Oltre a essere in grado di crittografare un intero volume, quali sono le altre differenze di FileVault 2 su FileVault?

17

FileVault 2 in Lion ha altre differenze rispetto alla versione precedente, FileVault nelle versioni precedenti del sistema? Ci sono ulteriori vantaggi nell'usare la nuova versione?

    
posta Aron Rotteveel 20.07.2011 - 22:55
fonte

16 risposte

7

Prendendo in prestito pesantemente da John Siracusa's Revisione Lion ...

FileVault 2 è un sistema di crittografia dell'intero disco, a differenza di una semplice soluzione "archivia la cartella principale in una immagine disco crittografata". È implementato come livello del filesystem sotto il volume effettivo che si sblocca all'avvio del sistema. Se hai familiarità con LVM , è più o meno allo stesso modo. Ogni volta che superi il blocco della password, tutto sembra uguale al resto del sistema.

Come ha detto Steve, il lavoro di crittografia può essere supportato da specifiche istruzioni del processore e viene eseguito interamente in background. La cosa bella è che puoi trasformare la crittografia del disco su un disco completo, e tutto sarà fatto a tuo piacimento (puoi spegnerlo, portarlo a posto, ecc. E tutto continuerà).

    
risposta data 21.07.2011 - 06:02
fonte
9

Password meno account "Guest" non possono più essere creati poiché l'intero disco è crittografato rispetto alla sola directory home dell'utente. È triste che non sia riuscito a trovare alcuna informazione sull'articolo kb di Apple su questo.

    
risposta data 22.07.2011 - 08:46
fonte
7

Il nuovo Filevault sembra mettere meno restrizioni su di te rispetto alla vecchia versione. Ad esempio, non è necessario disconnettersi perché la macchina del tempo funzioni, e tutti i daemon di condivisione sembrano funzionare correttamente (alcuni di questi sono stati disabilitati se il file default era abilitato se ricordo correttamente. reso il mio laptop un po 'inutile come piattaforma di sviluppo per applicazioni web :)).

Un problema con Filevault 2 è che non è possibile eseguire l'ssh su una macchina finché non si è immessa una password localmente, poiché il processo di avvio non può iniziare finché l'unità crittografata non è stata sbloccata.

    
risposta data 20.07.2011 - 23:43
fonte
4
  • Supporta AES-NI che scarica la crittografia e decrittografia su CPU supportate (alcuni core i5 e i7).
  • È possibile memorizzare la chiave di crittografia con Apple.

Sono sicuro che ce ne sono altri. Questo articolo di supporto Apple dovrebbe rispondere al resto delle tue domande.

link

    
risposta data 20.07.2011 - 23:07
fonte
4

FileVault 2 Gli errori LVG potrebbero essere irreparabili

Dalla pagina di manuale per fsck_cs :

The fsck_cs utility verifies and repairs CoreStorage logical volume group metadata.

...

BUGS

fsck_cs does not perform an exhaustive validation, nor is it able to fix many of the inconsistencies that it does detect.

Problemi con FileVault 1

fsck_hfs (utilizzato da Utility Disco ) è stato sviluppato per più di dieci anni ed è in grado di riparare la maggior parte dei problemi con JHFS + come usato da FileVault 1.

Se dovessi riscontrare un problema che fsck_hfs non può riparare, esistono più utilità di terze parti alternative.

Problemi di archiviazione di base con FileVault 2

fsck_cs (usato anche da Utility Disco) è apparso per la prima volta insieme a CoreStorage in Mac OS X 10.7.0. Le incoerenze possono essere irreparabili.

In assenza di alternative a fsck_cs

Se l'errore LVG si verifica e fsck_cs non può effettuare le riparazioni necessarie, il volume di avvio non verrà attivato. In questa situazione è possibile riformattare il disco in modo distruttivo e reinstallare Mac OS X. (L'utilizzo di Recovery OS Time Machine da solo non fornisce l'Apple_Boot Recovery HD necessario per FileVault 2.)

    
risposta data 06.10.2011 - 20:30
fonte
3

Uno svantaggio che posso vedere è che prima potevi crittografare i singoli account utente, mentre ora puoi solo crittografare l'intero disco. Se si cripta l'intero disco, è necessario anche decrittografare l'intero disco ogni volta che si utilizza il computer. Ciò significa che una volta avviato il computer, l'intero disco è accessibile al malware, mentre prima era possibile accedere (e presto di nuovo uscire) a account di sicurezza specifici separatamente.

Suppongo che tu possa ancora usare immagini disco crittografate su FileVault per dati davvero importanti.

Un altro problema potrebbe essere Time Machine. Mentre prima che le directory degli utenti di FileVault venissero memorizzate anche nel volume di backup, non sembra più il caso.

Qualcuno sa se Time Machine ora supporta anche la crittografia dell'intero disco (dai report fino ad ora sembra non essere abilitato per le unità esterne, almeno non tramite la GUI)?

Aggiornamento: Apparentemente, Time Machine non supporta la crittografia dell'intero disco: I volumi Time Machine possono essere facilmente crittografati con FileVault 2?

    
risposta data 22.07.2011 - 06:32
fonte
2

Per più amministratori: FileVault 2 da solo è meno sicuro di FileVault 1

Simile alla risposta offerta da Thilo. Questa logica si applica a qualsiasi computer con due o più amministratori.

FileVault 1 in Snow Leopard e in Lion

C'è un buon livello di sicurezza per impedire a una persona senza la password principale di accedere ai dati di altre persone.

FileVault 2 solo

Qualsiasi amministratore può visualizzare, copiare, modificare tutti i dati di altri utenti.

Esempio

Due business partner condividono un computer, entrambi amministratori. Uno dei due partner potrebbe voler mantenere qualcosa di privato. Il partner che detiene la password principale, che desidera mantenere qualcosa di privato, non fornisce tale password all'altro partner.

Con FileVault 2 da solo in tali scenari, la sicurezza e la privacy sono facilmente ignorati - sudo viene subito in mente.

di confronto

ZFS crittografia in Oracle Solaris , che può essere applicata alle home directory degli utenti.

Soluzione

Se un utente di FileVault 2 nella situazione sopra richiede la sicurezza extra, quella persona può:

  1. aggiungi un disco separato, interno o esterno
  2. su quel disco, avere un volume logico crittografato Core Storage (LV) con una password del disco che differisce da entrambi (a) la password del disco per il volume di avvio del sistema operativo e (b) tutte le password utente per il volume di avvio
  3. memorizza la loro directory home su LV sul disco separato
  4. abbina la password del proprio account utente alla password del disco per LV.

In alternativa, quella persona potrebbe usare solo una parte di un disco esistente ... ma la gestione delle partizioni all'interno e intorno al mondo coreStorage è difficile , quindi per una semplicità a lungo termine: consiglierei l'investimento in un disco aggiuntivo / separato.

/ var / cartelle

Aspettati che alcuni dati utente vengano scritti in una sottodirectory di /private/var/folders - tutti gli amministratori avranno accesso a questi dati. Una soluzione per questo è oltre lo scopo di questa domanda.

    
risposta data 04.08.2011 - 15:35
fonte
1

La gestione delle partizioni all'interno e intorno al mondo coreStorage è difficile

Per un disco che utilizza FileVault 2 - o qualsiasi altra applicazione di Core Storage - potrebbe essere impossibile aggiungere o ridimensionare le partizioni usando Utility Disco.

In Super User:

  • una risposta in Come ridimensionare una partizione crittografata FileVault 2?
  • una risposta in < strong> Crea nuova partizione sul volume crittografato in OS X Lion .

Aspettati Apple diskutil (8) Pagina del manuale Mac OS X da aggiornare per il 10.7 a tempo debito. Nel frattempo, se hai già installato Lion, leggi la pagina man di Terminal.

    
risposta data 04.08.2011 - 16:11
fonte
1

FileVault 1 può essere disabilitato per le persone

Per ogni utente che utilizza FileVault 1:

  • Le Preferenze di Sistema ti permettono di disabilitare FileVault solo per quell'utente, a condizione che ci sia spazio libero sufficiente.

Gli utenti abilitati di FileVault 2 non possono essere disabilitati

In Mac OS X 10.7 (Build 11A511) puoi consentire a un utente di sbloccare il volume di avvio, ma una volta attivato:

  • quell'utente da solo non può essere disattivato
  • solo FileVault 2 nella sua interezza può essere disabilitato.

Disabilita la capacità di un utente di sbloccare un volume FileVault 2 all'avvio / tempo di accesso

    
risposta data 08.08.2011 - 18:10
fonte
1

Lion Recovery Disk Assistant non ha il supporto per FileVault 2

La versione 1.0 dell'assistente utilizzata con FileVault 2 in Mac OS X 10.7 (Build 11A511) produce un SO di ripristino su un'unità flash USB. Tuttavia:

  • il computer non può essere avviato da quel sistema operativo di ripristino.

Ho trovato questo problema con due computer diversi.

    
risposta data 26.08.2011 - 10:48
fonte
0

Impatto su FileVault 1 sulle prestazioni

Nella mia esperienza, l'impatto è generalmente accettabile. Mi piacerebbe vedere benchmark rilevanti.

Confronto delle prestazioni

In Chiedi diverso: Velocità della vecchia crittografia di Filevault rispetto a quella di un nuovo Lion completo

L'impatto di FileVault 2 sulle prestazioni

Apple suggerisce:

FileVault 2 encrypts and decrypts your data on the fly with an imperceptible performance impact.

- pagina cache 2011- 07-28 .

AnandTech - Torna al Mac: Esame di OS X 10.7 Lion: le prestazioni di FileVault osservano:

… Overall the hit on pure I/O performance is in the 20 - 30% range. It's noticeable but not big enough to outweigh the benefits of full disk encryption. …

Vorrei che i revisori di AnandTech valutassero le cose in modo più ampio, includendo almeno:

  • FileVault 1 al posto di FileVault 2.

Altre osservazioni su CPU, kernel_task e cetera in Re: [Fed-Talk] Lion FileVault (2011-07-22) ( mette in evidenza ).

    
risposta data 04.08.2011 - 15:59
fonte
0

FileVault 2 impedisce il riavvio remoto

Non aspettarti l'accesso remoto alla finestra di accesso EFI.

    
risposta data 04.08.2011 - 15:52
fonte
0

La disattivazione di FileVault 1 potrebbe peggiorare le prestazioni

Due volumi di dimensioni ragionevoli (una home directory), con un buon set di B-tree, sono probabilmente più facili da gestire per il sistema - e quasi sicuramente hanno un rendimento migliore - di un singolo volume colossale con attributi e catalogo B- alberi che sono sovradimensionati e frammentati.

Spiegazione

FileVault 1 utilizza bande di dimensioni ottimizzate.

A seconda del contenuto di una home directory, l'abbandono di tali bande a favore di un numero maggiore di file più piccoli può aumentare significativamente le dimensioni e la frammentazione delle seguenti aree critiche del volume di avvio:

  • attributi B-tree
  • catalogo B-tree
  • estende B-tree.

Gli alberi B ingranditi possono essere inaspettatamente problematici

Ciò che segue è debatably oltre lo scopo della domanda di apertura, e relativamente tecnico, ma per qualsiasi utente di un computer con (a) memoria limitata e (b) un numero considerevole di file all'interno e all'esterno della loro home directory, vale la pena pensando prima di abbandonare FileVault 1.

Se la somma delle dimensioni degli alberi B è eccessiva e se è necessaria una riparazione, le utilità di terze parti sul computer potrebbero non essere in grado di riparare il danno.

Se un volume è irreparabile da fsck_hfs - ovviamente usando Disk Utility, meno ovviamente ogni volta che il sistema incontra un file system sporco - un utente può rivolgersi a un'utility di terze parti rispettata.

Esempio

Ho riscontrato una situazione in cui la somma delle dimensioni degli alberi B, in relazione alla memoria fisica, era troppo grande per un'utility di terze parti per funzionare come richiesto per un Core Storage crittografato volume di backup che era irreparabile per fsck_hfs . Poiché il mio MacBookPro5,2 non può richiedere più di 8 GB, quindi per un po 'di tempo questo volume è stato letto solo.

Potrei aver preso il volume, con o senza il computer, da un fornitore di servizi per attirare l'attenzione in un ambiente con più memoria. Tuttavia, per motivi di sicurezza, non dovrei fornire a terze parti, per quanto affidabili, la passphrase o la chiave per alcuni tipi di volume.

Alla fine e inaspettatamente il fsck_hfs in Lion ha riparato il volume senza me usando Utility Disco, probabilmente grazie a me sperimentalmente (rischioso?) rimuovendo il volume dal mondo coreStorage (ripristinando, convertendo completamente indietro ) mentre si trova nello stato irreparabile e leggibile . Questo è stato un risultato piacevole per me, e un pollice in su per Apple per le qualità e le capacità di 10.7 (Build 11A511), ma questo dovrebbe servire come precauzione per gli altri lettori.

    
risposta data 04.08.2011 - 15:55
fonte
0

Alcune installazioni non possono utilizzare FileVault 2

Non tutte le installazioni di Lion ottengono il% nascostoApple_Boot Recovery HD richiesto per FileVault 2 - OS X Lion: "Alcune funzioni di Mac OS X Lion non sono supportate per il disco (nome volume)" viene visualizzato durante l'installazione (2011-07-21).

… You won't be able to use FileVault …

Se ciò accade, e se hai abbandonato FileVault 1 prima dell'aggiornamento a Lion, il tuo Mac con Lion sarà meno sicuro .

Il consiglio pubblicato da Macworld prima del rilascio di Lion continua a consigliare agli utenti di disabilita FileVault 1 prima di installando Lion. È piuttosto insolito che Macworld dia consigli che siano controversi, ma in questo caso non sono d'accordo.

    
risposta data 04.08.2011 - 15:50
fonte
0

Lion rende le case di FileVault 1 meno facili da creare

È più facile creare la casa di FileVault 1 in Snow Leopard prima di passare a Lion.

Se senza Snow Leopard: puoi usare Lion per creare la casa, ma ci sono alcuni passaggi per la routine.

Dopo aver disabilitato Filevault 1, è possibile abilitarlo di nuovo in Lion?

    
risposta data 04.08.2011 - 15:51
fonte
0

Combinando FileVault 2 con FileVault 1, puoi avere un doppio livello di sicurezza. Si noti che ciò causerà problemi con TimeMachine e la condivisione. Pertanto, questa sicurezza a doppio strato è consigliabile solo per un account in cui TimeMachine è disattivato!

Sul mio computer, ho un account di lavoro quotidiano, un account FileVault 1 (escluso da TimeMachine) e un account amministratore. Quando ho attivato FileVault 2 dal mio account di lavoro di tutti i giorni (utilizzando la password dell'account amministratore), mi aspettavo che FileVault 1 sparisse perché Apple dice in OS X Lion: About FileVault 2 : «Se disattivi Legacy FileVault, la scheda Legacy FileVault scomparirà e potrai quindi scegliere di abilitare OS X Lion's FileVault 2».

Quando FileVault 2 era tutto pronto, sono rimasto molto sorpreso dal fatto che il mio FileVault 1 continuasse ad avere la crittografia di FileVault 1. Così ho avuto una doppia sicurezza: un account FileVault 1 legacy all'interno di un computer FileVault 2. Tutto ciò di cui avevo bisogno era un account non FileVault 1 da cui attivare FileVault 2.

Alla fine, ho disattivato FileVault 2 di nuovo. Mi piace poter accedere al filesystem OS X dal sistema Windows Bootcamp. Con FileVault 2, non era più possibile. Conservo ancora l'account FileVault 1 e continua a funzionare bene, anche in 10.8.1.

    
risposta data 13.11.2011 - 21:08
fonte

Leggi altre domande sui tag