Hat FileVault 2 in Lion noch weitere Unterschiede zur alten Version von FileVault in früheren Versionen des Systems? Gibt es zusätzliche Vorteile bei der Verwendung der neuen Version?

Kräftig von John Siracusa's Lion Review entlehnt ...

FileVault 2 ist ein System zur vollständigen Festplattenverschlüsselung und nicht nur eine Lösung zum Speichern Ihres privaten Ordners in einem verschlüsselten Festplattenabbild. Es ist als Dateisystemebene unterhalb des tatsächlichen Volumes implementiert, das Sie beim Systemstart entsperren. Wenn Sie mit LVM vertraut sind, verhält es sich ähnlich. Wenn Sie die Kennwortsperre überwinden, sieht für den Rest des Systems alles gleich aus.

Wie Steve erwähnte, kann die Verschlüsselungsarbeit durch spezielle Prozessoranweisungen unterstützt werden und läuft vollständig im Hintergrund. Das Schöne ist, dass Sie die Festplattenverschlüsselung auf einem vollständigen Laufwerk aktivieren können und alles nach Belieben erledigen können (Sie können es herunterfahren, neu starten usw. und alles wird fortgesetzt).

Es können keine "Gast" -Konten mehr mit weniger Kennwörtern erstellt werden, da die gesamte Festplatte verschlüsselt ist als nur das Basisverzeichnis des Benutzers. Es ist traurig, dass ich im kb-Artikel in Apple keine Informationen dazu finden konnte.

Der neue Filevault scheint Ihnen weit weniger Einschränkungen aufzuerlegen als die alte Version. Sie müssen sich beispielsweise nicht abmelden, damit time machine funktioniert, und alle Sharing-Daemons scheinen einwandfrei zu funktionieren (einige von ihnen waren deaktiviert, als der Dateifehler aktiviert wurde, wenn ich mich richtig erinnere. Ich glaube, das Web-Sharing gehörte dazu.) habe meinen Laptop als Entwicklungsplattform für Webanwendungen ein wenig unbrauchbar gemacht :)).

Ein Problem mit Filevault 2 besteht darin, dass Sie erst nach lokaler Eingabe eines Kennworts auf einen Computer zugreifen können, da der Startvorgang erst beginnen kann, nachdem das verschlüsselte Laufwerk entsperrt wurde.

• Es unterstützt AES-NI, das die Ver- und Entschlüsselung auf unterstützten CPUs (einige Core i5 und i7) verlagert.
• Sie können Ihren Verschlüsselungsschlüssel bei Apple speichern.

Ich bin sicher, es gibt noch ein paar andere. Dieser Apple Support-Artikel sollte den Rest Ihrer Fragen beantworten.

http://support.apple.com/kb/HT4790

FileVault 2-LVG-Fehler können möglicherweise nicht mehr repariert werden

Von der Handbuchseite fürfsck_cs :

Das Dienstprogramm fsck_cs überprüft und repariert Metadaten der logischen Datenträgergruppe von CoreStorage.

...

BUGS

fsck_cs führt keine vollständige Validierung durch und kann auch viele der erkannten Inkonsistenzen nicht beheben.

Probleme mit FileVault 1

fsck_hfs (von Disk Utility verwendet) wurde über zehn Jahre lang entwickelt und kann die meisten von FileVault 1 verwendeten Probleme mit JHFS + beheben.

Sollten Sie auf ein Problem stoßen, fsck_hfsdas nicht behoben werden kann, gibt es mehrere alternative Hilfsprogramme von Drittanbietern.

Kernspeicherprobleme mit FileVault 2

fsck_cs(wird auch vom Festplatten-Dienstprogramm verwendet) wurde erstmals zusammen mit CoreStorage unter Mac OS X 10.7.0 veröffentlicht. Inkonsistenzen können irreparabel sein.

In Ermangelung von Alternativen zu fsck_cs

Wenn ein LVG-Fehler auftritt und fsck_csdie erforderlichen Reparaturen nicht durchgeführt werden können, wird Ihr Startvolume nicht bereitgestellt. In dieser Situation können Sie die Festplatte destruktiv neu formatieren und Mac OS X neu installieren. (Die Verwendung von Recovery OS Time Machine allein bietet nicht die Apple_Boot Recovery HD, die für FileVault 2 erforderlich ist.)

Ein Nachteil, den ich sehe, ist, dass Sie vor dem Verschlüsseln einzelner Benutzerkonten nur die gesamte Festplatte verschlüsseln können. Wenn Sie die gesamte Festplatte verschlüsseln, müssen Sie bei jeder Verwendung des Computers auch die gesamte Festplatte entschlüsseln. Dies bedeutet, dass nach dem Start des Computers die gesamte Festplatte für Malware zugänglich ist, während Sie sich zuvor separat bei sicherheitskritischen Konten anmelden (und bald wieder von dort abmelden) konnten.

Ich nehme an, Sie können weiterhin verschlüsselte Datenträgerabbilder für wirklich wichtige Daten über FileVault verwenden.

Ein weiteres Problem könnte Time Machine sein. Während zuvor die FileVault-Benutzerverzeichnisse auch verschlüsselt auf dem Backup-Volume gespeichert waren, scheint dies nicht mehr der Fall zu sein.

Weiß jemand, ob Time Machine jetzt auch die Ganzplattenverschlüsselung unterstützt (aus den Berichten geht hervor, dass es für externe Laufwerke anscheinend nicht aktiviert ist, zumindest nicht über die GUI)?

Update: Time Machine unterstützt anscheinend keine Ganzplattenverschlüsselung: Können Time Machine-Volumes problemlos mit FileVault 2 verschlüsselt werden?

Für mehrere Administratoren: FileVault 2 allein ist weniger sicher als FileVault 1 

Ähnlich wie die Antwort von Thilo. Diese Logik gilt für jeden Computer mit zwei oder mehr Administratoren.

FileVault 1 in Snow Leopard und in Lion

Es gibt eine gute Sicherheitsstufe, um zu verhindern, dass eine Person ohne das Hauptkennwort auf die Daten einer anderen Person zugreift.

FileVault 2 allein

Jeder Administrator kann die Daten aller anderen Benutzer anzeigen, kopieren und bearbeiten.

Beispiel

Zwei Geschäftspartner teilen sich einen Computer, beide Administratoren. Einer der beiden Partner möchte vielleicht etwas für sich behalten. Der Partner mit dem Master-Passwort, der etwas geheim halten möchte, gibt dieses Passwort nicht an den anderen Partner weiter.

Mit FileVault 2 allein in solchen Szenarien werden Sicherheit und Datenschutz leicht ignoriert - sudo wird sofort in den Sinn kommen.

Vergleich

ZFS-Verschlüsselung in Oracle Solaris , die auf die Basisverzeichnisse der Benutzer angewendet werden kann.

Umgehung

Wenn ein Benutzer von FileVault 2 in der obigen Situation die zusätzliche Sicherheit benötigt, kann diese Person:

1. Fügen Sie einen separaten internen oder externen Datenträger hinzu
2. Verfügen Sie auf dieser Festplatte über ein mit Core Storage verschlüsseltes logisches Volume (LV) mit einem Festplattenkennwort, das sich sowohl von (a) dem Festplattenkennwort für das Startvolume des Betriebssystems als auch von (b) allen Benutzerkennwörtern für das Startvolume unterscheidet
3. Speichern Sie ihr Home-Verzeichnis auf dem LV auf der separaten Festplatte
4. Passen Sie das Kennwort für das Benutzerkonto an das Festplattenkennwort für den LV an.

Alternativ kann diese Person nur einen Teil einer vorhandenen Festplatte verwenden. Die Partitionsverwaltung in und um coreStorage world ist jedoch schwierig. Aus Gründen der langfristigen Einfachheit würde ich empfehlen, in eine zusätzliche / separate Festplatte zu investieren.

/ var / ordner

Erwarten Sie, dass einige Benutzerdaten in ein Unterverzeichnis von geschrieben werden /private/var/folders- alle Administratoren haben Zugriff auf diese Daten. Eine Lösung hierfür würde den Rahmen dieser Frage sprengen.

Das Partitionsmanagement in und um die coreStorage-Welt ist schwierig

Bei einer Festplatte, die FileVault 2 oder eine andere Anwendung von Core Storage verwendet, ist es möglicherweise unmöglich, Partitionen mit dem Festplatten-Dienstprogramm hinzuzufügen oder deren Größe zu ändern.

Im Super User:

• Eine Antwort finden Sie unter Wie kann ich die Größe einer mit FileVault 2 verschlüsselten Partition ändern?
• eine Antwort unter Neue Partition auf verschlüsseltem Volume in OS X Lion erstellen .

Erwarten Sie, dass Apples diskutil (8) Mac OS X Manual Page zu gegebener Zeit auf 10.7 aktualisiert wird. Wenn Sie Lion bereits installiert haben, lesen Sie in der Zwischenzeit die Manpage im Terminal.

FileVault 1 kann für Einzelpersonen deaktiviert werden

Für jeden Benutzer, der FileVault 1 verwendet:

• In den Systemeinstellungen können Sie FileVault nur für diesen Benutzer deaktivieren, sofern genügend Speicherplatz vorhanden ist.

Aktivierte Benutzer von FileVault 2 können nicht deaktiviert werden

In Mac OS X 10.7 (Build 11A511) können Sie einem Benutzer erlauben, das Startvolume zu entsperren, sofern es aktiviert ist:

• Dieser Benutzer allein kann nicht deaktiviert werden
• Es kann nur FileVault 2 in seiner Gesamtheit deaktiviert werden.

Deaktivieren Sie die Möglichkeit eines Benutzers, ein FileVault 2-Volume beim Starten / Anmelden zu entsperren

Dem Lion Recovery Disk Assistant fehlt die Unterstützung für FileVault 2

Version 1.0 des mit FileVault 2 in Mac OS X 10.7 (Build 11A511) verwendeten Assistenten erstellt ein Wiederherstellungs-Betriebssystem auf einem USB-Flash-Laufwerk. Jedoch:

• Der Computer kann von diesem Wiederherstellungs-Betriebssystem nicht gestartet werden.

Ich habe dieses Problem mit zwei verschiedenen Computern gefunden.

Auswirkungen von FileVault 1 auf die Leistung

Nach meiner Erfahrung ist die Auswirkung normalerweise akzeptabel. Ich würde gerne relevante Benchmarks sehen.

Leistungsvergleiche

In Ask Different: Geschwindigkeit der alten und der neuen Lion-Festplattenverschlüsselung

• Meine Antwort dort (in Arbeit) enthält einige technische Daten.

FileVault 2 beeinträchtigt die Leistung

Apple schlägt vor:

FileVault 2 ver- und entschlüsselt Ihre Daten im Handumdrehen mit einer nicht wahrnehmbaren Auswirkung auf die Leistung.

- Seite zwischengespeichert am 2011-07-28 .

AnandTech - Zurück zum Mac: OS X 10.7 Lion-Test: Die FileVault-Leistung stellt Folgendes fest:

… Insgesamt liegt der Hit bei der reinen E / A-Leistung im Bereich von 20 - 30% . Es ist auffällig, aber nicht groß genug, um die Vorteile einer vollständigen Festplattenverschlüsselung aufzuwiegen. …

Ich möchte, dass die AnandTech-Rezensenten die Dinge noch einmal allgemeiner abwägen, um zumindest Folgendes zu berücksichtigen:

• FileVault 1 anstelle von FileVault 2.

Weitere Beobachtungen zu CPU, kernel_task usw. in Betreff : [Fed-Talk] Lion FileVault (22.07.2011) ( Höhepunkte ).

FileVault 2 verhindert einen Remote-Neustart

Erwarten Sie keinen Remotezugriff auf das EFI-Anmeldefenster.

Das Deaktivieren von FileVault 1 kann die Leistung beeinträchtigen

Zwei Volumes von angemessener Größe (eines davon ein Basisverzeichnis) mit einem guten Satz von B-Bäumen sind für das System wahrscheinlich einfacher zu verwalten - und mit ziemlicher Sicherheit besser - als ein einziges kolossales Volume mit Attributen und Katalog-B-Bäumen übergroß und fragmentiert.

Erläuterung

FileVault 1 verwendet Bänder mit einer optimierten Größe.

Je nach Inhalt eines Basisverzeichnisses kann das Verlassen dieser Bänder zugunsten einer größeren Anzahl kleinerer Dateien die Größe und Fragmentierung der folgenden kritischen Bereiche des Startvolumes erheblich erhöhen:

• Attribute B-Baum
• Katalog B-Baum
• Umfang B-Baum.

Vergrößerte B-Bäume können unerwartet problematisch sein

Was folgt, ist fragwürdig, über den Rahmen der Eröffnungsfrage hinausgehend und relativ technisch, aber für jeden Benutzer eines Computers mit (a) begrenztem Arbeitsspeicher und (b) einer beträchtlichen Anzahl von Dateien innerhalb und außerhalb seines Home-Verzeichnisses lohnt es sich, vorher darüber nachzudenken Verlassen von FileVault 1.

Wenn die Summe der Größen der B-Bäume zu groß ist und eine Reparatur erforderlich ist, können Dienstprogramme von Drittanbietern auf Ihrem Computer den Schaden möglicherweise nicht reparieren.

Wenn ein Volume durch fsck_hfs irreparabel ist - am offensichtlichsten mithilfe des Festplatten-Dienstprogramms, weniger offensichtlich, wenn das System auf ein verschmutztes Dateisystem stößt -, kann sich ein Benutzer an ein angesehenes Drittanbieter-Dienstprogramm wenden.

Beispiel

Ich bin auf eine Situation gestoßen, in der die Summe der Größen der B-Bäume - im Verhältnis zum physischen Speicher - zu groß war, als dass ein Dienstprogramm eines Drittanbieters für ein mit Core Storage verschlüsseltes Sicherungsvolume, das nicht reparabel war, die erforderliche Leistung erbringen konntefsck_hfs . Da mein MacBookPro5.2 nicht mehr als 8 GB aufnehmen kann, war dieses Volume für einige Zeit schreibgeschützt.

Möglicherweise habe ich die Lautstärke mit oder ohne Computer an einen Dienstanbieter weitergeleitet, um in einer Umgebung mit mehr Arbeitsspeicher Aufmerksamkeit zu erregen. Aus Sicherheitsgründen sollte ich die Passphrase oder den Schlüssel für einige Datenträgertypen jedoch nicht an Dritte weitergeben, auch wenn diese nicht vertrauenswürdig sind.

Irgendwann und unerwartet hat der fsck_hfsin Lion das Volume repariert, ohne dass ich das Festplatten-Dienstprogramm verwendet habe. Dies ist möglicherweise darauf zurückzuführen, dass ich das Volume experimentell (riskant?) Aus der CoreStorage-Welt entfernt habe (zurückgesetzt, vollständig rückwärts konvertiert), während es sich im irreparablen und schreibgeschützten Zustand befand . Das war ein erfreuliches Ergebnis für mich und ein Daumen hoch für Apple hinsichtlich der Qualitäten und Fähigkeiten von 10.7 (Build 11A511), aber dies sollte anderen Lesern als Warnung dienen.

Einige Installationen können FileVault 2 nicht verwenden

Nicht alle Installationen von Lion erhalten die für FileVault 2 - OS X Lion erforderliche versteckte Apple_Boot Wiederherstellungs-HD : "Einige Funktionen von Mac OS X Lion werden für die Festplatte (Volume-Name) nicht unterstützt" wird während der Installation angezeigt (2011-07-21) .

Sie können FileVault nicht verwenden.

In diesem Fall - und wenn Sie FileVault 1 vor dem Upgrade auf Lion verlassen haben - ist Ihr Mac mit Lion weniger sicher .

In den von Macworld vor der Veröffentlichung von Lion veröffentlichten Hinweisen wird den Benutzern weiterhin empfohlen, FileVault 1  vor der Installation von Lion zu deaktivieren . Es ist höchst ungewöhnlich, dass Macworld umstrittene Ratschläge gibt, aber in diesem Fall bin ich anderer Meinung.

Mit Lion ist das Erstellen von FileVault 1-Heimen weniger einfach

Am einfachsten ist es, das FileVault 1-Heim in Snow Leopard zu erstellen, bevor Sie auf Lion aktualisieren.

Wenn ohne Snow Leopard: Sie können Lion verwenden, um das Zuhause zu erstellen, aber es gibt ein paar Schritte zur Routine.

Kann Filevault 1 nach dem Deaktivieren in Lion erneut aktiviert werden?

Durch die Kombination von FileVault 2 mit FileVault 1 erhalten Sie doppelte Sicherheitsebenen. Beachten Sie, dass dies zu Problemen mit TimeMachine und der gemeinsamen Nutzung führt. Daher ist diese doppelte Sicherheitsebene nur für ein Konto empfehlenswert, bei dem TimeMachine deaktiviert ist!

Auf meinem Computer habe ich ein Konto für die tägliche Arbeit, ein FileVault 1-Konto (von TimeMachine ausgeschlossen) und ein Administratorkonto. Als ich FileVault 2 über mein tägliches Arbeitskonto (unter Verwendung des Kennworts des Administratorkontos) aktivierte, erwartete ich, dass FileVault 1 nicht mehr angezeigt wird, da Apple unter OS X Lion Folgendes sagt : Über FileVault 2 : «Wenn Sie Legacy FileVault deaktivieren, wird die Registerkarte Legacy FileVault ausgeblendet Anschließend können Sie FileVault 2 von OS X Lion aktivieren ».

Als FileVault 2 vollständig eingerichtet war, war ich sehr überrascht, dass FileVault 1 weiterhin FileVault 1-Verschlüsselung unterstützt. Also hatte ich eine doppelte Sicherheitsebene: Ein älteres FileVault 1-Konto in einem FileVault 2-Computer. Ich brauchte nur ein Nicht-FileVault 1-Konto, um FileVault 2 zu aktivieren.

Schließlich habe ich FileVault 2 wieder ausgeschaltet. Ich mag es, vom Bootcamp-Windows-System aus auf das OS X-Dateisystem zugreifen zu können. Mit FileVault 2 war das nicht mehr möglich. Ich behalte weiterhin das FileVault 1-Konto und es funktioniert auch in 10.8.1 einwandfrei.