Oltre a poter codificare un intero volume, quali sono le altre differenze di FileVault 2 su FileVault?

17

FileVault 2 in Lion presenta altre differenze rispetto alla versione precedente, FileVault nelle versioni precedenti del sistema? Ci sono ulteriori vantaggi nell'uso della nuova versione?

lion  filevault  core-storage 
Aron Rotteveel
fonte

Risposte:

7

Prendendo in prestito pesantemente dalla recensione del Leone di John Siracusa ...

FileVault 2 è un sistema di crittografia dell'intero disco, al contrario di una soluzione "archivia la cartella principale in un'immagine del disco crittografata". È implementato come un livello di file system al di sotto del volume effettivo che si sblocca all'avvio del sistema. Se hai familiarità con LVM , è più o meno allo stesso modo. Ogni volta che si supera il blocco della password, tutto sembra uguale al resto del sistema.

Come accennato da Steve, il lavoro di crittografia può essere aiutato da istruzioni specializzate del processore e viene eseguito interamente in background. La cosa bella è che puoi attivare la crittografia del disco su un'unità completa e tutto sarà fatto a tuo piacimento (puoi spegnerlo, ripristinarlo, ecc. E tutto continuerà).

yuriismaster
fonte
9

Gli account "Ospite" meno password non possono più essere creati poiché l'intero disco è crittografato rispetto alla sola directory principale dell'utente. È triste che non ho trovato alcuna informazione sull'articolo kb di Apple su questo.

Sairam
fonte
3
Caspita, questa è una differenza abbastanza grande che mi è passata inosservata! Questo ha davvero un grande impatto sulle strategie di recupero dei furti che consigliano di configurare un account ospite senza password.
Aron Rotteveel,
@Aron Ma potresti comunque configurare un account ospite con un suggerimento per la password in chiaro.
Asmus,
2
@Asmus, ovviamente, ma ciò renderebbe praticamente inutile Filevault.
Aron Rotteveel,
@Aron ma come è più insicuro del vecchio metodo? Un account ospite "senza password" è sempre lo stesso di quando si comunica la password all'ospite ?!
Asmus,
2
Ovviamente, il fatto che il disco sia crittografato in totale da qualsiasi accesso utente rende inutile un accesso ospite quando lo si utilizza come strumento di recupero furto. Nella maggior parte dei casi, Filevault 1 sarebbe una soluzione migliore
Aron Rotteveel il
7

Il nuovo Filevault sembra imporre molti meno vincoli rispetto alla vecchia versione. Non è necessario disconnettersi per il funzionamento della macchina del tempo, ad esempio, e tutti i demoni di condivisione sembrano funzionare correttamente (alcuni di essi sono stati disabilitati quando il filefault è stato abilitato se ricordo bene. Penso che la condivisione web fosse tra questi, il che ha reso il mio laptop un po 'inutile come piattaforma di sviluppo per applicazioni web :)).

Un problema con Filevault 2 è che non è possibile accedere a una macchina fino a quando non si immette una password localmente, poiché il processo di avvio non può iniziare fino a quando l'unità crittografata non è stata sbloccata.

GordonM
fonte
"Non è necessario disconnettersi perché Time Machine funzioni, ad esempio, e tutti i demoni di condivisione sembrano funzionare correttamente": OTOH probabilmente significa che i backup di Time Machine non sono più crittografati ora e che condividono demoni (e malware) ora può anche accedere ai file.
Thilo,
I backup di Time Machine devono essere crittografati separatamente, ma è ancora possibile. Questo può essere fatto da Preferenze di Time Machine> Seleziona disco> Casella di controllo per crittografare il disco,
Gauzy
4
  • Supporta AES-NI che scarica crittografia e decrittografia su CPU supportate (alcuni core i5 e i7).
  • Puoi archiviare la tua chiave di crittografia con Apple.

Sono sicuro che ce ne sono alcuni altri. Questo articolo di supporto Apple dovrebbe rispondere al resto delle tue domande.

http://support.apple.com/kb/HT4790

Steve Moser
fonte
Nel caso in cui qualcuno non sappia perché sia ​​utile, il supporto AES-NI significa un utilizzo della CPU inferiore per prestazioni e durata della batteria migliori.
jmk
4

Gli errori LVG di FileVault 2 potrebbero essere irreparabili

Dalla paginafsck_cs del manuale per :

L'utilità fsck_cs verifica e ripara i metadati del gruppo di volumi logici CoreStorage.

...

BUGS

fsck_cs non esegue una convalida esaustiva, né è in grado di correggere molte incoerenze rilevate.

Problemi con FileVault 1

fsck_hfs (utilizzato da Utility Disco) è stato sviluppato per oltre dieci anni ed è in grado di riparare la maggior parte dei problemi con JHFS + come utilizzato da FileVault 1.

Se dovessi riscontrare un problema che fsck_hfsnon è possibile riparare, ci sono più utility di terze parti alternative.

Problemi di archiviazione di base con FileVault 2

fsck_cs(utilizzato anche da Utility Disco) è apparso per la prima volta insieme a CoreStorage in Mac OS X 10.7.0. Le incoerenze possono essere irreparabili.

In assenza di alternative a fsck_cs

Se si verifica un errore LVG e fsck_csnon è possibile effettuare le riparazioni necessarie, il volume di avvio non verrà montato. In questa situazione, è possibile riformattare in modo distruttivo il disco e reinstallare Mac OS X. (L'uso del sistema operativo Recovery Time Machine da solo non fornirà Apple_Boot Recovery HD necessario per FileVault 2.)

Graham Perrin
fonte
3

Uno svantaggio che posso vedere è che prima di poter crittografare i singoli account utente, mentre ora è possibile crittografare solo l'intero disco. Se si crittografa l'intero disco, è necessario decrittografare l'intero disco ogni volta che si utilizza il computer. Ciò significa che una volta avviato il computer, l'intero disco è accessibile dal malware, mentre prima era possibile accedere (e presto di nuovo fuori) ad account critici per la sicurezza separatamente.

Suppongo che tu possa ancora usare immagini disco crittografate sopra FileVault per dati veramente importanti.

Un altro problema potrebbe essere Time Machine. Considerando che prima che le directory degli utenti FileVault fossero anche archiviate crittografate sul volume di backup, questo non sembra più essere il caso.

Qualcuno sa se Time Machine ora supporta anche la crittografia dell'intero disco (dai rapporti finora sembra non essere abilitato per le unità esterne, almeno non tramite la GUI)?

Aggiornamento: Apparentemente, Time Machine non supporta la crittografia dell'intero disco: i volumi di Time Machine possono essere facilmente crittografati con FileVault 2?

Thilo
fonte
1
Se facciamo distinzione tra un disco e un volume logico : Time Machine potrebbe non utilizzare tutto il disco la crittografia, ma per la cifratura Time Machine non applicare Nucleo bagagli crittografia completa del disco (FDE) (come è descritto nella pagina di manuale per diskutil) per l'intero del volume di backup.
Graham Perrin,
2

Per più amministratori: FileVault 2 da solo è meno sicuro di FileVault 1 

Simile alla risposta offerta da Thilo. Questa logica si applica a qualsiasi computer con due o più amministratori.

FileVault 1 in Snow Leopard e in Lion

Esiste un buon livello di sicurezza per impedire a una persona senza la password principale di accedere ai dati di altre persone.

FileVault 2 da solo

Qualsiasi amministratore può visualizzare, copiare, modificare i dati di tutti gli altri utenti.

Esempio

Due partner commerciali condividono un computer, entrambi amministratori. Uno dei due partner potrebbe voler mantenere qualcosa di privato. Il partner che detiene la password principale, che desidera mantenere qualcosa di privato, non fornisce tale password all'altro partner.

Con FileVault 2 da solo in tali scenari, la sicurezza e la privacy vengono facilmente ignorate: sudo viene subito in mente.

Confronto

Crittografia ZFS in Oracle Solaris , che può essere applicata alle home directory degli utenti.

Soluzione

Se un utente di FileVault 2 nella situazione sopra richiede la sicurezza aggiuntiva, quella persona può:

  1. aggiungere un disco separato, interno o esterno
  2. su quel disco, disporre di un volume logico (LV) crittografato Core Storage con una password del disco diversa da (a) la password del disco per il volume di avvio del sistema operativo e (b) tutte le password utente per il volume di avvio
  3. memorizzare la loro home directory sul LV sul disco separato
  4. abbinare la password del proprio account utente alla password del disco per LV.

In alternativa, quella persona potrebbe usare solo una parte di un disco esistente ... ma la gestione delle partizioni dentro e intorno al mondo coreStorage è difficile , quindi per semplicità a lungo termine: consiglierei l'investimento in un disco aggiuntivo / separato.

/ var / cartelle

Aspettatevi che alcuni dati dell'utente vengano scritti in una sottodirectory di /private/var/folders: tutti gli amministratori avranno accesso a questi dati. Una soluzione per questo va oltre lo scopo di questa domanda.

Graham Perrin
fonte
Sono d'accordo che FileVault 1 era migliore per un computer multiutente in cui si voleva separarli l'uno dall'altro, ma penso che anche con FileVault 1 l'amministratore di sistema potesse sempre decrittografare qualsiasi deposito di altri utenti.
Thilo,
@Thilo in FileVault 1 l'unico modo accettato per sbloccare il caveau di qualcun altro era con una password principale, che non veniva mai data automaticamente a tutti gli amministratori. Ho modificato la mia risposta per renderlo più chiaro. Grazie per la richiesta.
Graham Perrin,
1
Per una maggiore sicurezza: una partizione per la home directory di un utente può essere scolpita dal disco che deve essere utilizzata per l'installazione di OS X - prima che il SO sia installato. Vedere ad esempio Crittografia del volume di avvio con Core Storage senza FileVault . Tuttavia, ciò non può essere eseguito con l'interfaccia Preferenze di Sistema di Apple a FileVault 2 e in modo critico: se in seguito viene scoperto che una partizione è troppo piccola, sarà impossibile ridurre o espandere qualsiasi partizione crittografata .
Graham Perrin,
1

La gestione delle partizioni nel mondo coreStorage e dintorni è difficile

Per un disco che utilizza FileVault 2 o qualsiasi altra applicazione di Core Storage, potrebbe essere impossibile aggiungere o ridimensionare le partizioni utilizzando Utility Disco.

In Super User:

  • una risposta in Come si ridimensiona una partizione crittografata di FileVault 2?
  • una risposta in Crea nuova partizione su volume crittografato in OS X Lion .

Aspettatevi che la Pagina del manuale di Apple OS diskutil (8) per Mac sia aggiornata per 10.7 a tempo debito. Nel frattempo, se hai già installato Lion, leggi la pagina man in Terminal.

Graham Perrin
fonte
1

FileVault 1 può essere disabilitato per gli individui

Per qualsiasi utente che utilizza FileVault 1:

  • Le Preferenze di Sistema consentono di disabilitare FileVault solo per quell'utente, a condizione che vi sia spazio libero sufficiente.

Gli utenti abilitati di FileVault 2 non possono essere disabilitati

In Mac OS X 10.7 (Build 11A511) puoi consentire a un utente di sbloccare il volume di avvio, ma una volta abilitato:

  • quell'utente da solo non può essere disabilitato
  • solo FileVault 2 nella sua interezza può essere disabilitato.

Disabilita la capacità di un utente di sbloccare un volume FileVault 2 all'avvio / accesso

Graham Perrin
fonte
1

Lion Recovery Disk Assistant non ha il supporto per FileVault 2

La versione 1.0 dell'assistente utilizzata con FileVault 2 in Mac OS X 10.7 (Build 11A511) produce un sistema operativo di ripristino su un'unità flash USB. Tuttavia:

  • il computer non può avviarsi da quel sistema operativo di recupero.

Ho riscontrato questo problema con due computer diversi.

Graham Perrin
fonte
0

Impatto di FileVault 1 sulle prestazioni

Nella mia esperienza, l'impatto è generalmente accettabile. Mi piacerebbe vedere parametri di riferimento pertinenti.

Confronti di prestazioni

In Ask Different: velocità della vecchia Filevault rispetto alla nuova crittografia del disco completo Lion

Impatto di FileVault 2 sulle prestazioni

Apple suggerisce:

FileVault 2 crittografa e decrittografa i tuoi dati al volo con un impatto prestazionale impercettibile.

- pagina cache 28/07/2011 .

AnandTech - Ritorno al Mac: recensione di OS X 10.7 Lion: le prestazioni di FileVault osservano:

... Nel complesso, il successo delle prestazioni I / O pure è compreso tra il 20 e il 30% . È evidente ma non abbastanza grande da superare i vantaggi della crittografia completa del disco. ...

Vorrei che i revisori AnandTech valutassero nuovamente le cose in modo più ampio, includendo almeno:

  • FileVault 1 al posto di FileVault 2.

Altre osservazioni su CPU, kernel_task e altri in Re: [Fed-Talk] Lion FileVault (22/07/2011) ( highlights ).

Graham Perrin
fonte
0

FileVault 2 impedisce il riavvio remoto

Non aspettarsi l'accesso remoto alla finestra di login di EFI.

Graham Perrin
fonte
Ho cambiato il tuo stile in qualcosa di più leggibile.
Loïc Wolff,
@ I livelli di titolo 1, 2 e 3 di Loïc sembrano la norma, ad esempio Quale piccola cosa in Lion ti fa sorridere o ti ha sorpreso? - c'è una meta domanda per una risposta sull'uso dello stile? Nel frattempo, per favore, astieniti dal modificare gli altri - grazie.
Graham Perrin,
1
Questo era solo per rendere la risposta più leggibile, h1 è buono per il titolo breve ma non per le frasi lunghe, IMO. Sentiti libero di tornare indietro se preferisci il vecchio stile.
Loïc Wolff,
3
@Graham, questo è un sito web guidato dalla comunità che si basa sulla modifica dei post di ciascuno. Non c'è niente di sbagliato nelle intestazioni, ma a dire il vero, trovo i tuoi post molto difficili da leggere.
Aron Rotteveel,
@Aron, per favore, sentiti libero di modificare i contenuti per migliorare la leggibilità. Potrei ripristinare o modificare nuovamente in modo considerevole. Lascerò i tre livelli di intestazione in almeno una delle risposte. Attualmente la migrazione a Chiedi Informazioni diverse che è stato originariamente redatto intorno identi.ca/conversation/77065575#notice-79879336 ...
Graham Perrin
0

La disabilitazione di FileVault 1 può peggiorare le prestazioni

Due volumi di dimensioni ragionevoli (uno una directory home), con una buona serie di alberi B, sono probabilmente più facili da gestire per il sistema - e quasi sicuramente offrono prestazioni migliori - di un singolo volume colossale con attributi e catalogo B-alberi che sono sovradimensionato e frammentato.

Spiegazione

FileVault 1 utilizza bande di dimensioni ottimizzate.

A seconda del contenuto di una home directory, l'abbandono di quelle bande a favore di un numero maggiore di file più piccoli può aumentare significativamente le dimensioni e la frammentazione delle seguenti aree critiche del volume di avvio:

  • attributi B-tree
  • catalogo B-tree
  • estende B-tree.

Gli alberi B ingranditi possono essere inaspettatamente problematici

Ciò che segue è discutibilmente oltre l'ambito della domanda iniziale e relativamente tecnico, ma per qualsiasi utente di un computer con (a) memoria limitata e (b) un numero considerevole di file all'interno e all'esterno della loro directory home, vale la pena pensarci prima abbandonando FileVault 1.

Se la somma delle dimensioni degli alberi a B è troppo grande e se è necessaria la riparazione, le utility di terze parti sul computer potrebbero non essere in grado di riparare il danno.

Se un volume è irreparabile da fsck_hfs - ovviamente usando l'Utility Disco, meno ovviamente ogni volta che il sistema incontra un file system sporco - un utente può rivolgersi a un'utilità di terze parti rispettata.

Esempio

Ho riscontrato una situazione in cui la somma delle dimensioni degli alberi B - in relazione alla memoria fisica - era troppo grande perché un'utilità di terze parti funzionasse come richiesto per un volume di backup crittografato con Core Storage che era irreparabile da fsck_hfs. Poiché il mio MacBookPro5,2 non può richiedere più di 8 GB, quindi per qualche tempo questo volume è stato di sola lettura.

Avrei potuto portare il volume, con o senza il computer, a un fornitore di servizi per l'attenzione in un ambiente con più memoria. Tuttavia, per motivi di sicurezza, non dovrei fornire a terzi - per quanto ben fidati - la passphrase o la chiave per alcuni tipi di volume.

Alla fine e inaspettatamente, fsck_hfsin Lion ho riparato il volume senza di me usando Disk Utility, forse grazie a me che ho rimosso sperimentalmente (rischiosamente?) Il volume dal mondo coreStorage (ripristinando, convertendo completamente all'indietro) mentre si trovava nello stato irreparabile e pronto per la lettura . Questo è stato un risultato piacevole per me e un apprezzamento per Apple per le qualità e le capacità di 10.7 (Build 11A511), ma questo dovrebbe servire da cautela per gli altri lettori.

Graham Perrin
fonte
Non capisco la parte dell '"abbandono delle band rispetto a molti piccoli file". Penso che la crittografia di File Vault 2 avvenga al di sotto del livello del file system, a livello di blocco, e quindi non dovrebbe comportarsi diversamente dall'HFS + non crittografato rispetto agli alberi B.
Thilo,
@Thilo senza pensare ai livelli o alla crittografia: pensa al numero di file . Un esempio estremo: aggiungi un milione di file da 80 KB a un volume, quindi rimuovi 10.000 bande da 8 MB. L'aggiunta di un milione di file potrebbe aumentare le dimensioni degli attributi e catalogare gli alberi B, forse coincidendo con la frammentazione di uno o entrambi che non è mai un bene per le prestazioni. La successiva rimozione di un numero inferiore di file potrebbe non essere seguita da una riduzione delle dimensioni di entrambi gli alberi B.
Graham Perrin,
Ma non avresti lo stesso milione di file nell'albero B su HFS + all'interno dell'immagine del disco? Forse sto fraintendendo qualcosa. Comunque, penso di sapere cosa intendi. Non si tratta affatto di crittografia o FileVault, ma di "partizionare" il tuo file system usando le immagini del disco, perché non ti fidi di HFS + per gestire milioni di file, giusto?
Thilo,
Io faccio la fiducia JHFS + (con journaling) con molti milioni di file - attualmente 4.062.789 file e 438,294 cartelle sul volume di avvio del mio MacBookPro 5,2 - 3,151,819 file su un PowerPC Xserve, parti delle quali servono un gruppo di lavoro - e così via. Le mie risposte a questa domanda sono nate da un lavoro non collaborativo in corso altrove; questa risposta in particolare necessita di qualche attenzione , probabilmente al di sotto della voce iniziale. Guarda questo spazio e unisciti a me nella modifica. Grazie ancora per la richiesta ...
Graham Perrin il
0

Alcune installazioni non possono utilizzare FileVault 2

Non tutte le installazioni di Lion ottengono il Apple_Boot Recovery HD nascosto necessario per FileVault 2 - OS X Lion: "Alcune funzionalità di Mac OS X Lion non sono supportate per il disco (nome volume)" viene visualizzato durante l'installazione (21/07/2011) .

... Non sarai in grado di utilizzare FileVault ...

Se ciò accade, e se hai abbandonato FileVault 1 prima dell'aggiornamento a Lion, il tuo Mac con Lion sarà meno sicuro .

I consigli pubblicati da Macworld prima del rilascio di Lion continuano a consigliare agli utenti di disabilitare FileVault 1  prima di installare Lion. È molto insolito che Macworld fornisca consigli controversi, ma in questo caso non sono d'accordo.

Graham Perrin
fonte
0

Combinando FileVault 2 con FileVault 1, puoi avere una sicurezza a doppio strato. Si noti che ciò causerà problemi con TimeMachine e la condivisione. Pertanto, questa sicurezza a doppio strato è consigliabile solo per un account in cui TimeMachine è disattivato!

Sul mio computer, ho un account di lavoro quotidiano, un account FileVault 1 (escluso da TimeMachine) e un account amministratore. Quando ho attivato FileVault 2 dal mio account di lavoro quotidiano (utilizzando la password dell'account amministratore), mi aspettavo che FileVault 1 scomparisse perché Apple dice su OS X Lion: Informazioni su FileVault 2 : «Se disattivi Legacy FileVault, la scheda Legacy FileVault scompare e puoi quindi scegliere di abilitare FileVault 2 di OS X Lion ».

Quando FileVault 2 è stato impostato, sono rimasto molto sorpreso dal fatto che il mio FileVault 1 continuasse ad avere la crittografia FileVault 1. Quindi avevo una sicurezza a doppio strato: un account FileVault 1 legacy all'interno di un computer FileVault 2. Tutto ciò di cui avevo bisogno era un account non FileVault 1 da cui attivare FileVault 2.

Alla fine, ho disattivato nuovamente FileVault 2. Mi piace poter accedere al filesystem OS X dal sistema Windows Bootcamp. Con FileVault 2 non era più possibile. Conservo ancora l'account FileVault 1 e continua a funzionare bene, anche in 10.8.1.

mach
fonte
Ottieni anche tutti gli svantaggi di FV1 come i problemi di TimeMachine, la condivisione dell'accesso (o meglio il non accesso) ecc. Una soluzione migliore (se hai davvero bisogno di un piccolo livello aggiuntivo di sicurezza) è probabilmente quella di crittografare il disco con FV2 e aggiungere un piccolo image / dmg per le cose veramente sensibili.
Nohillside
Questo è certamente vero. Non mi interessa poiché ho disattivato TimeMachine per quell'account e non lo condivido. Sto modificando la risposta di conseguenza.
mach,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.