Selain bisa meng-enkripsi seluruh volume, apa perbedaan lain dari FileVault 2 atas FileVault?

17

Apakah FileVault 2 di Lion memiliki perbedaan lain dibandingkan dengan versi lama, FileVault dalam rilis sistem sebelumnya? Apakah ada manfaat tambahan untuk menggunakan versi baru?

Aron Rotteveel
sumber

Jawaban:

7

Meminjam banyak dari ulasan John Siracusa's Lion ...

FileVault 2 adalah sistem Enkripsi Disk Utuh, bukan hanya solusi 'simpan folder rumah Anda dalam disk image yang dienkripsi'. Ini diimplementasikan sebagai lapisan sistem berkas di bawah volume aktual yang Anda buka pada saat boot sistem. Jika Anda terbiasa dengan LVM , caranya juga sama. Setiap kali Anda melewati kunci kata sandi, semuanya terlihat sama untuk seluruh sistem.

Seperti yang disebutkan Steve, pekerjaan enkripsi dapat dibantu oleh instruksi prosesor khusus, dan sepenuhnya berjalan di latar belakang. Yang menyenangkan adalah Anda dapat mengaktifkan enkripsi disk pada drive penuh, dan semuanya akan dilakukan dengan santai (Anda dapat mematikannya, membawanya kembali, dll. Dan semuanya akan berlanjut).

yuriismaster
sumber
9

Sandi lebih sedikit dari akun 'Tamu' tidak dapat lagi dibuat karena seluruh disk dienkripsi dari hanya direktori home Pengguna. Sangat menyedihkan bahwa saya tidak dapat menemukan informasi tentang artikel kb di Apple tentang hal ini.

Sairam
sumber
3
Wow, ini adalah perbedaan yang cukup besar yang luput dari perhatian saya! Ini benar-benar memiliki dampak yang cukup besar pada strategi pemulihan pencurian yang merekomendasikan pengaturan akun tamu tanpa kata sandi.
Aron Rotteveel
@Ron Tapi Anda masih bisa mengatur akun tamu dengan petunjuk kata sandi teks yang jelas.
Asmus
2
@ Asmus, tentu saja, tapi itu akan membuat Filevault tidak berguna sama sekali.
Aron Rotteveel
@Ron tapi bagaimana itu lebih tidak aman daripada "metode lama" dulu? Akun tamu "tanpa kata sandi" masih sama dengan ketika Anda memberi tahu kata sandi itu kepada tamu ?!
Asmus
2
Jelas, fakta bahwa disk dienkripsi secara total oleh setiap login pengguna membuat login tamu menjadi tidak berguna ketika Anda menggunakannya sebagai alat pemulihan pencurian. Dalam kebanyakan kasus, Filevault 1 akan menjadi solusi yang lebih baik
Aron Rotteveel
7

Filevault baru tampaknya memberikan batasan yang jauh lebih sedikit pada Anda daripada versi yang lama. Anda tidak perlu keluar untuk mesin waktu untuk bekerja, misalnya, dan semua daemon berbagi tampaknya berfungsi dengan baik (beberapa dari mereka dinonaktifkan ketika filefault diaktifkan jika saya ingat dengan benar. Saya pikir berbagi web adalah di antara mereka, yang membuat laptop saya agak tidak berguna sebagai platform pengembangan untuk aplikasi web :)).

Satu masalah dengan Filevault 2 adalah Anda tidak dapat ssh ke dalam mesin sampai Anda memasukkan kata sandi secara lokal, karena proses startup tidak dapat dimulai sampai drive yang dienkripsi telah dibuka kuncinya.

GordonM
sumber
"Anda tidak harus keluar untuk mesin waktu untuk bekerja, misalnya, dan semua daemon berbagi tampaknya berfungsi dengan baik": OTOH ini mungkin berarti bahwa cadangan Time Machine tidak lagi dienkripsi sekarang, dan berbagi daemon (dan malware) sekarang juga bisa mendapatkan file.
Thilo
Cadangan Time Machine perlu dienkripsi secara terpisah, tetapi masih memungkinkan. Ini dapat dilakukan dari Time Machine Preferences> Select Disk> Centang untuk mengenkripsi disk,
Gauzy
4
  • Ini mendukung AES-NI yang membongkar enkripsi dan dekripsi pada CPU yang didukung (beberapa core i5 dan i7).
  • Anda dapat menyimpan kunci enkripsi Anda dengan Apple.

Saya yakin ada beberapa lainnya. Artikel dukungan Apple ini harus menjawab sisa pertanyaan Anda.

http://support.apple.com/kb/HT4790

Steve Moser
sumber
Jika seseorang tidak tahu mengapa ini berguna, dukungan AES-NI berarti pemanfaatan CPU yang lebih rendah untuk kinerja dan masa pakai baterai yang lebih baik.
jmk
4

FileVault 2 kegagalan LVG mungkin tidak dapat diperbaiki

Dari halaman manual untukfsck_cs :

Utilitas fsck_cs memverifikasi dan memperbaiki metadata grup volume logis CoreStorage.

...

BUG

fsck_cs tidak melakukan validasi lengkap, juga tidak dapat memperbaiki banyak inkonsistensi yang terdeteksi.

Masalah dengan FileVault 1

fsck_hfs (digunakan oleh Disk Utility) telah dikembangkan selama lebih dari sepuluh tahun dan mampu memperbaiki sebagian besar masalah dengan JHFS + seperti yang digunakan oleh FileVault 1.

Jika Anda menemukan masalah yang fsck_hfstidak dapat diperbaiki, ada beberapa utilitas pihak ketiga alternatif.

Masalah Penyimpanan Inti dengan FileVault 2

fsck_cs(juga digunakan oleh Disk Utility) pertama kali muncul bersama dengan CoreStorage di Mac OS X 10.7.0. Inkonsistensi mungkin tidak dapat diperbaiki.

Dengan tidak adanya alternatif untuk fsck_cs

Jika kegagalan LVG terjadi dan fsck_cstidak dapat melakukan perbaikan yang diperlukan, maka volume startup Anda tidak akan meningkat. Dalam situasi ini, Anda dapat memformat ulang disk secara destruktif dan menginstal ulang Mac OS X. (Menggunakan Recovery OS Time Machine saja tidak akan memberikan Apple_Boot Recovery HD yang diperlukan untuk FileVault 2.)

Graham Perrin
sumber
3

Satu kekurangan yang bisa saya lihat adalah sebelum Anda bisa mengenkripsi akun pengguna individu, sedangkan sekarang Anda hanya bisa mengenkripsi seluruh disk. Jika Anda mengenkripsi seluruh disk, Anda juga harus mendekripsi seluruh disk setiap kali Anda menggunakan komputer. Ini berarti bahwa begitu komputer di-boot, seluruh disk dapat diakses oleh malware, sedangkan sebelum Anda dapat masuk (dan segera keluar dari) ke akun yang sangat penting keamanan secara terpisah.

Saya kira Anda masih dapat menggunakan gambar disk terenkripsi di atas FileVault untuk data yang sangat penting.

Masalah lain adalah Time Machine. Sedangkan sebelum direktori pengguna FileVault juga disimpan dienkripsi pada volume cadangan, yang tampaknya tidak menjadi masalah lagi.

Apakah ada yang tahu jika Time Machine sekarang mendukung enkripsi seluruh disk (dari laporan sejauh ini tampaknya tidak diaktifkan untuk drive eksternal, setidaknya tidak melalui GUI)?

Pembaruan: Rupanya, Time Machine tidak mendukung enkripsi seluruh disk: Dapatkah volume Time Machine dengan mudah dienkripsi dengan FileVault 2?

Thilo
sumber
1
Jika kita membuat perbedaan antara disk dan volume logis : Time Machine mungkin tidak menggunakan enkripsi seluruh disk , tetapi untuk enkripsi Time Machine memang menerapkan enkripsi disk penuh Penyimpanan Inti (FDE) (seperti yang dijelaskan dalam halaman manual untuk diskutil) ke keseluruhan volume cadangan.
Graham Perrin
2

Untuk beberapa administrator: FileVault 2 saja kurang aman daripada FileVault 1 

Mirip dengan jawaban yang ditawarkan oleh Thilo. Logika ini berlaku untuk komputer mana pun dengan dua atau lebih administrator.

FileVault 1 di Snow Leopard dan di Lion

Ada tingkat keamanan yang baik untuk mencegah seseorang tanpa kata sandi utama mengakses data orang lain.

FileVault 2 saja

Administrator mana pun dapat melihat, menyalin, mengedit semua data pengguna lain.

Contoh

Dua mitra bisnis berbagi komputer, keduanya adalah administrator. Salah satu dari dua mitra mungkin ingin merahasiakan sesuatu. Mitra yang memegang kata sandi utama, yang ingin merahasiakan sesuatu, tidak memberikan kata sandi itu kepada mitra lain.

Dengan FileVault 2 saja dalam skenario seperti itu, keamanan dan privasi mudah diabaikan - sudo langsung terlintas dalam pikiran.

Perbandingan

Enkripsi ZFS di Oracle Solaris , yang dapat diterapkan ke direktori home pengguna.


Penanganan masalah

Jika pengguna FileVault 2 dalam situasi di atas membutuhkan keamanan ekstra, orang itu dapat:

  1. tambahkan disk terpisah, internal atau eksternal
  2. pada disk itu, miliki Core Storage dienkripsi volume logis (LV) dengan Disk Password yang berbeda dari keduanya (a) Disk Password untuk volume startup OS dan (b) semua kata sandi pengguna untuk volume startup
  3. menyimpan direktori home mereka di LV pada disk terpisah
  4. cocokkan kata sandi untuk akun pengguna mereka dengan Disk Password untuk LV.

Sebagai alternatif, orang itu mungkin menggunakan hanya sebagian dari disk yang ada ... tetapi manajemen partisi di dalam dan di sekitar dunia CoreStorage sulit , jadi untuk kesederhanaan jangka panjang: Saya akan merekomendasikan investasi dalam disk tambahan / terpisah.


/ var / folder

Harapkan beberapa data pengguna untuk ditulis ke subdirektori dari /private/var/folders- semua administrator akan memiliki akses ke data ini. Solusi untuk ini berada di luar cakupan pertanyaan ini.

Graham Perrin
sumber
Saya setuju bahwa FileVault 1 lebih baik untuk komputer multi-pengguna di mana Anda ingin memisahkan mereka satu sama lain, tapi saya pikir bahkan dengan FileVault 1 Administrator Sistem selalu dapat mendekripsi lemari besi pengguna lain.
Thilo
@Thilo di FileVault 1 satu-satunya cara yang diterima untuk membuka kunci lemari besi orang lain adalah dengan kata sandi utama, yang tidak pernah secara otomatis diberikan kepada semua administrator. Saya mengedit jawaban saya untuk membuatnya lebih jelas. Terima kasih untuk promptnya.
Graham Perrin
1
Untuk keamanan yang lebih baik: partisi untuk direktori home satu pengguna dapat diukir dari disk yang akan digunakan untuk instalasi OS X - sebelum OS diinstal. Lihat misalnya Enkripsi volume startup dengan Core Storage tanpa FileVault . Namun, ini tidak dapat dilakukan dengan antarmuka System Preferences Apple ke FileVault 2, dan secara kritis: jika nanti ditemukan bahwa partisi terlalu kecil, tidak mungkin untuk menyusutkan atau menumbuhkan setiap partisi yang dienkripsi .
Graham Perrin
1

Manajemen partisi di dalam dan sekitar dunia coreStorage sulit

Untuk disk yang menggunakan FileVault 2 - atau aplikasi Core Storage lainnya - mungkin tidak mungkin untuk menambah atau mengubah ukuran partisi menggunakan Disk Utility.

Di Super User:

  • jawaban di bawah Bagaimana cara mengubah ukuran partisi terenkripsi FileVault 2?
  • jawaban di bawah Buat partisi baru pada volume terenkripsi di OS X Lion .

Harapkan Apple manual diskutil (8) Halaman OS X akan diperbarui untuk 10,7 pada waktunya. Sementara itu, jika Anda sudah menginstal Lion, baca halaman manual di Terminal.

Graham Perrin
sumber
1

FileVault 1 dapat dinonaktifkan untuk individu

Untuk setiap pengguna yang menggunakan FileVault 1:

  • System Preferences memungkinkan Anda untuk menonaktifkan FileVault untuk pengguna itu saja, asalkan ada ruang kosong yang cukup.

Pengguna FileVault 2 yang diaktifkan tidak dapat dinonaktifkan

Di Mac OS X 10.7 (Build 11A511) Anda dapat mengizinkan pengguna untuk membuka kunci volume startup, tetapi begitu diaktifkan:

  • pengguna itu sendiri tidak dapat dinonaktifkan
  • hanya FileVault 2 secara keseluruhan yang dapat dinonaktifkan.

Nonaktifkan kemampuan pengguna untuk membuka kunci volume FileVault 2 pada saat startup / login

Graham Perrin
sumber
1

Lion Recovery Disk Assistant tidak memiliki dukungan untuk FileVault 2

Versi 1.0 dari asisten yang digunakan dengan FileVault 2 di Mac OS X 10.7 (Build 11A511) memang menghasilkan OS Pemulihan pada USB flash drive. Namun:

  • komputer tidak bisa boot dari OS Pemulihan itu.

Saya menemukan masalah ini dengan dua komputer yang berbeda.

Graham Perrin
sumber
0

FileVault 1 berdampak pada kinerja

Dalam pengalaman saya, dampaknya biasanya dapat diterima. Saya ingin melihat tolok ukur yang relevan.

Perbandingan kinerja

Di Ask Different: Kecepatan filevault lama vs. enkripsi Lion full disk baru

FileVault 2 berdampak pada kinerja

Apple menyarankan:

FileVault 2 mengenkripsi dan mendekripsi data Anda dengan cepat dengan dampak kinerja yang tidak terlihat.

- halaman di-cache 2011-07-28 .

AnandTech - Kembali ke Mac: Ulasan OS X 10.7 Lion: Kinerja FileVault mengamati:

... Secara keseluruhan hit pada kinerja I / O murni ada di kisaran 20 - 30% . Ini terlihat tetapi tidak cukup besar untuk melebihi manfaat enkripsi disk penuh. ...

Saya ingin peninjau AnandTech mempertimbangkan hal-hal lagi secara lebih luas, termasuk setidaknya:

  • FileVault 1 sebagai pengganti FileVault 2.

Lebih banyak pengamatan tentang CPU, kernel_task dan lain-lain di Re: [Fed-Talk] Lion FileVault (2011-07-22) ( highlight ).

Graham Perrin
sumber
0

FileVault 2 mencegah restart jarak jauh

Jangan berharap akses jarak jauh ke jendela masuk EFI.

Graham Perrin
sumber
Saya telah mengubah gaya Anda menjadi sesuatu yang lebih mudah dibaca.
Loïc Wolff
@ Loïc heading level 1, 2 dan 3 nampak seperti norma, misalnya Hal kecil apa di Lion yang membuatmu tersenyum atau membuatmu lengah? - apakah ada pertanyaan meta untuk jawaban tentang penggunaan gaya? Sementara itu, tolong jangan mengedit yang lain - terima kasih.
Graham Perrin
1
Itu hanya untuk membuat jawaban lebih mudah dibaca, h1 bagus untuk judul pendek tapi tidak untuk frasa panjang, IMO. Jangan ragu untuk mengembalikan jika Anda lebih suka gaya lama.
Loïc Wolff
3
@ Graham, ini adalah situs web berbasis komunitas yang didasarkan pada pengeditan pos masing-masing. Tidak ada yang salah dengan judul, tetapi sejujurnya, saya menemukan Anda posting sangat sulit dibaca.
Aron Rotteveel
@Ron, silakan mengedit konten untuk meningkatkan keterbacaan. Saya mungkin memutar kembali atau mengedit ulang. Saya akan meninggalkan tiga level heading dalam setidaknya satu jawaban. Saat ini bermigrasi ke Tanyakan informasi yang berbeda yang pada awalnya dirancang di sekitar identi.ca/conversation/77065575#notice-79879336 ...
Graham Perrin
0

Menonaktifkan FileVault 1 dapat memperburuk kinerja

Dua volume berukuran cukup (satu direktori home), dengan seperangkat B-tree yang baik, mungkin lebih mudah bagi sistem untuk mengelola - dan hampir pasti berkinerja lebih baik - daripada volume kolosal tunggal dengan atribut dan katalog B-tree yang kebesaran dan terfragmentasi.

Penjelasan

FileVault 1 menggunakan pita ukuran yang dioptimalkan.

Bergantung pada konten direktori home, meninggalkan band-band yang mendukung jumlah file kecil yang lebih besar dapat secara signifikan meningkatkan ukuran dan fragmentasi area kritis berikut dari volume startup:

  • atribut B-tree
  • katalog B-tree
  • luasan B-tree.

Pohon-B yang diperbesar bisa menimbulkan masalah yang tidak terduga

Berikut ini dapat diperdebatkan di luar cakupan pertanyaan pembukaan, dan relatif teknis, tetapi untuk setiap pengguna komputer dengan (a) memori terbatas dan (b) sejumlah besar file di dalam dan di luar direktori home mereka, ada baiknya dipikirkan sebelumnya meninggalkan FileVault 1.

Jika jumlah ukuran B-tree terlalu besar, dan jika perbaikan diperlukan, utilitas pihak ketiga di komputer Anda mungkin tidak dapat memperbaiki kerusakan.

Jika volume tidak dapat diperbaiki oleh fsck_hfs - yang paling jelas menggunakan Disk Utility, kurang jelas setiap kali sistem menemukan sistem file yang kotor - pengguna dapat beralih ke utilitas pihak ketiga yang disegani.

Contoh

Saya menghadapi situasi di mana jumlah ukuran pohon-B - dalam kaitannya dengan memori fisik - terlalu besar untuk utilitas pihak ketiga untuk bekerja sebagaimana diperlukan untuk volume cadangan terenkripsi Penyimpanan Inti yang tidak dapat diperbaiki oleh fsck_hfs. Karena MacBookPro5,2 saya dapat mengambil tidak lebih dari 8 GB, jadi untuk beberapa waktu volume ini hanya dapat dibaca.

Saya mungkin telah mengambil volume, dengan atau tanpa komputer, ke penyedia layanan untuk mendapat perhatian di lingkungan dengan lebih banyak memori. Namun untuk keamanan, saya tidak boleh memberikan kata sandi atau kunci untuk pihak ketiga - betapapun tepercaya - untuk beberapa jenis volume.

Akhirnya dan tanpa disangka fsck_hfsLion in memperbaiki volume tanpa saya menggunakan Disk Utility, mungkin berkat saya secara eksperimental (berisiko?) Menghapus volume dari dunia coreStorage ( membalikkan , sepenuhnya mengubah mundur) sementara dalam keadaan tidak dapat diperbaiki dan read-ony . Itu adalah hasil yang menyenangkan bagi saya, dan acungan jempol untuk Apple untuk kualitas dan kemampuan 10.7 (Build 11A511), tetapi ini harus menjadi peringatan bagi pembaca lain.

Graham Perrin
sumber
Saya tidak mengerti bagian dari "meninggalkan band versus banyak file kecil". Saya rasa enkripsi File Vault 2 terjadi di bawah level sistem file, pada level blok, dan karenanya tidak boleh berperilaku berbeda dari HFS + terenkripsi terkait B-tree.
Thilo
@Thilo tanpa memikirkan level, atau enkripsi: pikirkan jumlah file . Contoh ekstrem: tambahkan satu juta file 80 KB ke volume, lalu hapus 10.000 8 MB band. Menambahkan satu juta file kemungkinan akan meningkatkan ukuran atribut dan katalog B-tree, mungkin bertepatan dengan fragmentasi satu atau keduanya yang tidak pernah baik untuk kinerja. Penghapusan selanjutnya dari sejumlah kecil file mungkin tidak diikuti oleh pengurangan ukuran untuk B-tree.
Graham Perrin
Tapi bukankah Anda memiliki satu juta file yang sama di B-tree pada HFS + di dalam image disk Anda? Mungkin saya salah paham akan sesuatu. Bagaimanapun, saya pikir saya tahu apa yang Anda maksud. Ini bukan tentang enkripsi atau FileVault sama sekali, tetapi "mempartisi" sistem file Anda menggunakan gambar disk, karena Anda tidak percaya HFS + untuk mengelola jutaan file, bukan?
Thilo
Saya lakukan kepercayaan JHFS + (dengan journaling) dengan jutaan file - saat ini 4.062.789 file dan folder 438.294 pada volume startup saya MacBookPro 5,2 - 3.151.819 file pada PowerPC Xserve, bagian yang melayani kelompok kerja - dan seterusnya. Jawaban saya dalam pertanyaan ini berasal dari karya non-kolaboratif yang sedang berlangsung di tempat lain; jawaban ini khususnya perlu perhatian , mungkin di bawah judul pembuka. Tonton ruang ini dan bergabunglah dengan saya dalam pengeditan. Terima kasih lagi untuk promptnya ...
Graham Perrin
0

Beberapa instalasi tidak dapat menggunakan FileVault 2

Tidak semua instalasi Lion mendapatkan Apple_Boot Recovery HD tersembunyi yang diperlukan untuk FileVault 2 - OS X Lion: "Beberapa fitur Mac OS X Lion tidak didukung untuk disk (nama volume)" muncul selama instalasi (2011-07-21) .

... Anda tidak akan dapat menggunakan FileVault ...

Jika ini terjadi - dan jika Anda meninggalkan FileVault 1 sebelum memutakhirkan ke Lion - Mac Anda dengan Lion akan menjadi kurang aman .

The saran diterbitkan oleh Macworld sebelum rilis dari Lion terus menyarankan pengguna untuk menonaktifkan FileVault 1  sebelum menginstal Lion. Ini paling tidak lazim bagi Macworld untuk memberikan saran yang kontroversial tetapi dalam kasus ini, saya sangat tidak setuju.

Graham Perrin
sumber
0

Dengan menggabungkan FileVault 2 dengan FileVault 1, Anda dapat memiliki keamanan lapisan ganda. Perhatikan bahwa ini akan menyebabkan masalah dengan TimeMachine dan berbagi. Oleh karena itu, keamanan lapis ganda ini hanya disarankan untuk akun di mana TimeMachine dimatikan!

Di komputer saya, saya memiliki akun pekerjaan sehari-hari, akun FileVault 1 (dikecualikan dari TimeMachine) dan akun administrator. Ketika saya mengaktifkan FileVault 2 dari akun pekerjaan sehari-hari saya (menggunakan kata sandi akun administrator), saya berharap FileVault 1 menghilang karena Apple mengatakan di OS X Lion: Tentang FileVault 2 : «Jika Anda mematikan Legacy FileVault, tab Legacy FileVault akan hilang dan Anda kemudian dapat memilih untuk mengaktifkan FileVault 2 »OS X Lion.

Ketika FileVault 2 sudah diatur, saya sangat terkejut bahwa FileVault 1 saya terus memiliki enkripsi FileVault 1. Jadi saya memiliki keamanan lapisan ganda: Akun FileVault 1 lama dalam komputer FileVault 2. Yang saya butuhkan adalah akun non-FileVault 1 dari mana untuk mengaktifkan FileVault 2.

Akhirnya, saya mematikan FileVault 2 lagi. Saya suka bisa mengakses sistem file OS X dari sistem Bootcamp Windows. Dengan FileVault 2, itu tidak mungkin lagi. Saya masih menyimpan akun FileVault 1 dan terus berfungsi dengan baik, bahkan di 10.8.1.

mach
sumber
Anda juga mendapatkan semua kelemahan FV1 seperti masalah TimeMachine, berbagi akses (atau lebih tepatnya non-akses) dll. Solusi yang lebih baik (jika Anda benar-benar membutuhkan tingkat keamanan tambahan yang kecil) mungkin untuk mengenkripsi disk dengan FV2 dan menambahkan sedikit image / dmg untuk hal-hal yang sangat sensitif.
nohillside
Itu memang benar. Itu tidak mempengaruhi saya karena saya telah mematikan TimeMachine untuk akun itu dan tidak membagikannya. Saya mengedit jawaban sesuai.
mach