Apple schafft Filevault für externe Medien ab, was sind die Alternativen?

[Tim_Cook_Loves_Emoji]

Heute hat mir Mike Bombich von CCC geschrieben, dass bootable Backups mit dem nächsten
Monterey-Update der Vergangenheit angehören. Damit wären auch Filevault-Verschlüsselungen
auf externen Medien Vergangenheit! Die spinnen wohl, die Californier?!!

Der Hauptgrund, warum ich bootfähige Backups behalten möchte, ist, um die sichere Filevault-Verschlüsselung nicht zu verlieren,
nicht, weil ich ständig davon booten will. Wenn es nur um "bootbar" an sich geht, könnte ich sogar darauf verzichten.
Aber es gibt bis heute keinen Weg, Filevault-Verschlüsselung für externe Medien außerhalb eines startfähigen Backups anzustoßen -
oder übersehe ich hier etwas?
Die APFS-verschlüsselte Formatierung ist kaum eine Alternative.

Mike Bombich schrieb heute
>Eine letzte Bemerkung, falls ich Sie noch nicht davon überzeugt habe, auf die bootfähigen Kopien zu verzichten - Apple hat diese Funktion in macOS 12.3 für Apple Silicon Macs abgeschafft.
>Wir sind jetzt bei 12.3 beta 5, und ich glaube, das endgültige Update steht kurz bevor. Ich habe diese Funktion erst gestern wieder mit 12.3b5 getestet, und sie ist auf Apple Silicon Macs immer noch defekt.
>Ich gehe nicht davon aus, dass dies eine praktische Lösung (oder eine notwendige Lösung) für Apple Silicon Macs sein wird.

Das ist wirklich zum Kotzen. Was denkt sich Apple dabei ? Wurde dies irgendwo diskutiert?
Gibt es irgendwelche Alternativen? Ist der Apple Park schon von Truckern umringt?
Ich meine, was soll das?
Sie beerdigen Filevault für externe Medien einfach still und leise und erwarten, dass die Benutzer schweigen?

 

[Wuchtbrumme]

Wurde dies irgendwo diskutiert?

ja, unter anderem hier. Marcel Bresink führt einen einsamen Kampf, uns Unwissende über solche Änderungen aufzuklären.

Seit intel mit T2-Sicherheitsprozessor ist FileVault sowieso anders - jede interne SSD ist hardwareseitig verschlüsselt (und nebenbei auch verlötet). Das Anhaken von FileVault macht nichts anderes, als einen Bootscreen mit Benutzerauswahl/Passworteingabe vorwegzuschicken.

In Deinem Post fallen soviele Punkte und es ist recht voreingenommen, dass ich überhaupt nicht weiß, wo ich starten sollte, sachlich zu entgegnen.

Abgekürzt kann man nur zusammenfassen, dass ein macOS mehr und mehr als Firmware betrachtet wird und aus einem r/o-Teil (OS-Kern) und r/w-Teil (Benutzerdaten, Apps, Einstellungen, etc.) besteht, die per JoinFS zusammengemountet werden. Es hat da etliche Abstriche, aber es ist nicht so, dass es keine Vorteile brächte (u.a. deutlich mehr Sicherheit an VIELEN Stellen, kleinere Backups).

Meine Empfehlung wäre, Marcels Posts zu dem Thema Filevault, T2, Apple Silicon und bootbare Klone zu sichten, um einen besseren Einstieg zu bekommen als ich das in der Kürze der Zeit hier kann.

 

[MacAlzenau]

Heute hat mir Mike Bombich von CCC geschrieben, dass bootable Backups mit dem nächsten
Monterey-Update der Vergangenheit angehören. Damit wären auch Filevault-Verschlüsselungen
auf externen Medien Vergangenheit!

Ich kann da keinen Zusammenhang erkennen.
Man kann auf externe Medien auch direkt ein System installieren. Auch wenn man dann die Daten dort via Backup ablegen will.
Und irgendwie dachte ich bosher, daß man auch Platten ohne System mit FV verschlüsseln könnte.

 

[Tim_Cook_Loves_Emoji]

>Ich kann da keinen Zusammenhang erkennen.
Vielleicht missverstehe ich ja was, aber ich war bisher nicht davon ausgegangen, dass eine APFS-Verschlüsselung bei
der Formatierung eines Mediums und eine nachträgliche Filevault-Verschlüsselung technisch dasselbe sind. (Das eine quasi instantaneous, das andere dauert Stunden). Mal abgesehen davon, dass sich noch zeigen wird, wie gut die Dauerhaltbarkeit der verbauten, nicht wechselbaren Speicherchips in M1/Mx ist, ist die Sicherheit externer Medien vom
Verschlüsselungsverfahren abhängig.
Externe Verschlüsselund ist jetzt nur noch mit APFS-encrypted Formatierungen möglich.
Und die APFS-encrypted-Formatierung und die Filevault-Verschlüsselung sind auf demselben Niveau?

I

 

[Wuchtbrumme]

>Ich kann da keinen Zusammenhang erkennen.
Vielleicht missverstehe ich ja was, aber ich war bisher nicht davon ausgegangen, dass eine APFS-Verschlüsselung bei
der Formatierung eines Mediums und eine nachträgliche Filevault-Verschlüsselung technisch dasselbe sind. (Das eine quasi instantaneous, das andere dauert Stunden). Mal abgesehen davon, dass sich noch zeigen wird, wie gut die Dauerhaltbarkeit der verbauten, nicht wechselbaren Speicherchips in M1/Mx ist, ist die Sicherheit externer Medien vom
Verschlüsselungsverfahren abhängig.
Externe Verschlüsselund ist jetzt nur noch mit APFS-encrypted Formatierungen möglich.
Und die APFS-encrypted-Formatierung und die Filevault-Verschlüsselung sind auf demselben Niveau?

I

Hi,

vielleicht sollte man vorausschicken um mit dem Missverständnis aufzuräumen: File Vault2 ist Apples Marketingsprech für:
-Dateisystemverschlüsselung Systemlaufwerk
-modifiziertes Startsystem mit Benutzerauswahl/Passworteingabe zurm Entsperren und Durchreiche der Credentials ans gebootete System

Auf diesem Level der Abstraktion kann man also immer noch FV für externe Medien, die bootbar sind, haben.

Damit wird auch deutlich, dass (APFS-)Verschlüsselung eines externen Mediums quasi schon dem FileVault2 alt entspricht.

Es gibt noch weitere Sicherungsmassnahmen, z.B. das Startsicherheitsdienstprogramm, mit dem man das Booten von extern überhaupt erst erlauben muss.

Meines Wissens kann man auch HFS+ verschlüsseln. Ob d mit den neuesten OS noch das FileVault-Startsystem drauf läuft weiss ich nicht, aber ich benutze eigentlich auch keine Festplatten mehr, weswegen APFS ohnehin nur zu empfehlen ist.

Sicherheit ist immer Sicherheit nach Stand der Technik und APFS -Verschlüsselung ist AES-CBC mit 128/256bit, wenn ich mich nicht ganz täusche. Es gibt verschiedene bekannte Angriffsvektoren und wohl auch funktionierende Hacks (seit Jahren, Stichwort Thunderbolt, DMA und Keyabgriff). Auch der T2 ist angreifbar und damit ist es möglich, dass mit grösserem Aufwand ein Zugriff möglich wäre. Prinzipiell halte ich aber aber das Konstrukt ab T2 mit interner Verschlüsselung für sicher.

 

[Marcel Bresink]

Damit wären auch Filevault-Verschlüsselungen auf externen Medien Vergangenheit!

Das stimmt so nicht. Da liegen offenbar gleich 3 Missverständnisse vor.

FileVault ist an der eigentlichen Verschlüsselung überhaupt nicht beteiligt. FileVault ist die Infrastruktur, die es möglich macht, sich beim Mac vor dem Booten zur Entsperrung des System-Volumes anmelden zu können, obwohl macOS und die Benutzer-Accounts in dem Moment noch gar nicht zur Verfügung stehen. Diese liegen ja auf dem unlesbaren, noch nicht entsperrten Volume.

FileVault nutzt immer die "normale" Verschlüsselung, die für das System-Volume technisch machbar ist:

• In alten Versionen von macOS verschlüsseltes HFS+.
• In neueren Versionen von macOS verschlüsseltes APFS.
• Auf neuen Macs mit T2- oder M1-Prozessor die Hardware-Verschlüsselung des Flash-Speichers.

Aber es gibt bis heute keinen Weg, Filevault-Verschlüsselung für externe Medien außerhalb eines startfähigen Backups anzustoßen

Das würde keinen Sinn ergeben. FileVault einzuschalten bedeutet, dass dem gerade laufenden Betriebssystem ein zweites Mini-Betriebssystem mit kopierten Benutzer-Accounts vorgeschaltet wird, das in der Lage ist, die Verschlüsselung des System-Volumes noch vor dem Booten zu entsperren. Eine spezielle FileVault-Verschlüsselung gibt es überhaupt nicht.

Das eine quasi instantaneous, das andere dauert Stunden

Wenn FileVault sich sofort aktiviert, heißt das nur, dass überhaupt kein Verschlüsselungsschritt nötig war, weil das System-Volume sich gerade auf einer Hardware befindet, die bereits verschlüsselt war. Wenn Du das beobachtet hast, nutzt Du einen neuen Mac mit T2 oder M1.

dass bootable Backups mit dem nächsten Monterey-Update der Vergangenheit angehören.

Das ist ein komplett anderes Problem, das mit FileVault gar nichts zu tun hat, und das ist eigentlich bereits seit macOS 11 so. Apple fügt seit macOS 11 mit jeder Systemversion immer mehr Hindernisse hinzu, die es unmöglich machen sollen, macOS zu klonen. In der Vergangenheit ging das auf bestimmter Hardware im Einzelfall trotzdem noch, aber nicht, weil CCC und SuperDuper das wirklich konnten, sondern weil diese Programme Apples Kopierprogramm "asr" (Apple Software Restore) aufgerufen haben.

Es ist generell so, dass ab macOS 11 die Technik des "bootbaren Klonens" von Apple mit Absicht kaputtgemacht werden soll. Das wurde hier im Forum auch schon oft besprochen. Selbst wenn Du es technisch irgendwie schaffen solltest, von einem M1-Mac einen Klon von macOS zu erstellen, ist dieser Klon auf einem anderen M1-Mac nicht startbar. Und wenn der Flash-Speicher des originalen M1-Macs beschädigt werden sollte, kann auch dieser den Klon selbst nicht mehr starten.

 

[quiddjes]

Es ist generell so, dass ab macOS 11 die Technik des "bootbaren Klonens" von Apple mit Absicht kaputtgemacht werden soll. Das wurde hier im Forum auch schon oft besprochen. Selbst wenn Du es technisch irgendwie schaffen solltest, von einem M1-Mac einen Klon von macOS zu erstellen, ist dieser Klon auf einem anderen M1-Mac nicht startbar. Und wenn der Flash-Speicher des originalen M1-Macs beschädigt werden sollte, kann auch dieser den Klon selbst nicht mehr starten.

Warum geht das dann mit Time Machine Backups?

 

[Marcel Bresink]

Warum geht das dann mit Time Machine Backups?

Das geht nicht. Das Betriebssystem wird seit macOS 11 nicht mehr gesichert, nur noch die Benutzerdaten.

EDIT: Noch ein Nachtrag zur ursprünglichen Fragestellung.

Es gibt über mehrere Ecken einen indirekten Zusammenhang zwischen CCC und FileVault auf externen Platten. Wenn man eine Hardware hat, bei der Apples Kopierprogramm asr tatsächlich noch macOS kopieren kann, dann löscht asr grundsätzlich die APFS-Zielvolumes und legt neue, unverschlüsselte an, in die die Daten geklont werden.
Das Problem lässt sich aber lösen, indem man das externe System bootet (das muss man sowieso, da man nie sicher sein kann, ob asr funktioniert) und dann dort FileVault wieder einschaltet (was aber Stunden dauern kann).

 

[Tim_Cook_Loves_Emoji]

Hallo Herr Bresink,

vielen Dank für diese Erklärungen. Mein Missverständnis bestand darin, dass ich die lange Verschlüsselungszeit
auf Intel-Macs (die vom Rechner zu leistende Verschlüsselungsleistung) für ein Maß des "Security-Level"
gehalten habe, und mir nicht vorstellen konnte, dass eine blitzschnelle Formatierung mit "APFS-encrypted"
dasselbe Security-Level wie die auf externen HDs vorgenommene Filevault-Verschlüsselung bietet.
Aber genau das schreiben sie ja:

>FileVault nutzt immer die "normale" Verschlüsselung, die für das System-Volume technisch machbar ist:

• >In alten Versionen von macOS verschlüsseltes HFS+.
• >In neueren Versionen von macOS verschlüsseltes APFS.
• >Auf neuen Macs mit T2- oder M1-Prozessor die Hardware-Verschlüsselung des Flash-Speichers.

Habe ich Sie da richtig verstanden? Das Sicherheitslevel von Filevault-Verschlüsselung und APFS-encrypted-Formatierung
sind dasselbe?

We're at Apple's mercy for all this stuff ....

 

[Marcel Bresink]

FileVault verwendet immer die beste Verschlüsselung von macOS oder der Hardware, die in der jeweiligen Situation gerade technisch machbar ist. Um die Verschlüsselung kümmert sich FileVault nicht selbst. Seine Hauptaufgabe liegt in der Schlüsselverwaltung und dem Kunststück, macOS von einer unlesbaren (weil verschlüsselten) Platte zu starten.