Fragen zu FileVault - was passiert, wenn Files extern verwendet werden sollen?

Nicolas1965

Aktives Mitglied
Thread Starter
Dabei seit
07.02.2007
Beiträge
5.904
Reaktionspunkte
2.894
Liebe Forumsgemeinde,

tatsächlich will ich mich der Verschlüsselung nähern, da ich gelegentlich vertrauliche Inhalte auf dem Rechner abgelegt habe. Mich interessiert - und da habe ich leider nix an Information zu gefunden - wie die Files "draußen" abgelegt sind:

- Wenn ich ein File vom internen, verschlüsselten Speicher auf einen Stick oder eine SD ziehe/ kopiere, ist das File verschlüsselt oder nicht? Kann z.B. ein auf einen Stick kopiertes Word-File in Windows noch geöffnet werden?

- Wenn ich ein File in iCloud ablege, ist es dann auch verschlüsselt? Kann mann, wenn man auf iCloud von einem dritten Rechner aus über Browser zugreift (von einem Mac oder einem Win-Rechner aus), unverschlüsselt, also ohne Kennwort zugreifen?

- Kann FileVault auf einzelne Ordner beschränkt werden?

- Sind die Daten auf einem TimeMachine-Backup auch verschlüsselt? Falls ja, macht das beim recovern irgendwelche Schwierigkeiten?

Ganz ehrlich: Mehr als ein möglicher unberechtigter Zugriff macht mir die Unerreichbarkeit der Daten für mich Sorge.

Vielleicht könnt Ihr mir die ja auch nehmen.

Danke im Voraus für Euren "Unterricht" in Sachen FileVault.

Grüße

Nic
 
Filefault verschlüsselt die Festplatte physikalisch und ist auf Dateiebene zum OS transparent ..... alle was du mit den Dateien machst, ist unverschlüsselt.
Man kann es nicht auf einzelne Ordner beschränken, aber man kann sich ein verschlüsseltes Image anlegen und darin seine Daten speichern.

Filefault schütz nur den ausgeschalteten Datenträger vor unberechtigtem Zugriff wenn jemand physisch Zugang diesem hat.
Eine unverschlüsselte Festplatte kann sonst jeder auslesen der sie in die Hand bekommt, unabhängig von irgendwelchen Benutzer-Passwörtern.
Für die restlichen Zugriffe bei gestartetem Betriebssystem (lokal und über Netzwerk) hat FF keine Bedeutung.
 
- Wenn ich ein File vom internen, verschlüsselten Speicher auf einen Stick oder eine SD ziehe/ kopiere, ist das File verschlüsselt oder nicht? Kann z.B. ein auf einen Stick kopiertes Word-File in Windows noch geöffnet werden?

Nur wenn der Stick verschlüsselt ist, wenn nicht ist die Datei auch nicht verschlüsselt.

- Wenn ich ein File in iCloud ablege, ist es dann auch verschlüsselt? Kann mann, wenn man auf iCloud von einem dritten Rechner aus über Browser zugreift (von einem Mac oder einem Win-Rechner aus), unverschlüsselt, also ohne Kennwort zugreifen?

Die Datei ist nach Apples Angaben auf dem Server verschlüsselt, das hat aber nichts mit FileVault zu tun. Du kannst auf die Dateien per Browser zugreifen.

- Kann FileVault auf einzelne Ordner beschränkt werden?

Nein.

- Sind die Daten auf einem TimeMachine-Backup auch verschlüsselt? Falls ja, macht das beim recovern irgendwelche Schwierigkeiten?

Nur wenn du es einstellst. Beim Recovern sollte es nur Schwierigkeiten geben, wenn du das Passwort vergisst.

Ganz ehrlich: Mehr als ein möglicher unberechtigter Zugriff macht mir die Unerreichbarkeit der Daten für mich Sorge.

Lege ein zusätzliches unverschlüsseltes Backup an.
 
Danke Euch beiden für die fixe Antwort auf meine Fragen.
Das hört sich gut an, was Ihr schreibt. So würde ich mir das wünschen: Kein Auslesen des Datenträgers im Mac, freier Zugriff auf Inhalte für Dateiaustausch, auch mit fremden OSen.
Dann werde ich das heute Nachmittag mal starten, vorher noch ein unverschlüsseltes Backup.

Grüße

Nic
 
Danke Euch beiden für die fixe Antwort auf meine Fragen.
Das hört sich gut an, was Ihr schreibt. So würde ich mir das wünschen: Kein Auslesen des Datenträgers im Mac, freier Zugriff auf Inhalte für Dateiaustausch, auch mit fremden OSen.
Dann werde ich das heute Nachmittag mal starten, vorher noch ein unverschlüsseltes Backup.

Grüße

Nic

Natürlich nur auf Daten, die nicht auf dem verschlüsselten Datenträger liegen. Die verschlüsselte Platte selbst kann nur unter macOS gelesen werden.
 
Wenn ich ein File vom internen, verschlüsselten Speicher auf einen Stick oder eine SD ziehe/ kopiere, ist das File verschlüsselt oder nicht?

Ist nicht verschlüsselt, wenn der Stick selbst nicht verschlüsselt ist.

Kann z.B. ein auf einen Stick kopiertes Word-File in Windows noch geöffnet werden?

Siehe oben.

Wenn ich ein File in iCloud ablege, ist es dann auch verschlüsselt?

Nicht durch Filevault.

Kann mann, wenn man auf iCloud von einem dritten Rechner aus über Browser zugreift (von einem Mac oder einem Win-Rechner aus), unverschlüsselt, also ohne Kennwort zugreifen?

Ja.

Kann FileVault auf einzelne Ordner beschränkt werden?

Nein.

Sind die Daten auf einem TimeMachine-Backup auch verschlüsselt?

Wenn man das entsprechend einstellt, ja, ansonsten nein.

Falls ja, macht das beim recovern irgendwelche Schwierigkeiten?

Bei verschlüsselten Datenträgern gibt es generell einige Dinge zu betrachten: Wenn das Passwort nicht zu einfach war (was zu vermeiden ist), ist die Verschlüsselung ohne Passwort unknackbar. Ein vergessenes Passwort macht aus den Daten also Datenmüll.
Ähnliche Probleme gibt es, wenn der Bereich auf der Festplatte, in dem der eigentliche Key zur Verschlüsselung gespeichert ist, Fehler aufweist.
 
So, die Verschlüsselung läuft.

Eine Frage noch: @chris25 und @TEXnician , Ihr habt beide angemerkt, dass die Backups verschlüsselt werden, wenn das eingestellt wird.
Ich finde weder bei FileVault noch bei TimeMachine eine Einstellmöglichkeit. Könnt Ihr mir bitte sagen, wo die sein sollte?

Und eine zweite Frage noch: @roedert , Du schreibst oben, dass der ausgeschaltete Datenträger geschützt ist. Bedeutet dies, dass ein Rechner in Ruhezustand keinen Schutz geniest? Das würde bedeuten, dass wenn ich das Büro verlasse, ich den Rechner ausschalten muss, damit meine Daten im Falle eines Einbruchdiebstahls vor fremdem Zugriff geschützt sind. Gleiches würde gelten, wenn der Ruhezustand besteht und der Einbrecher den Mini mitnimmt, da er durch das Abstecken vom Strom quasi "ausgeschalten" wird.
Würde er das Passwort des in Ruhezustand befindlichen Mini in meinem Büro knacken, sind die Daten offen zugänglich (würde aber bedeuten, er bricht gezielt wegen dieser Daten ein, was eher sehr unwahrscheinlich ist).

at all? Gibt es bei der Möglichkeit unverschlüsselte Daten auszulesen, Unterschiede zwischen klassischem HDD, SSD und Flashspeicher wie er von Apple verbaut wird?

Danke für Eure Hilfe und Unterstützung.

Grüße

Nic
 
So, die Verschlüsselung läuft.

Eine Frage noch: @chris25 und @TEXnician , Ihr habt beide angemerkt, dass die Backups verschlüsselt werden, wenn das eingestellt wird.
Ich finde weder bei FileVault noch bei TimeMachine eine Einstellmöglichkeit. Könnt Ihr mir bitte sagen, wo die sein sollte?

Wenn man eine externe Platte zum ersten Mal für TimeMachine einrichtet, fragt OSX danach, aber man kann es auch unter Systemeinstellungen -> TimeMachine -> Volume auswählen einstellen.

Und eine zweite Frage noch: @roedert , Du schreibst oben, dass der ausgeschaltete Datenträger geschützt ist. Bedeutet dies, dass ein Rechner in Ruhezustand keinen Schutz geniest? Das würde bedeuten, dass wenn ich das Büro verlasse, ich den Rechner ausschalten muss, damit meine Daten im Falle eines Einbruchdiebstahls vor fremdem Zugriff geschützt sind. Gleiches würde gelten, wenn der Ruhezustand besteht und der Einbrecher den Mini mitnimmt, da er durch das Abstecken vom Strom quasi "ausgeschalten" wird.
Würde er das Passwort des in Ruhezustand befindlichen Mini in meinem Büro knacken, sind die Daten offen zugänglich (würde aber bedeuten, er bricht gezielt wegen dieser Daten ein, was eher sehr unwahrscheinlich ist).

at all? Gibt es bei der Möglichkeit unverschlüsselte Daten auszulesen, Unterschiede zwischen klassischem HDD, SSD und Flashspeicher wie er von Apple verbaut wird?

Auch ein eingeschalteten System sind die Daten auf der Festplatte verschlüsselt, allerdings ist der zugehörige Key natürlich im Speicher des Computers (damit das Betriebssystem die Daten entschlüsseln kann) und kann ggf. ausgelesen werden, bzw. wenn derAngreifer das System kontrollieren kann (Trojaner etc.), kann er sich natürlich die Daten schicken.
 
Die Daten werden auf der Festplatte immer verschlüsselt abgelegt. Wenn du am Mac arbeitest und auch wenn er im Standby-Modus ist, befindet sich der Schlüssel um die Daten zu entschlüsseln im Arbeitsspeicher des Macs. Willst du oder dein Mac auf Daten zugreifen, lädt der Mac die verschlüsselten Daten von der Festplatte, entschlüsselt sie mit dem Schlüssel und leitet die verschlüsselten Daten dann weiter an die Anwendung. Umgekehrt, willst du oder dein Mac Daten schreiben (abspeichern) werden die Daten vorher mit dem Schlüssel verschlüsselt bevor sie weiter zur Festplatte gehen.

Wenn also jemand einen Weg kennt den Ram des Macs auszulesen, während sich der Mac im Standby Modus befindet, könnte diese Person also theoretisch an den Schlüssel gelangen und somit die Daten entschlüsseln. Es gab da vor ein paar Jahren mal eine Möglichkeit bei einem Mac im Standby-Modus den Ram mit Kältemittel auf niedrige Temperaturen abzukühlen (dann bleiben die Daten, die darin gespeichert wurden, ohne Strom länger erhalten), den Ram auszubauen und mit einem Lesegerät auszulesen (die Kühlung hat dafür gesorgt, dass der Ram während der kurzen Zeit seine Daten behält). Bei neuerem Ram soll das allerdings nicht mehr möglich sein.

Es gibt allerdings einen Terminalbefehl, der dazu führt, dass OS X den Filevault-Schlüssel vor dem Wechsel in den Standby-Modus aus dem Ram löscht.

Der Befehl lautet:

Code:
sudo pmset -a destroyfvkeyonstandby 1

Er muss von einem Administrator im Terminal ausgeführt werden (es wird nach dem Adminpasswort gefragt). Folgender Befehl macht das ganze rückgängig:

Code:
sudo pmset -a destroyfvkeyonstandby 0

Einziger Schutz ist dann nur noch dein Benutzerpasswort, denn die verschlüsselte Festplatte ist ja vom OS entsperrt.

Das gilt sowieso immer, denn der Filevault-Schlüssel wird ja ohnehin mit dem Passwort eines Nutzers, der den Mac entschlüsseln darf, verschlüsselt auf der Festplatte abgelegt.

Edit: Es gibt also sowieso immer zwei mögliche Angriffsvektoren. Nummer 1, der Angreifer versucht den Filevault-Schlüssel zu erraten, was ziemlich sinnlos ist, da dieser zu lang ist (immer unter der Annahme, dass bei der Erstellung alles mit rechten Dingen zuging). Nummer 2, der Angreifer versucht eines der Passwörter zu erraten, was bei den üblichen Passwortlängen zwar wahrscheinlicher zum Erfolg führt als den Schlüssel zu erraten, aber immer noch unpraktikabel ist, sollte das Passwort stark genug sein.
 
Zuletzt bearbeitet:
Danke nochmals an Euch 3.
Die grundsätzliche Chance besteht also. Da ich nicht in einem Forschungslabor oder im Kanzleramt arbeite, sondern lediglich Gutachten schreibe in die gewisse nicht frei verfügbare Informationen einfließen, gehe ich davon aus, dass es ein Einbrecher auf die Büchse als solche und nicht auf die Daten abgesehen hat. Entsprechend dürfte sein Equipment keine Werkzeuge zum Auslesen der Speicherbausteine beinhalten. Mein Passwort habe ich nicht auf einem Zettel stehen, der an der Pinwand oder unter dem Telefon klebt. Ok.

Zwei letzte Fragen noch zum verschlüsselten Backup:

Sollte ich aus dem Backup einen neuen (der alte wurde entsprechend meinem Szenarion ja geklaut ;-)) Rechner aufsetzen müssen, werde ich während des Installationsprozesses nach dem Kennwort gefragt? Und mehr braucht es nicht? Oder brauche ich den Wiederherstellungsschlüssel in diesem Fall zusätzlich?

Zum Verschlüsseln des Backups muss ich unter "Volume auswählen..." (Danke an Chris, genau da habe ich nicht nachgesehen) das Volume erneut auswählen und dann "Backups verschlüsseln..." aktivieren. Was passiert mit den bisherigen Backups? Bleiben die erhalten und werden verschlüsselt oder wird ein "neues, erstes Backup" durchgeführt und die Altdaten werden überschrieben? In letzterem Fall müsste ich halt eine neue TM-Platte nehmen, damit ich Zugriff auf die bisher gesicherten, aber nicht mehr auf dem Rechner befindlichen Daten behalte. Oder mach' ich mir zuviele Gedanken?

Nic
 
Der eigentliche Sinn einer Festplattenverschlüsselung besteht nur darin zu verhindern dass jemand deine Daten lesen kann wenn er
a) Die Platte/SSD ausbaut und extern an ein anderes Gerät anschliesst um sie auszulesen
b) den Mac von einem externen Medium (oder auch Recovery Partition) startet und von da aus deine interne Platte/SSD ausliest.

Bei einer unverschlüsselten Platte sind diese beiden Wege problemlos möglich ... irgendwelche Benutzerkennwörter braucht man dazu auch nicht.

Willst du (irgendeinen) Mac aus dem verschlüsselten Backup wiederherstellen, brauchst du nur den Schlüssel des Backups - der FileFault-Schlüssel des ursprünglichen Macs spielt dabei keine Rolle - bei Sachen haben nichts miteinander zu tun.

Wenn du wirkliche Sicherheit erreichen möchtest, solltest du
- 2 oder sogar mehrere unabhängige Backups machen
- mindestens ein Backup davon räumlich getrennt aufbewahren.

Ich zB nutze arq um ein zusätzliches verschlüsseltes Backup (nur ausgewählte wichtige Daten, nicht das gesamten Systems) online auf Speicher von amazon in Irland zu erstellen. Ist keine Werbung oder Wertung, sondern nur ein Beispiel, gibt natürlich noch andere Anbieter und Lösungen dafür.
 
Zuletzt bearbeitet:
Die TM-PLatte habe ich immer bei mir in meiner Arbeitstasche.
arq werde ich mir mal ansehen. Auf meinem OneDrive ist noch dicke Platz.

Grüße

Nic
 
Grundsätzlich hat jedes mit Filevault verschlüsselte Medium seinen eigenen Filevault-Schlüssel. Der Mac hat einen eigenen, das Time Machine Backup dann einen anderen. Verschlüsseln sollte auch nachträglich gehen, du musst dann ein Passwort für das Medium vergeben, mit dem du dann auf die Daten zugreifen kannst. Das kann eines der Benutzerpasswörter sein (die ja bei deinem Mac genutzt werden), kann aber auch ein völlig anderes sein (würde ich empfehlen). Die Daten werden dann im Hintergrund automatisch verschlüsselt (das kann etwas dauern, also einfach das Time-Machine-Medium längere Zeit am Mac lassen). Bis zur vollständigen Verschlüsselung ist es also theoretisch noch möglich, dass ein Angreifer unverschlüsselte Daten lesen kann. Daher am besten vor dem ersten Backup die Verschlüsselung aktivieren oder eben sicher gehen, dass die Verschlüsselung durchgelaufen ist.
 
Willst du (irgendeinen) Mac aus dem verschlüsselten Backup wiederherstellen, brauchst du nur den Schlüssel des Backups - der FileFault-Schlüssel des ursprünglichen Macs spielt dabei keine Rolle - bei Sachen haben nichts miteinander zu tun.

Wenn ich das TM-Backup verschlüsseln lasse, bekommt es einen eigenen Schlüssel?

Edit: Frage durch TEXnicians Antwort geklärt.
 
ja, natürlich kannst du aber auch den gleichen vergeben
Könnte man aus Komfortgründen tatsächlich und wenn es für den Rechner gut genug und unbekannt ist, dann ist der Schutz für das Backup auch nicht geringer.

So, die Verschlüsselung der TM-Platte findet gerade statt.

Was könnt Ihr denn für die Verschlüsselung eines Sticks oder einer SD empfehlen?
 
ja, natürlich kannst du aber auch den gleichen vergeben

Man muss hier unterscheiden. Der Filevault-Schlüssel ist der Schlüssel, mit dem die Daten letztlich verschlüsselt werden. Das Passwort, das der Benutzer eingibt, wird dazu verwendet, um den Filevault-Schlüssel zu verschlüsseln und auf der Festplatte zu speichern (bei mehreren Benutzern also mehrfach). Der Filevault-Schlüssel wird automatische aus Zufallszahlen generiert, das Passwort legt der Benutzer fest. Nur so kann man beispielsweise mehreren Benutzern das Entschlüsseln des Macs mit dem eigenen (unterschiedlichen) Benutzerpasswort erlauben.

Was könnt Ihr denn für die Verschlüsselung eines Sticks oder einer SD empfehlen?

Dazu kann man ebenfalls Filevault verwenden (entweder direkt bei der Formatierung im Festplattendienstprogramm auswählen oder nachträglich). Wenn die Sticks und SD-Cards auch an Nicht-Macs betrieben werden, empfiehlt sich ein Verschlüsselungsprogramm wie Veracrypt (Vorgänger war Truecrypt). Das muss zwar auch auf jedem Rechner vorhanden sein, um auf die Daten zugreifen zu können, aber dafür läuft es unter allen gängigen Betriebssystemen.
 
Ich hol' den Thread nochmal hoch.

Eigentlich ist alles palletti, interner Flashspeicher verschlüsselt, TM-Platte verschlüsselt (hat ganz schön lange gedauert). Eigentlich.
Der Rechner verhält sich komisch. Bei Restart oder "Aus und kurz danach wieder An" alles ok. Wenn ich den Rechner aber "eine Nacht ausgeschaltet stehen lasse", dann gibt der Rechner kein Signal an den Monitor. Inzwischen kenne ich die Vorgehensweise und kann trotzdem starten. Die beiden Tage vorher habe ich aber ausgeschalten und abermals gestartet, worauf der Mac dann "Fragen gestellt hat", ich mich anmelden konnte und FileVault deaktiviert wurde.
Ich hätte gerne den Schutz, diesen Zinnober mache ich aber sicherlich nicht mit.

Erwähnenswert: Ich hatte meine Anmeldung vor Verschlüsselung so eingestellt, dass der Name und das Passwort einzugeben ist. Das ist zwar noch so eingestellt, allerdings bekomme ich jetzt eine Auswahl möglicher User angezeigt. Es wird auch ignoriert, dass ich den Gastzugang deaktiviert habe. Zur Auswahl stehe ich und Gast.

Hat das schon mal jemand gehabt?

10.11.6
Mini aus 2014

Grüße

Nic
 
Zurück
Oben Unten