Ist eine hardwarebasierte Festplattenverschlüsselung auf einem Mac möglich?

21

Ist es möglich, hardwarebasierte Festplattenverschlüsselung (möglicherweise auf einer Samsung 840 Pro SSD) auf einem Mac zu verwenden, insbesondere auf einem Macbook Pro 8,2? Wenn das so ist, wie?

Mein Verständnis ist, dass dies im BIOS oder möglicherweise EFI behandelt wird, jedoch denke ich, dass Apples EFI im Allgemeinen ziemlich gesperrt ist.

Ich suche keine softwarebasierten Lösungen wie FileVault 2 oder TrueCrypt. Ich Dual-Boot und Angelegenheiten werden einfacher, wenn es in Hardware behandelt wird.

macos macbook encryption efi Eric Marsh
quelle
3
Obwohl ich verstehe, dass eine hardwarebasierte Verschlüsselung nach Möglichkeit vorzuziehen ist, möchte ich Ihre Motivation in Frage stellen: Die Festplattenverschlüsselung der verschiedenen Hardwarehersteller scheint schlecht dokumentiert zu sein. Es werden nur wenige Informationen zur Verfügung gestellt, die jedoch erforderlich sind, um die Vertraulichkeit der Umsetzung zu gewährleisten. FileVault 2 erhält derzeit eine FIPS 140-2-Zertifizierung [1 ] - ein NIST-Standard für kryptografische Module.
Gentmatt
1
Nach meiner persönlichen Erfahrung ist die softwarebasierte Festplattenverschlüsselung in einem Dual-Boot-Setup mit Windows 7 kein Problem, wenn ich nur das OS X-Startvolume mit FileVault 2 verschlüssele (dies ist mein aktuelles Setup). Wenn Sie auch Ihr Windows- oder Linux-Volume verschlüsseln möchten, wird es chaotisch - das habe ich gehört, aber nicht für mich selbst getestet.
Gentmatt
Nun, ich benutze Ubuntu hauptsächlich mit OSX. Auch ich habe eine geteilte Partition, obwohl das vielleicht mit TrueCrypt gehandhabt werden könnte. Es scheint nur weniger Probleme zu geben und erfordert weniger Software, wenn ich beim Booten nur ein einziges Passwort haben kann.
Eric Marsh
Haben Sie Filevault 2 zusammen mit Ubuntus vollständiger Festplattenverschlüsselung verwendet? Hat das gut geklappt Ich bin nur neugierig, weil ich meine Windows-Partition für Ubuntu 12.04 aufgeben möchte.
Gentmatt
Nein, tut mir leid, ich habe es nicht versucht. Ich denke nicht, dass es ein Problem sein würde, solange Sie nicht eine Partition lesen möchten, während Sie auf die andere booten. Vielleicht könnten Sie das umgehen, indem Sie TrueCrypt für beide verwenden. Ich habe TrueCrypt ein wenig benutzt, aber kein Experte
Eric Marsh

Antworten:

3

Ich habe mich genau das Gleiche gefragt, als ich auch ein Samsung 840 Pro für mein MacBook Pro gekauft habe. Nach einigen Recherchen habe ich in diesem Beitrag festgestellt , dass die Hardwareverschlüsselung des 840 Pro TPM-Unterstützung erfordert. Dies ist nur in PC-BIOS-Versionen möglich, nicht in Macs (U) EFI. Um sicher zu gehen, habe ich Samsung gefragt, welche der Standards "ATA-Security", "Seagate DriveTrust" und "TCG OPAL" vom 840 Pro unterstützt werden. Die Antwort lautete:

Sehr geehrter Kunde,

Vielen Dank, dass Sie sich bezüglich Ihrer Anfrage an den Samsung SSD-Support gewandt haben. Als Antwort auf Ihre Anfrage ist die ATA-Sicherheitsfunktion die einzige der drei, die das Gerät unterstützt. In Bezug auf die Verschlüsselung unterstützt die SSD der 840 Pro-Serie nur die AES-256-Bit-Verschlüsselung auf Hardwareebene, erfordert jedoch, dass das BIOS TPM-fähig ist.

Es gibt also keine Möglichkeit, die Hardwareverschlüsselung des 840 Pro auf einem Mac zu aktivieren.

Es gibt jedoch auch den Crucial M500, der den Opal von TCG unterstützt . In Verbindung mit einer speziellen Opal-Verwaltungssoftware wie WinMagics SecureDoc für Mac klingt es so, als wäre es möglich, die Hardwareverschlüsselung auf einem Mac zum Laufen zu bringen.

Beachten Sie übrigens, dass der SafeGuard von Sophos nur unter Windows und nicht unter Mac OS Opal unterstützt. Außerdem gibt McAfee allgemeine Fragen und Antworten zu Opal an

F: Werden Opal-Laufwerke unter Mac OS X unterstützt?

A: Nein. Apple liefert derzeit keine Geräte mit Opal-Laufwerken aus, sodass Opal von Endpoint Encryption für Mac nicht unterstützt wird.

Aber das sagt natürlich nichts darüber aus, wenn Sie selbst ein Opal-Laufwerk in einen Mac stecken.

schuberth
quelle
TPM ist nicht erforderlich. Bei meiner Windows 8.1-Installation konnte ich die Selbstverschlüsselung dieses Laufwerks ohne Verwendung von TPM aktivieren. Sie müssen lediglich die BitLocker-Einstellungen in gpedit.msc ändern. Theoretisch ist dies also auch unter OS X möglich, wenn das Betriebssystem dies unterstützt.
Sarge Borsch
Würde es Ihnen etwas ausmachen, mitzuteilen, welche Einstellungen Sie in gpedit.msc genau geändert haben?
Schuberth
howtogeek.com/howto/6229/…
Sarge Borsch
In diesem Artikel sieht es so aus, als würde BitLocker in diesem Fall die Software-Verschlüsselung verwenden, dh die Ver- / Entschlüsselung wird von der CPU anstelle der Festplatte selbst vorgenommen. Zumal sie TrueCrypt als Alternative empfehlen.
sschuberth
Ich habe nicht gesagt, dass die anderen Teile korrekt sind. Übrigens ist die vollständigste Anleitung hier: superuser.com/a/700251/161593
Sarge Borsch
2

Als Erweiterung der Antwort von sschuberth verfügt das Samsung 840 EVO (aber nicht PRO) ab Dezember 2013 über eine Firmware, die TCG OPAL direkt unterstützt. Es ist eine gute Wette, dass in Kürze ein 840 Pro-Firmware-Update verfügbar sein wird, um dasselbe zu tun.

Sie benötigen eine Software zur Verwaltung des SED-Laufwerks, ansonsten profitieren Sie kaum oder gar nicht von der integrierten Sicherheit.

WinMagic SecureDoc verwaltet das Laufwerk, jedoch nicht für jedes OS X-Release (Anekdoten zufolge 10.8.1: ok, 10.8.2: nicht ok).

Sie müssen auch WinMagic Enterprise-Software ausführen, glaube ich. Sie haben zwar eine Standalone-Edition von SecureDoc zur Unterstützung von SEDs, diese ist jedoch anscheinend nur für Windows verfügbar.

HINWEIS: SecureDoc nicht benötigt ein TPM für SEDs, noch der 840 EVO läuft in TCG Opal - Modus. SecureDoc kann die Verwendung eines TPM unterstützen, wenn Sie eines haben und die Funktion aktivieren (nur Windows).

Larry
quelle
1

Dies ist eine gute Frage und - ja - eine Antwort darauf zu finden ist fast unmöglich. Samsung sendet an Apple-Support. Ich würde erwarten, von Apple zu hören, dass es nicht möglich ist.

Volle Festplattenverschlüsselung HW vs. FileVault - Leistungsunterschiede sind spürbar. Wenn Sie kein Geschäftsbenutzer mit strengen Verschlüsselungsanforderungen sind, müssen wir nach einer HW-basierten Samsung-Lösung suchen. Aber wie man es auf dem Mac aktiviert - Schmerz, um es herauszufinden.

woy
quelle
1
Bei neueren CPUs verwendet FileVault2 Hardware-AES und hat laut einigen Berichten einen vernachlässigbaren Einfluss auf die Leistung: osxdaily.com/2011/08/10/…
Alan Shutko
Wir sind keine durchschnittlichen Benutzer. Ich bevorzuge die Verwendung von HW FDE, da dies die elegante und "richtige" Lösung ist, insbesondere beim Dual-Booten mit einer gemeinsam genutzten Partition.
Eric Marsh
1

Ja, die Eclypt-Produktreihe von Viasat funktioniert mit Mac (EFI) und bietet Hardwareverschlüsselung mit FIPS-Zulassung und vollständiger Festplatte.

Siehe: Selbstverschlüsselnde interne Festplatte von Eclypt Core

Die Datenblätter für die Eclypt-Produktreihe sind noch nicht auf dem neuesten Stand (Mac OS X 10.5+ wird jedoch ebenso wie Apple UEFI unterstützt). Sie können das spezifische Produkt unter http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 sehen . Sie können auch in diesem Blog http://robert-palmer.net/category/eclypt-protects/ nachschlagen . Oder wenden Sie sich direkt an Viasat UK.

Denzil Dexter
quelle
Hmm, in seinem Datenblatt steht nichts über EFI oder Mac, nur Windows.
Schuberth