Fragen zu FileVault

picknicker1971

picknicker1971

Aktives Mitglied
Thread Starter
Dabei seit
05.06.2005
Beiträge
10.811
Reaktionspunkte
7.057
Für mich zur Klärung - Apple Support Doks helfen mir nicht weiter - ein paar Fragen:

Back in the days, konnte man seinen Rechner mit einem FW-Passwort sichern und hatte die Option auch noch FileVault zu aktivieren.
Nach meinem Verständnis, hat FV die Daten verschlüsselt und FW-PW den Zugriff via TargetdiskMode (?) auf die HD/SSD verhindert.

Nun mit M1 und/oder BigSur gibt es das FW-PW nicht mehr, sondern "nur" noch FV - wenn ich das richtig überblicke.
Jetzt habe ich FV auf dem Mac aktiviert und das PW dafür in der iCloud.

FV unterbindet jetzt den TDM? D.h. der Zugriff wird erlaubt aber man muss das FV-PW eingeben, richtig?
Sollte ich mal den TDM benötigen, wie funktioniert das dann?
Wo/wie finde ich das PW in der iCloud?

Wie wirkt sich FV auf TM Backup und CCC Clone aus?

Viele Fragen...
TIA
 
Zuletzt bearbeitet:
Firmware-Passwort gibt es auf Intel-Macs nach wie vor. Da hat sich nichts geändert. Bei M1-Macs gibt es das nicht mehr, weil alles, was früher mit dem Firmware-Passwort abgesichert war, nun ein "nomales" Passwort eines Mac-Benutzerkontos braucht.

TDM bei M1 Macs erfordert, das Du in den "Recovery Modus" bootest, dazu brauchst Du das Passworts eines Admin-Kontos auf deinem Mac. Wenn Du dort dann "TDM" einschaltest, brauchst Du noch ein Passwort für FV. Das kann das Passwort eines Mac-Benutzers sein, der auch sonst diese Platte entschlüsseln kann oder auch ein FV-Recovery-Key.

In iCloud kann man, wenn ich das richtig im Kopf habe, einen Recovery-Key speichern, sodaß man FV entsperren kann, solange man sein iCloud Account kennt.

Wer eine per FV verschlüsselte Disk entsperren kann, sagt dir:

Bash: 
sudo fdesetup list -verbose -extended

Und wegen Timemachine bzw. CCC: Die laufen ja immer dann, wenn die zu sichernde Platte schon entsperrt ist. Und wenn das Ziel von Time Machine oder CCC eine verschlüsselte Platte ist, fragen die Programme nach dem Passwort dafür (und speichern es ggfs.)
 
mh2019 schrieb:
TDM bei M1 Macs erfordert, das Du in den "Recovery Modus" bootest, dazu brauchst Du das Passworts eines Admin-Kontos auf deinem Mac. Wenn Du dort dann "TDM" einschaltest, brauchst Du noch ein Passwort für FV. Das kann das Passwort eines Mac-Benutzers sein, der auch sonst diese Platte entschlüsseln kann oder auch ein FV-Recovery-Key.
Zum Vergrößern anklicken....
Also bietet FV keinen "zusätzlichen" Schutz zum normalen User/Einlog-PW?
Bei dne Intel-Macs, war der Rechner ohne FW-PW für jeden Dieb wertlos, da er nicht neu aufgestzt werden kann. Das deckt jetzt das User-PW ab?

mh2019 schrieb:
Und wegen Timemachine bzw. CCC: Die laufen ja immer dann, wenn die zu sichernde Platte schon entsperrt ist. Und wenn das Ziel von Time Machine oder CCC eine verschlüsselte Platte ist, fragen die Programme nach dem Passwort dafür (und speichern es ggfs.)
Zum Vergrößern anklicken....
Entsperrt heisst ja nicht entschlüsselt.
Werden die Daten nun verschlüsselt gesichert?
 
Nein. Nur falls man das aktiviert. Für die Programme sind die Daten ja nicht verschlüsselt
 
picknicker1971 schrieb:
Also bietet FV keinen "zusätzlichen" Schutz zum normalen User/Einlog-PW?
Zum Vergrößern anklicken....
Der einzige Zweck von FV war und ist, die Daten bei ausgeschaltetem Gerät zu schützen. Sobald du den Rechner einschaltest und von der Platte bootest, ist die Platte „entsperrt“, d.h les- und schreibbar,

picknicker1971 schrieb:
Entsperrt heisst ja nicht entschlüsselt.
Werden die Daten nun verschlüsselt gesichert?
Zum Vergrößern anklicken....
“Entsperrt“ meint, der Schlüssel ist quasi im Speicher und die Daten werden beim Lesen entschlüsselt und beim Schreiben verschlüsselt. Bei Intel Macs mit T2 Chip und bei M1-Macs ist immer verschlüsselt, der Schlüssel dafür liegt im T2 Prozessor bzw. der Secure Enclave im M1. Wenn Du als Nutzer FV “einschaltest“, wird dieser Schlüssel noch mit deinem Benutzerpasswort gesichert.

D.h. ohne dein explizites FV-Einschalten ist die Platte schon über den Schlüssel im T2/Secure Enclave mit der Hardware verknüpft, kann also nur gelesen werden, wenn sie in genau diesem einen Mac eingebaut ist. Rauslöten und woanders auslesen geht nicht. Theoretisch könnte man aber deinem Mac mit einem anderen Betriebssystem booten und die Daten auslesen. Hast du als Nutzer FV eingeschaltet, ist sie dann zusätzlich noch mit deinem Benutzerkonto verknüpft. In dem Falle würde auch das Booten eines anderes OS nichts nützen. Ohne dein Benutzerpasswort kann der FV-Key im T2/SecureEnclave nicht genutzt werden.
 
Das passt genau so wie geschrieben. Weder für TM noch für CCC sind die Daten verschlüsselt.
Sie speichern diese also ganz normal unverschlüsselt im Backup ab, außer man aktiviert z.B. die TM Verschlüsselung.
 
Zitieren
  • Gefällt mir
Reaktionen: ufo2010, Nutzloser und dg2rbf
AgentMax schrieb:
Das passt genau so wie geschrieben. Weder für TM noch für CCC sind die Daten verschlüsselt.
Sie speichern diese also ganz normal unverschlüsselt im Backup ab, außer man aktiviert z.B. die TM Verschlüsselung.
Zum Vergrößern anklicken....
Ja. Ich bezog mich auf die Daten der eingebauten Festplatte. Die sind bei neuen Macs (T2/M1) immer verschlüsselt. Das Ziellaufwerk, auf das bei TM oder CCC gesichert wird, hat damit in der Tat nichts zu tun.
 
Überschreiben/löschen sollte möglich sein. Ist ja kein Versuch auf die Daten zuzugreifen. Da würde dann wieder die Verschlüsselung greifen.
 
Klar beantwortet das deine Frage. Einen Target Disk Mode gibt es beim M1 nicht.
 
Funktioniert "Gast" wenn die Platte mit FV verschlüsselt ist? Das wäre absurd.
 
Der Reisende schrieb:
Funktioniert "Gast" wenn die Platte mit FV verschlüsselt ist? Das wäre absurd.
Zum Vergrößern anklicken....
Wenn FV eingeschaltet ist, kann der "Gast" Benutzer nur Safari nutzen, und nicht auf die verschlüsselte Festplatte zugreifen. Das ist aber nichts M1-spezifisches, sondern schon immer so bei FV.
 
Zurück
Oben Unten