniej nie poprzez GUI)?

Aktualizacja: Najwyraźniej Time Machine nie obsługuje szyfrowania całego dysku: czy woluminy Time Machine można łatwo zaszyfrować za pomocą FileVault 2?

Thilo
źródło
1
Jeżeli dokonamy rozróżnienia pomiędzy dysku i woluminu logicznego : Time Machine nie może użyć całego dysku szyfrowanie, ale do szyfrowania Time Machine ma zastosowanie rdzenia Storage pełnego szyfrowania dysku (FDE) (jak to opisano w instrukcji strony dla diskutil), aby cała woluminu kopii zapasowej.
Graham Perrin
2

Dla wielu administratorów: sam FileVault 2 jest mniej bezpieczny niż FileVault 1 

Podobne do odpowiedzi Thilo. Ta logika dotyczy dowolnego komputera z dwoma lub więcej administratorami.

FileVault 1 w Snow Leopard i Lion

Istnieje dobry poziom bezpieczeństwa, aby uniemożliwić osobie bez hasła głównego dostęp do danych innej osoby.

FileVault 2 sam

Każdy administrator może przeglądać, kopiować, edytować dane wszystkich innych użytkowników.

Przykład

Dwóch partnerów biznesowych korzysta z jednego komputera, obaj administratorzy. Jeden z dwóch partnerów może chcieć zachować prywatność. Partner posiadający hasło główne, który chce zachować prywatność, nie przekazuje tego hasła drugiemu partnerowi.

Dzięki samej FileVault 2 w takich sytuacjach bezpieczeństwo i prywatność są łatwo ignorowane - sudo przychodzi natychmiast na myśl.

Porównanie

Szyfrowanie ZFS w Oracle Solaris , które może mieć zastosowanie do katalogów domowych użytkowników.


Obejście

Jeśli użytkownik FileVault 2 w powyższej sytuacji wymaga dodatkowego bezpieczeństwa, osoba ta może:

  1. dodaj osobny dysk, wewnętrzny lub zewnętrzny
  2. na tym dysku mieć zaszyfrowany wolumin logiczny Core Storage (LV) z hasłem dysku, które różni się zarówno od (a) hasła dysku dla woluminu startowego systemu operacyjnego, jak i (b) wszystkich haseł użytkownika do woluminu startowego
  3. przechowują swój katalog domowy na LV na osobnym dysku
  4. dopasuj hasło do konta użytkownika do hasła dysku dla LV.

Alternatywnie, osoba ta może wykorzystać tylko część istniejącego dysku… ale zarządzanie partycjami w świecie coreStorage i wokół niego jest trudne , więc dla długoterminowej prostoty: zaleciłbym inwestycję w dodatkowy / osobny dysk.


/ var / foldery

Spodziewaj się, że niektóre dane użytkownika zostaną zapisane w podkatalogu /private/var/folders- wszyscy administratorzy będą mieli dostęp do tych danych. Rozwiązanie tego problemu wykracza poza zakres tego pytania.

Graham Perrin
źródło
Zgadzam się, że FileVault 1 był lepszy dla komputera z wieloma użytkownikami, na którym chciałeś je od siebie oddzielić, ale myślę, że nawet z FileVault 1 Administrator systemu zawsze może odszyfrować sejf innego użytkownika.
Thilo,
@Thilo w FileVault 1 jedynym akceptowanym sposobem odblokowania skarbca innej osoby było hasło główne, które nigdy nie było automatycznie przekazywane wszystkim administratorom. Zredagowałem swoją odpowiedź, aby to wyjaśnić. Dzięki za podpowiedź.
Graham Perrin,
1
Dla większego bezpieczeństwa: partycja katalogu domowego jednego użytkownika może zostać wycięta z dysku, który będzie używany do instalacji OS X - przed zainstalowaniem OS. Zobacz na przykład Zaszyfruj wolumin startowy za pomocą Core Storage bez FileVault . Nie można tego jednak wykonać za pomocą interfejsu Preferencji systemowych Apple'a do FileVault 2 i, co krytyczne: jeśli później okaże się, że partycja jest zbyt mała, niemożliwe będzie zmniejszenie lub powiększenie dowolnej zaszyfrowanej partycji .
Graham Perrin,
1

Zarządzanie partycjami w świecie coreStorage i wokół niego jest trudne

W przypadku dysku korzystającego z FileVault 2 lub dowolnej innej aplikacji Core Storage dodanie lub zmiana rozmiaru partycji za pomocą Narzędzia dyskowego może być niemożliwe.

W trybie Super User:

  • odpowiedź w części Jak zmienić rozmiar zaszyfrowanej partycji FileVault 2?
  • odpowiedź w sekcji Utwórz nową partycję na zaszyfrowanym woluminie w OS X Lion .

Spodziewaj się, że strona podręcznika systemowego diskutil (8) firmy Apple dla systemu Mac OS X zostanie zaktualizowana do wersji 10.7 w odpowiednim czasie. W międzyczasie, jeśli już zainstalowałeś Lion, przeczytaj stronę podręcznika w Terminalu.

Graham Perrin
źródło
1

FileVault 1 można wyłączyć dla poszczególnych osób

Dla każdego użytkownika korzystającego z FileVault 1:

  • Preferencje systemowe pozwalają wyłączyć FileVault tylko dla tego użytkownika, pod warunkiem, że jest wystarczająca ilość wolnego miejsca.

Włączonych użytkowników FileVault 2 nie można wyłączyć

W Mac OS X 10.7 (kompilacja 11A511) możesz zezwolić użytkownikowi na odblokowanie woluminu startowego, ale po włączeniu:

  • tego użytkownika nie można wyłączyć
  • tylko FileVault 2 w całości można wyłączyć.

Wyłącz zdolność użytkownika do odblokowania woluminu FileVault 2 podczas uruchamiania / logowania

Graham Perrin
źródło
1

Lion Recovery Disk Assistant nie obsługuje FileVault 2

Wersja 1.0 asystenta używana z FileVault 2 w Mac OS X 10.7 (kompilacja 11A511) tworzy system operacyjny odzyskiwania na dysku flash USB. Jednak:

  • komputer nie może uruchomić się z tego systemu odzyskiwania.

Znalazłem ten problem z dwoma różnymi komputerami.

Graham Perrin
źródło
0

Wpływ FileVault 1 na wydajność

Z mojego doświadczenia wynika, że ​​wpływ jest zwykle do przyjęcia. Chciałbym zobaczyć odpowiednie testy porównawcze.

Porównanie wydajności

In Ask Different: Speed ​​of old Filevault vs. new Lion Full disk encrypting

Wpływ FileVault 2 na wydajność

Apple sugeruje:

FileVault 2 szyfruje i odszyfrowuje dane w locie z niezauważalnym wpływem na wydajność.

- strona w pamięci podręcznej 2011-07-28 .

AnandTech - Powrót do systemu Mac: OS X 10.7 Przegląd Lion: wydajność FileVault obserwuje:

… Ogólnie rzecz biorąc, wydajność czystego wejścia / wyjścia mieści się w zakresie 20–30% . Jest zauważalny, ale niewystarczająco duży, aby przewyższyć zalety pełnego szyfrowania dysku. …

Chciałbym, aby recenzenci AnandTech ponownie ważyli rzeczy szerzej, obejmując co najmniej:

  • FileVault 1 zamiast FileVault 2.

Więcej obserwacji na temat procesora, kernel_task et cetera w Re: [Fed-Talk] Lion FileVault (2011-07-22) ( najważniejsze ).

Graham Perrin
źródło
0

FileVault 2 zapobiega zdalnemu restartowi

Nie należy oczekiwać zdalnego dostępu do okna logowania EFI.

Graham Perrin
źródło
Zmieniłem twój styl na coś bardziej czytelnego.
Loïc Wolff
@ Poziomy nagłówka 1, 2 i 3 Loïc wydają się być normą, na przykład. Jaka drobna rzecz w Lion sprawia, że ​​się uśmiechasz lub zaskakuje? - czy istnieje meta pytanie dotyczące odpowiedzi na temat używania stylu? Tymczasem proszę powstrzymać się od edytowania innych - dziękuję.
Graham Perrin
1
To było po to, aby odpowiedź była bardziej czytelna, h1 jest dobre dla krótkiego tytułu, ale nie długich fraz, IMO. Jeśli wolisz stary styl, możesz go wycofać.
Loïc Wolff
3
@Graham, jest to portal społecznościowy, który napędzany jest oparta na edycji postów za siebie. Nie ma nic złego w nagłówkach, ale szczerze mówiąc, uważam, że posty są bardzo trudne do odczytania.
Aron Rotteveel
@Aron, prosimy o edycję treści poprawiających czytelność. Mogę znacznie wycofać lub ponownie edytować. Zostawię trzy poziomy nagłówków w co najmniej jednej odpowiedzi. Aktualnie przenosimy się zapytać inną informację, która została pierwotnie sporządzony wokół identi.ca/conversation/77065575#notice-79879336 ...
Graham Perrin
0

Wyłączenie FileVault 1 może pogorszyć wydajność

Dwa rozsądne rozmiary (jeden katalog domowy), z dobrym zestawem B-drzewek, są prawdopodobnie łatwiejsze do zarządzania przez system - i prawie na pewno działają lepiej - niż jeden kolosalny wolumin z atrybutami i katalogami B-drzewek, które są duże i rozdrobnione.

Wyjaśnienie

FileVault 1 korzysta z pasm o zoptymalizowanym rozmiarze.

W zależności od zawartości katalogu domowego porzucenie tych pasm na rzecz większej liczby mniejszych plików może znacznie zwiększyć rozmiary i fragmentację następujących krytycznych obszarów woluminu startowego:

  • atrybuty B-drzewa
  • katalog B-drzewa
  • rozszerza B-drzewa.

Powiększone B-drzewa mogą być nieoczekiwanie problematyczne

To, co następuje, jest zdecydowanie poza zakresem pytania otwierającego i jest względnie techniczne, ale dla każdego użytkownika komputera z (a) ograniczoną pamięcią i (b) znaczną liczbą plików w katalogu domowym i poza nim, warto o tym pomyśleć wcześniej porzucanie FileVault 1.

Jeśli suma rozmiarów drzewek B jest zbyt duża i jeśli wymagana jest naprawa, narzędzia innych firm na twoim komputerze mogą nie być w stanie naprawić uszkodzeń.

Jeśli wolumin jest nieodwracalny przez fsck_hfs - najwyraźniej za pomocą Narzędzia dyskowego, mniej oczywiście za każdym razem, gdy system napotka brudny system plików - użytkownik może zwrócić się do szanowanego narzędzia zewnętrznego.

Przykład

Zetknąłem się z sytuacją, w której suma rozmiarów drzewek B - w stosunku do pamięci fizycznej - była zbyt wielka, aby narzędzie innej firmy działało zgodnie z wymaganiami woluminu kopii zapasowych zaszyfrowanych w Core Storage, którego nie można było naprawić fsck_hfs. Ponieważ mój MacBookPro5,2 może zająć nie więcej niż 8 GB, więc przez pewien czas ten wolumin był tylko do odczytu.

Mogłem zabrać wolumin z komputerem lub bez niego do usługodawcy w celu uzyskania uwagi w środowisku z większą ilością pamięci. Jednak ze względów bezpieczeństwa nie powinienem przekazywać stronom trzecim - jakkolwiek zaufanym - hasła lub klucza do niektórych rodzajów woluminów.

W końcu i nieoczekiwanie, fsck_hfsw Lion naprawił wolumin beze mnie za pomocą Narzędzia dyskowego, być może dzięki mnie eksperymentalnie (ryzykownie?) Usunąłem wolumin ze świata coreStorage (cofanie, całkowite przekształcanie do tyłu), będąc w stanie nieodwracalnym i gotowym do odczytu . Był to dla mnie przyjemny wynik i aprobata dla Apple za jakość i możliwości 10.7 (kompilacja 11A511), ale powinno to stanowić ostrzeżenie dla innych czytelników.

Graham Perrin
źródło
Nie rozumiem części „porzucania pasm w porównaniu z wieloma małymi plikami”. Myślałem, że szyfrowanie File Vault 2 dzieje się poniżej poziomu systemu plików, na poziomie bloku, a zatem nie powinno zachowywać się inaczej niż niezaszyfrowany HFS + w odniesieniu do B-drzew.
Thilo,
@ Thilo bez myślenia o poziomach lub szyfrowaniu: pomyśl o liczbie plików . Skrajny przykład: dodaj jeden milion 80 KB plików do woluminu, a następnie usuń 10 000 pasm 8 MB. Dodanie miliona plików prawdopodobnie zwiększy rozmiary atrybutów i katalogów B-drzew, być może zbiegnie się z fragmentacją jednego lub obu, co nigdy nie jest dobre dla wydajności. Późniejsze usunięcie mniejszej liczby plików może nie skutkować zmniejszeniem rozmiaru jednego z B-drzewek.
Graham Perrin,
Ale czy nie miałbyś tego samego miliona plików w drzewie B na HFS + w obrazie dysku? Może coś nie rozumiem. W każdym razie myślę, że wiem, co masz na myśli. Nie chodzi tu wcale o szyfrowanie ani FileVault, ale o „partycjonowanie” systemu plików za pomocą obrazów dysków, ponieważ nie ufasz HFS + w zarządzaniu milionami plików, prawda?
Thilo,
ja zrobić zaufania JHFS + (z dziennikiem) z wielu milionów plików - obecnie 4.062.789 plików i 438,294 folderów na woluminie startowym mojego MacBook Pro 5,2 - 3,151,819 plików na PowerPC Xserve, z których część służy do grupy roboczej - i tak dalej. Moje odpowiedzi w tym pytaniu pochodzą z pracy, która nie opiera się na współpracy, gdzie indziej; ta odpowiedź wymaga szczególnej uwagi , prawdopodobnie poniżej nagłówka otwierającego. Obserwuj to miejsce i dołącz do mnie w edycji. Jeszcze raz dziękuję za monit ...
Graham Perrin,
0

Niektóre instalacje nie mogą korzystać z FileVault 2

Nie wszystkie instalacje Lion zyskują ukryty Apple_Boot Recovery HD wymagany dla FileVault 2 - OS X Lion: „Niektóre funkcje Mac OS X Lion nie są obsługiwane dla dysku (nazwa woluminu)” pojawia się podczas instalacji (2011-07-21) .

… Nie będziesz mógł korzystać z FileVault…

Jeśli tak się stanie - i jeśli opuścisz FileVault 1 przed aktualizacją do Lion - Twój komputer Mac z Lion będzie mniej bezpieczny .

The Rada opublikowane przez Macworld przed wydaniem Lion nadal zaleca użytkownikom, aby wyłączyć FileVault 1  przed zainstalowaniem lwa. Macworld nierzadko udziela porad, które są kontrowersyjne, ale w tym przypadku zdecydowanie się nie zgadzam.

Graham Perrin
źródło
0

Łącząc FileVault 2 z FileVault 1, możesz mieć dwuwarstwowe zabezpieczenia. Pamiętaj, że spowoduje to problemy z TimeMachine i udostępnianiem. Dlatego te dwuwarstwowe zabezpieczenia są zalecane tylko dla konta, na którym TimeMachine jest wyłączony!

Na moim komputerze mam codzienne konto do pracy, konto FileVault 1 (wyłączone z TimeMachine) i konto administratora. Kiedy aktywowałem FileVault 2 z mojego codziennego konta służbowego (używając hasła konta administratora), spodziewałem się, że FileVault 1 zniknie, ponieważ Apple mówi w OS X Lion: O FileVault 2 : «Jeśli wyłączysz starszą FileVault, karta Starsza FileVault zniknie i możesz następnie włączyć OS X Lion's FileVault 2 ».

Kiedy wszystko zostało skonfigurowane FileVault 2, byłem bardzo zaskoczony, że mój FileVault 1 nadal ma szyfrowanie FileVault 1. Miałem więc dwuwarstwowe zabezpieczenia: starsze konto FileVault 1 na komputerze FileVault 2. Wszystko, czego potrzebowałem, to konto inne niż FileVault 1, z którego można włączyć FileVault 2.

W końcu ponownie wyłączyłem FileVault 2. Lubię mieć dostęp do systemu plików OS X z systemu Windows Bootcamp. W FileVault 2 nie było to już możliwe. Nadal mam konto FileVault 1 i nadal działa dobrze, nawet w 10.8.1.

mach
źródło
Dostajesz również wszystkie wady FV1, takie jak problemy z TimeMachine, współdzielenie dostępu (a raczej brak dostępu) itp. Lepszym rozwiązaniem (jeśli naprawdę potrzebujesz małego dodatkowego poziomu bezpieczeństwa) jest prawdopodobnie zaszyfrowanie dysku za pomocą FV2 i dodanie małego image / dmg dla naprawdę wrażliwych rzeczy.
nohillside
To z pewnością prawda. Nie ma to na mnie wpływu, ponieważ wyłączyłem TimeMachine dla tego konta i nie udostępniam go. Odpowiednio edytuję odpowiedź.
mach