Lion: verschlüsselte Festplatten mit "HFS, verschlüsselt" ?

[maccoX]

Hat hier Jemand Erfahrung wie man mit Lion Festplatten verschlüsseln kann und welche eventuellen Nachteile das hat?

Scheinbar kann man ja seit Lion einfach direkt ein verschlüsseltes Dateisystem auswählen.. klingt irgendwie ziemlich einfach, aber ist es das auch und wie genau funktioniert das dann? Hätte da ein paar Fragen:

1. Kann man so jegliche ext. Dateiträger verschlüsseln, auch eine Time Machine Sicherungsplatte?
2. Kann ich meine Systemplatte auch mit "HFS, verschlüsselt" formatieren, so das der Mac dann z.B. nur hochfährt wenn man das Kennwort eingibt? (Filevault will ich nicht, da dies ja ein riesiges Sparseimage anlegt, ich will meine Daten zur Ausfallsicherheit lieber weiterhin einzeln vorliegen haben, ausserdem soll das ja Performance fressen)
3. Wie sicher sind meine Daten dann bei Festplattenproblemen wie defekten Sektoren, ist dann gleich die ganze Festplatte bedroht da alles nicht mehr entschlüsselt werden kann, oder wie sonst auch nur die Daten die wirklich auf den defekten Sektoren liegen?
4. Wie sicher ist die Verschlüsselung? Sind Backdoors bekannt und welches Passwort wird dafür verwendet, hoffentlich nicht mein einfaches Computer-Admin-Passwort. - Muss ich das Passwort dann imemr eingeben oder wie wird das alles gehandhabt?
5. Performance... merkt man da etwas?


Sind vermutlich ein paar recht spezielle Fragen dabei, hoffe aber trotzdem das mir da vielleicht Jemand weiterhelfen kann.

 

[trixi1979]

Performanceunterschiede wirst du auf jeden Fall bemerken.
Deinen Rechner kannst du auch ohne verschlüsselte Platte mit Passwort starten.

Wozu der Aufwand?

 

[xentric]

Hat hier Jemand Erfahrung wie man mit Lion Festplatten verschlüsseln kann und welche eventuellen Nachteile das hat?

Du bist lang genug hier und diese elementaren Fragen hätte man auch mit 20 Minuten Google sicher lösen können, oder?

1. Kann man so jegliche ext. Dateiträger verschlüsseln?

Ja, sofern die HFS+ haben sollen.

2. Kann ich meine Systemplatte auch mit "HFS, verschlüsselt" formatieren, so das der Mac dann z.B. nur hochfährt wenn man das Kennwort eingibt? (Filevault will ich nicht, da dies ja ein riesiges Sparseimage anlegt, ich will meine Daten zur Ausfallsicherheit lieber weiterhin einzeln vorliegen haben, ausserdem soll das ja Performance fressen)

Falsch. FileVault 2 != SparesBundle, sondern genau das. Eine verschlüsselte Partition (mit nem LVM oben drauf). Zum ersten Punkt, Nein. Das hab ich ausprobiert, dann startet aber logischer weise nichts, weil der Bootloader da nichts von weiß und die Partition nicht entschlüssen kann.

Die anderen Fragen kannst du echt googlen, weil nichts besonders:

3. Wie sicher sind meine Daten dann bei Festplattenproblemen wie defekten Sektoren, ist dann gleich die ganze Festplatte bedroht da alles nicht mehr entschlüsselt werden kann, oder wie sonst auch nur die Daten die wirklich auf den defekten Sektoren liegen?

Filesystem spezifisch. Hat nichts mit der Verschlüsslung zu tun. Die ist normalerweise Blockweise, also wird idR eine Datei/Filesystemstruktur kaputt sein -> fsck. Also, wie sonst auch.

4. Wie sicher ist die Verschlüsselung?

AES ist sicher. Kommt auf die Implementierung an. FileVault 1 war ja im Endeffekt ein 1024 DES (? Bin mir nicht mehr ganz sicher. (Siehe 23C3 (Unlocking FileVault)). Wenn man an den Bug in 10.7.3 mit der Debugging Option denkt, muss du selbst wissen, wie viel Vertrauen du einer proprietären Lösung von Apple schenkst. Das sich irgendwer unabhäniges an FileVault 2 mal probiert hat, hab ich bisher noch nicht mitbekommen.

5. Performance... merkt man da etwas?

So wie bei jeder anderen partitionsbasierten Verschlüssung auch.

Performanceunterschiede wirst du auf jeden Fall bemerken.
Deinen Rechner kannst du auch ohne verschlüsselte Platte mit Passwort starten.

Wozu der Aufwand?

Falsche Antwort und falsche Frage dazu.

 

[trixi1979]

Falsche Antwort und falsche Frage dazu.

ich seh nichts falsches an der Antwort, da du ja in deiner weisen Antwort auch nicht weiter darauf eingehst und nur nebulös mit anderen partitionsbasierenden Verschlüsselungen vergleichen magst.

Punkt zwei: Warum soll die Frage falsch sein?

Es ist immer gut zu erfahren, was der TE erreichen möchte, um vielleicht auch noch andere Lösungsansätze zu finden.

Oder muss ich bei dir jetzt wie in der Schule melden, bevor ich los leg?

 

[maccoX]

Danke xentric, das hat mich deutlich weitergebracht!

Hab mich mit den Infos jetzt auch noch mal zusätzlich informiert. Also Performanceeinbusen sind wohl nicht zu erwarten. Das FileVault 2 jetzt kein SparseBundle ist, ist irgendwie an mir vorbeigegangen... danke für die Info! Auch ist es sehr beruhigend das bei defekten Sektoren dann wohl nicht gleich alle Daten unleserlich sind.


Mein Time Machine Backup werde ich jetzt entsprechend verschlüsseln, muss nur noch überlegen ob ich das über die Systemsteuerung/TimeMachine mache oder die TM Partition einfach entsprechend formatiere - kommt glaube ich ja aufs Gleiche hinaus.

Mein Hauptssystem werde ich wohl nicht verschlüsseln, da ich dann wohl meine automatischen EyeTV Aufnahmen vergessen kann und sich EyeTV wohl eh nicht so gut mit FileVault verträgt.

Jetzt muss ich nur noch schaun ob ich meine 2. Sicherungsplatte (bootfähiger SuperDuper! Clon) auch verschlüsseln kann, aber da befürchte dann würde das gleiche Problem entstehen wie wenn man einfach die Systemplatte entsprechend formatiert - das sie eben beim Booten nicht erkannt wird.



Da ich mein TM Backup jetzt verschlüsseln will und dies auf mein Admin Kennwort zugreift, genau wie mein Schlüsselbund damit gesichert ist, möchte ich jetzt ein stärkeres Passwort wählen. Dies soll aber auch zukunftssicher sein, falls ich doch mal FileVault aktiviere. Ich habe aber gelesen, dass das Tastaturlayout dann anders ist (bevor das System gebootet ist) und man mit den verwendeten Zeichen im Passwort aufpassen sollte, da man sonst das Passwort so nicht richtig eingeben kann.

Ist ein Passwort mit einer Klammer, Punkt, Bindestrich und einem "x" ok, oder würde das Probleme machen?

 

[Rupp]

Performanceunterschiede wirst du auf jeden Fall bemerken.

Das ist Käse. Der einzige spürbare Nachteil den die FDE hat ist eine längere Boot- und Shutdown-Zeit. Performanceunterschiede beim effektiven Arbeiten wird er, wenn es sie gibt, nicht spüren.

 

[Sagittarius A]

Da moderne Prozessoren extra dafür optimiert sind den AES-Verschlüsselungsalgorithmus möglichst schnell und effizient auszuführen, sind die Performanceeinbußen hier in der Tat nicht relevant.

Aber nun zur zweiten Frage- und Antwortrunde:

Mein Time Machine Backup werde ich jetzt entsprechend verschlüsseln, muss nur noch überlegen ob ich das über die Systemsteuerung/TimeMachine mache oder die TM Partition einfach entsprechend formatiere - kommt glaube ich ja aufs Gleiche hinaus.

Nein, ist nicht das gleiche. Wenn du die Verschlüsselung in den Systemeinstellungen aktivierst, kann ein Time Machine Backup auch nachträglich ver- und entschlüsselt (Entschlüsselung auch über die Systemeinstellungen) werden, ohne dass du Dateien verschieben musst und die Partition neu formatieren musst. Nachteil ist nur: Nach dem Aktivieren wird der komplette Speicherplatz der Partition verschlüsselt, selbst wenn diese noch komplett leer ist. Das ist beim Formatieren über das Festplattendienstprogramm nicht so.

Zu möglichen Komplikationen in Verbindung mit EyeTV kann ich nichts sagen (benutze ich nicht).

Jetzt muss ich nur noch schaun ob ich meine 2. Sicherungsplatte (bootfähiger SuperDuper! Clon) auch verschlüsseln kann, aber da befürchte dann würde das gleiche Problem entstehen wie wenn man einfach die Systemplatte entsprechend formatiert - das sie eben beim Booten nicht erkannt wird.

Also mein CarbonCopy-Klon ist verschlüsselt und bootfähig. Allerdings habe ich die Verschlüsselung nicht durch Formatieren mit dem Festplattendienstprogramm erstellt, sondern nachträglich über das Terminal aktiviert (im Prinzip passiert dabei nichts anderes als wenn man ein Medium für Time Machine nachträglich verschlüsselt). Ohne zu sehr ins Detail gehen zu wollen, der Terminal-Befehl "diskutil cs convert" erledigt die Verschlüsselung (mit "man diskutil" kann man die genaue Syntax erfahren, ansonsten sollte man auch über eine Suchmaschine deiner Wahl mehr erfahren können).

Der Bug mit dem Tastaturlayout ist in 10.7.4 meines Wissens gefixt (tritt bei mir zumindest nicht mehr auf). Bei früheren Versionen konnte man in Systemeinstellungen > Sprache & Texte die Option " Eingabequellen in der Menüleiste anzeigen" aktivieren. Das führt dazu, dass man über die Menüzeile das Tastaturlayout ändern kann (man kann dann zwischen den in der Tabelle ausgewählten Layouts wechseln). Eine entsprechende Möglichkeit gab es dann auch beim Booten (ist in 10.7.4 aber nicht mehr möglich, da ja mittlerweile das richtige Layout verwendet wird).

Ist ein Passwort mit einer Klammer, Punkt, Bindestrich und einem "x" ok, oder würde das Probleme machen?

Wenn du 10.7.4 verwendest kein Problem, da ja das korrekte Layout verwendet wird, bei Versionen davor, würde ich einfach mal das US-amerikanische Layout auswählen (siehe oben) und schauen wo die entsprechenden Zeichen, die im Passwort verwendet werden, liegen (wenn überhaupt vorhanden).

 

[maccoX]

Super, danke für die ausführliche Antwort!

Da meine externe Festplatte eh neu aufgesetzt werden muss und somit das ganze TM Backup frisch erstellt werden muss stellt sich jetzt nur die Frage ob ich direkt im "HFS, verschlüsselt" Dateisystem formatieren soll oder normal und die Verschlüsselung dann lieber über die Systemsteuerung mache. Die Partition ist nur für diese eine TM Sicherung gedacht und kann den gesamten Platz einnehmen. Ich hab eine extra Daten Partition auf der Festplatte.

In beiden Fällen landet nichts in einem Image und fehlerhafte Sektoren beeinflussen nur die darauf gespeicherten Daten, oder galt das nur für die HFS, verschlüsselt Formatierung und über die Systemsteuerung ist das anders? Weil der Unterschied das auch der freie Speicherplatz verschlüsselt wird ist ja eigentlich egal so wie ich das verstehe.

 

[Sagittarius A]

Wenn du dir sicher bist, dass du das Time Machine Backup niemals wieder entschlüsseln willst, kannst du auch mit dem Festplattendienstprogramm formatieren. Fehlerhafte Sektoren zerschießen in beiden Fällen nur die ggf. dort gespeicherten Daten.

 

[maccoX]

Hat übrigens super geklappt, ich hab die TM Partition über die Systemeinstellungen verschlüsselt.

Jetzt möchte ich aber auch meine 2. Partition, wo ich so Daten auslagere bzw. manuell meine VM sichere, nachträglich mit dem Terminal-Befehl "diskutil cs convert" verschlüsseln.

Vermute ich das richtig, dass ich dann beim Anschließen der externen HDD für jede Partition das Passwort extra eingeben muss statt eins wo die ganze HDD/alle Partitionen entsperrt?

 

[Sagittarius A]

Da jede Partition einzeln verschlüsselt wird (man kann auch für jede Partition ein eigenes Passwort wählen), müsstest du jede Festplatte einzeln entschlüsseln.

Alternativ kannst du die Passwörter für die Partitionen aber auch in deinem Schlüsselbund speichern, dann werden die Partitionen nach dem Anschließen automatisch entschlüsselt. Da der Schlüsselbund ja ohnehin noch einmal extra verschlüsselt ist und auch noch auf der verschlüsselten internen Festplatte liegen, sollte da ja kein Sicherheitsproblem bestehen.

 

[maccoX]

ok, danke!

 

[maccoX]

Klappt jetzt soweit alles super mit der TM Backup Platte, hab die 2. Partition auch verschlüsselt und die Passwörter im Schlüsselbund abgelegt.

Jetzt möchte ich meine System-Clone Festplatte auch verschlüsseln.


Zur Zeit hab ich dort noch die von SuperDuper! geklonten Daten drauf, unverschlüsselt. Jetzt stellen sich für mich aber 2 Fragen bei denen ihr mir hoffentlich auch weiterhelfen könnt.

1. Weiterhin meine (ältere) SuperDuper! Programmversion verwenden oder auf CarbonCopyCloner umsteigen - welches ist besser? Ist CCC denn überhaupt Freeware? Weil auf der Herstellerseite gibt es ein Seite zum kaufen, dort steht das es nur eine Spende ist und die Werbung deaktiviert wird, auf der Featureseite liest sich das allerdings anders: "Try the complete feature set of CCC for 30 days before purchasing it.". Nicht das ich auf das neue Programm umsteige und es nach 30 Tagen dann doch kaufen müsste- dann würde ich nämlich lieber gleich bei SuperDuper! bleiben.

2. Erst im Nachhinein den Terminal Befehl drüber laufen lassen um die Festplatte zu verschlüsseln oder kann ich die auch gleich im Festplattendienstprogramm passend verschlüsselt formatieren? (würde beim Programmumstieg ja eh alles neu machen) Der Systemclone sollte laut einem Beitrag hier ja trotzdem normal bootbar bleiben falls die interne HD abraucht, hab ich das richtig verstanden? (Wo/wann beim Booten muss man denn dann das Passwort eingeben?)