Помимо возможности зашифровать весь том, каковы другие отличия FileVault 2 от FileVault?

17

Есть ли у FileVault 2 в Lion какие-либо другие отличия от старой версии FileVault в предыдущих выпусках системы? Есть ли дополнительные преимущества использования новой версии?

Арон Роттвил
источник

Ответы:

7

Заимствование сильно из обзора Льва Джона Сиракузы ...

FileVault 2 - это система шифрования всего диска, а не просто решение «хранить домашнюю папку в зашифрованном виде на диске». Он реализован как слой файловой системы ниже фактического тома, который вы разблокируете во время загрузки системы. Если вы знакомы с LVM , то примерно так же. Всякий раз, когда вы преодолеваете блокировку паролем, все выглядит одинаково для остальной системы.

Как упомянул Стив, работе по шифрованию могут помочь специальные инструкции процессора, и она работает исключительно в фоновом режиме. Что приятно, вы можете включить шифрование диска на полном диске, и все будет сделано в свободное время (вы можете выключить его, восстановить и т. Д., И все будет продолжаться).

yuriismaster
источник
9

Пароль без учета гостевых учетных записей больше не может быть создан, поскольку весь диск зашифрован, а не только домашний каталог пользователя. Грустно, что я не смог найти никакой информации в статье о КБ в Apple по этому поводу.

Сайрам
источник
3
Вау, это довольно большая разница, которая осталась незамеченной для меня! Это действительно имеет большое влияние на стратегии восстановления воровства, которые рекомендуют создать гостевую учетную запись без пароля.
Арон Роттвил
@Aron Но вы все равно можете настроить гостевую учетную запись с подсказкой пароля в виде открытого текста.
Асмус
2
@ Asmus, конечно, но это сделало бы Filevault совершенно бесполезным.
Арон Роттвил
@ Арон, но как это небезопасно, чем раньше был «старый метод»? Учетная запись «без пароля» остается такой же, как когда вы говорите гостю пароль ?!
Асмус
2
Очевидно, тот факт, что диск полностью зашифрован любым логином пользователя, делает гостевой логин бесполезным, когда вы используете его в качестве инструмента для кражи. В большинстве случаев лучшим решением будет Filevault 1
Aron Rotteveel,
7

Новый Filevault, кажется, накладывает на вас гораздо меньше ограничений, чем старая версия. Например, вам не нужно выходить из системы, чтобы машина времени работала, и все демоны общего доступа работают нормально (некоторые из них были отключены, когда ошибка файла была включена, если я правильно помню. Я думаю, что среди них был общий доступ к сети, что сделал мой ноутбук немного бесполезным в качестве платформы для разработки веб-приложений :)).

Одна из проблем, связанных с Filevault 2, заключается в том, что вы не можете подключиться к компьютеру по ssh, пока не введете пароль локально, поскольку процесс запуска не может начаться до тех пор, пока зашифрованный диск не будет разблокирован.

GordonM
источник
«Вам не нужно выходить из системы, чтобы машина времени работала, например, и все демоны совместного использования работают нормально»: OTOH это, вероятно, означает, что резервные копии Time Machine теперь больше не шифруются, а общие демоны (и вредоносные программы) Теперь можно также добраться до файлов.
Тило
Резервные копии Time Machine должны быть зашифрованы отдельно, но это все же возможно. Это можно сделать в «Настройках Time Machine»> «Выбрать диск»> «Флажок» для шифрования диска,
Gauzy
4
  • Он поддерживает AES-NI, который снимает с себя шифрование и дешифрование на поддерживаемых процессорах (некоторые ядра i5 и i7).
  • Вы можете хранить свой ключ шифрования в Apple.

Я уверен, что есть несколько других. Эта статья поддержки Apple должна ответить на остальные ваши вопросы.

http://support.apple.com/kb/HT4790

Стив Мозер
источник
В случае, если кто-то не знает, почему это полезно, поддержка AES-NI означает более низкую загрузку ЦП для лучшей производительности и времени автономной работы.
JMK
4

Сбои FileVault 2 LVG могут быть непоправимыми

Со страницы руководства дляfsck_cs :

Утилита fsck_cs проверяет и восстанавливает метаданные группы логических томов CoreStorage.

...

ОШИБКИ

fsck_cs не выполняет исчерпывающую проверку и не может исправить многие обнаруженные несоответствия.

Проблемы с FileVault 1

fsck_hfs (используется Дисковой утилитой) разрабатывался более десяти лет и способен исправлять большинство проблем с JHFS +, используемых FileVault 1.

Если вы столкнулись с проблемой, которая fsck_hfs которую не удалось исправить, существует несколько альтернативных сторонних утилит.

Основные проблемы с хранилищем в FileVault 2

fsck_cs(также используется Дисковой утилитой) впервые появился вместе с CoreStorage в Mac OS X 10.7.0. Несоответствия могут быть непоправимыми.

При отсутствии альтернативы fsck_cs

Если происходит сбой LVG и fsck_csне удается выполнить необходимый ремонт, то загрузочный том не будет подключен. В этой ситуации вы можете деструктивно переформатировать диск и переустановить Mac OS X. (Использование только Time Machine для восстановления ОС не обеспечит Apple_Boot Recovery HD, необходимый для FileVault 2.)

Грэм Перрин
источник
3

Я вижу один недостаток: раньше вы могли зашифровать отдельные учетные записи пользователей, тогда как теперь вы можете зашифровать только весь диск. Если вы шифруете весь диск, вам также придется расшифровывать весь диск каждый раз, когда вы используете компьютер. Это означает, что после загрузки компьютера весь диск становится доступным для вредоносных программ, тогда как до того, как вы сможете войти (и вскоре снова выйдете) в учетные записи, критичные для безопасности, отдельно.

Я полагаю, что вы все еще можете использовать зашифрованные образы дисков поверх FileVault для действительно важных данных.

Другая проблема может быть Time Machine. Если раньше пользовательские каталоги FileVault также хранились в зашифрованном виде на томе резервной копии, то, похоже, это уже не так.

Кто-нибудь знает, поддерживает ли теперь Time Machine шифрование всего диска (из отчетов на данный момент он не включен для внешних дисков, по крайней мере, через графический интерфейс)?

Обновление. Очевидно, что Time Machine не поддерживает шифрование всего диска. Можно ли легко зашифровать тома Time Machine с помощью FileVault 2?

Тило
источник
1
Если мы делаем различие между диском и логического тома : Time Machine не может использовать весь диск шифрования, но и для шифрования Time Machine делает применять Ядро хранения полное шифрование диска (FDE) (как это описано на странице руководства для diskutil) в целом тома резервной копии.
Грэм Перрин
2

Для нескольких администраторов: один FileVault 2 менее безопасен, чем FileVault 1 

Аналогично ответу, предложенному Тило. Эта логика применима к любому компьютеру с двумя или более администраторами.

FileVault 1 в снежном барсе и льве

Существует хороший уровень безопасности, чтобы предотвратить доступ к данным других лиц лицу без мастер-пароля.

FileVault 2 один

Любой администратор может просматривать, копировать, редактировать данные всех других пользователей.

пример

Два деловых партнера совместно используют компьютер, оба являются администраторами. Один из двух партнеров может захотеть сохранить что-то личное. Партнер, имеющий главный пароль, который хочет сохранить что-то в секрете, не передает этот пароль другому партнеру.

С FileVault 2 в таких сценариях безопасность и конфиденциальность легко игнорируются - sudo сразу приходит на ум.

сравнение

Шифрование ZFS в Oracle Solaris , которое может применяться к домашним каталогам пользователей.


Временное решение

Если пользователь FileVault 2 в описанной выше ситуации требует дополнительной безопасности, он может:

  1. добавить отдельный диск, внутренний или внешний
  2. на этом диске есть зашифрованный логический том (LV) Core Storage с парольным паролем, который отличается от (а) пароля диска для загрузочного тома ОС и (б) всех пользовательских паролей для загрузочного тома
  3. хранить их домашний каталог на LV на отдельном диске
  4. сопоставьте пароль для своей учетной записи с паролем диска для LV.

В качестве альтернативы, этот человек может использовать только часть существующего диска ... но управление разделами в мире coreStorage и вокруг него затруднено , поэтому для долгосрочной простоты: я бы рекомендовал вложить деньги в дополнительный / отдельный диск.


/ вар / папки

Ожидайте, что некоторые пользовательские данные будут записаны в подкаталог /private/var/folders- все администраторы будут иметь доступ к этим данным. Решение этого вопроса выходит за рамки этого вопроса.

Грэм Перрин
источник
Я согласен, что FileVault 1 был лучше для многопользовательского компьютера, где вы хотели отделить их друг от друга, но я думаю, что даже с FileVault 1 системный администратор всегда мог расшифровать хранилище любого другого пользователя.
Тило
@Thilo в FileVault 1, единственный принятый способ разблокировки чьего-либо хранилища был с мастер-паролем, который никогда не предоставлялся автоматически всем администраторам. Я отредактировал свой ответ, чтобы сделать это более понятным. Спасибо за быстрое
Грэм Перрин
1
Для большей безопасности: раздел для домашнего каталога одного пользователя может быть вырезан с диска, который будет использоваться для установки OS X - до установки ОС. См., Например, Шифрование загрузочного тома с помощью Core Storage без FileVault . Однако это не может быть выполнено с помощью интерфейса системных настроек Apple, связанного с FileVault 2, и, что важно, если позднее будет обнаружено, что раздел слишком мал, будет невозможно уменьшить или увеличить любой зашифрованный раздел .
Грэм Перрин
1

Управление разделами в мире coreStorage и вокруг него затруднено

Для диска, который использует FileVault 2 - или любое другое приложение Core Storage - может быть невозможно добавить или изменить размер разделов с помощью Дисковой утилиты.

В Super User:

  • ответ в разделе Как изменить размер зашифрованного раздела FileVault 2?
  • ответ в разделе Создать новый раздел на зашифрованном томе в OS X Lion .

Ожидайте, что Apple, diskutil (8) Mac OS X Manual Page будет обновлен до 10.7 в должное время. В то же время, если вы уже установили Lion, прочитайте справочную страницу в терминале.

Грэм Перрин
источник
1

FileVault 1 может быть отключен для физических лиц

Для любого пользователя, который использует FileVault 1:

  • Системные настройки позволяют отключить FileVault только для этого пользователя при условии, что на нем достаточно свободного места.

Включенные пользователи FileVault 2 не могут быть отключены

В Mac OS X 10.7 (сборка 11A511) вы можете разрешить пользователю разблокировать загрузочный том, но после включения:

  • этот пользователь один не может быть отключен
  • только FileVault 2 полностью может быть отключен.

Отключить возможность пользователя разблокировать том FileVault 2 во время запуска / входа в систему

Грэм Перрин
источник
1

В Lion Recovery Disk Assistant отсутствует поддержка FileVault 2

Версия 1.0 помощника, используемого с FileVault 2 в Mac OS X 10.7 (сборка 11A511), создает ОС восстановления на флэш-накопителе USB. Тем не мение:

  • компьютер не может загрузиться с этой операционной системы восстановления.

Я нашел эту проблему с двумя разными компьютерами.

Грэм Перрин
источник
0

Влияние FileVault 1 на производительность

По моему опыту, воздействие обычно является приемлемым. Я хотел бы видеть соответствующие ориентиры.

Сравнение производительности

In Ask Different: скорость старого Filevault против нового полного шифрования диска Lion

  • мой ответ там (работа в процессе) включает в себя некоторые технические данные.

Влияние FileVault 2 на производительность

Apple предлагает:

FileVault 2 шифрует и дешифрует ваши данные на лету с незаметным влиянием на производительность.

- страница кэширована 2011-07-28 .

AnandTech - Возвращение к Mac: обзор OS X 10.7 Lion: производительность FileVault :

… В целом удар по чистой производительности ввода / вывода находится в диапазоне 20-30% . Это заметно, но недостаточно, чтобы перевесить преимущества полного шифрования диска. ...

Я бы хотел, чтобы рецензенты AnandTech снова взвесили вещи более широко, включая, по крайней мере:

  • FileVault 1 вместо FileVault 2.

Больше наблюдений за CPU, kernel_task и так далее в Re: [Fed-Talk] Lion FileVault (2011-07-22) ( основные моменты ).

Грэм Перрин
источник
0

FileVault 2 предотвращает удаленный перезапуск

Не ожидайте удаленного доступа к окну входа в систему EFI.

Грэм Перрин
источник
Я изменил ваш стиль на что-то более читаемое.
Лоик Вольф
@ Уровни заголовков Loïc 1, 2 и 3 кажутся нормой, например. Какая крошечная вещь во Льве заставляет вас улыбаться или застала вас врасплох? - есть ли мета-вопрос для ответа на использование стиля? А пока, пожалуйста, воздержитесь от редактирования других - спасибо.
Грэм Перрин
1
Это было только для того, чтобы сделать ответ более читабельным, h1 хорош для коротких заголовков, но не для длинных фраз, IMO. Не стесняйтесь откатиться, если вы предпочитаете старый стиль.
Лоик Вольф
3
@Graham, это сайт сообщества, основанный на редактировании постов друг друга . В заголовках нет ничего плохого, но, если честно, я считаю, что вам очень трудно читать сообщения.
Арон Роттвил
@ Арон, пожалуйста, не стесняйтесь редактировать контент, чтобы улучшить читаемость. Я мог бы откатиться или отредактировать внимательно. Я оставлю три уровня заголовка хотя бы в одном из ответов. В настоящее время перехода на Ask Different информации , которая была первоначально разработана вокруг identi.ca/conversation/77065575#notice-79879336 ...
Graham Перрин
0

Отключение FileVault 1 может ухудшить производительность

Два тома разумного размера (один домашний каталог) с хорошим набором B-деревьев, вероятно, проще в управлении системой и почти наверняка работают лучше, чем один колоссальный том с атрибутами и B-деревьями каталога, которые негабаритный и фрагментированный.

объяснение

FileVault 1 использует полосы оптимизированного размера.

В зависимости от содержимого домашнего каталога, отказ от этих полос в пользу большего числа файлов меньшего размера может значительно увеличить размеры и фрагментацию следующих критических областей загрузочного тома:

  • атрибуты B-дерева
  • каталог B-дерево
  • экстенты B-дерево.

Увеличение B-деревьев может быть неожиданно проблематичным

То, что следует, выходит за рамки вступительного вопроса и является относительно техническим, но для любого пользователя компьютера с (а) ограниченной памятью и (б) значительным количеством файлов внутри и вне их домашнего каталога, стоит подумать, прежде чем отказ от FileVault 1.

Если сумма размеров B-деревьев слишком велика, и если требуется ремонт, сторонние утилиты на вашем компьютере могут быть не в состоянии исправить повреждение.

Если том не подлежит восстановлению с помощью fsck_hfs - наиболее очевидно, с использованием Дисковой утилиты, менее очевидно, когда система сталкивается с грязной файловой системой - пользователь может обратиться к уважаемой сторонней утилите.

пример

Я столкнулся с ситуацией, когда сумма размеров B-деревьев - по отношению к физической памяти - была слишком велика для сторонней утилиты, чтобы работать так, как требуется для зашифрованного тома резервного копирования Core Storage, который был непоправимым fsck_hfs. Поскольку мой MacBookPro5,2 может занимать не более 8 ГБ, поэтому в течение некоторого времени этот том был только для чтения.

Я мог бы передать том, с компьютером или без него, поставщику услуг для внимания в среде с большим объемом памяти. Однако в целях безопасности я не должен предоставлять какой-либо третьей стороне - как бы ей ни доверяли - фразу-пароль или ключ для некоторых типов томов.

В конечном итоге и неожиданно fsck_hfsв Lion удалось восстановить том без моего участия с помощью Дисковой утилиты, возможно, благодаря моему экспериментальному (рискованному?) Удалению тома из мира coreStorage (возврат, полное преобразование в обратном направлении), находясь в непоправимом состоянии и состоянии чтения . Это был приятный результат для меня, и спасибо Apple за качество и возможности 10.7 (Build 11A511), но это должно послужить предостережением для других читателей.

Грэм Перрин
источник
Я не понимаю, что такое «отказ от групп по сравнению с множеством маленьких файлов». Хотя шифрование File Vault 2 происходит ниже уровня файловой системы, на уровне блоков и, следовательно, не должно вести себя иначе, чем в незашифрованном HFS + относительно B-деревьев.
Тило
@ Thilo, не задумываясь об уровнях или шифровании: подумайте о количестве файлов . Крайний пример: добавьте один миллион 80 КБ файлов на том, а затем удалите 10 000 полос по 8 МБ. Добавление миллиона файлов может увеличить размеры атрибутов и B-деревьев каталога, возможно, совпадая с фрагментацией одного или обоих, что никогда не сказывается на производительности. Последующее удаление меньшего количества файлов не может сопровождаться уменьшением размера до любого B-дерева.
Грэм Перрин
Но разве у вас не будет такого же миллиона файлов в B-дереве на HFS + внутри образа диска? Может быть, я что-то неправильно понимаю. Во всяком случае, я думаю, что я знаю, что вы имеете в виду. Речь идет вовсе не о шифровании или FileVault, а об «разбиении» файловой системы с помощью образов дисков, потому что вы не доверяете HFS + в управлении миллионами файлов, верно?
Тило
Я делать доверие JHFS + (с журналирования) со многими миллионами файлов - в настоящее время 4062789 файлов и папок 438,294 по объему запуска моего MacBookPro 5,2 - 3,151,819 файлов на PowerPC Xserve, части которого служат рабочей группе - и так далее. Мои ответы на этот вопрос возникли в результате совместной работы, проводимой в других местах; этот ответ, в частности, нуждается в некотором внимании , вероятно, ниже вводного заголовка. Смотрите это место и присоединяйтесь ко мне в редактировании. Еще раз спасибо за подсказку ...
Грэм Перрин
0

Некоторые установки не могут использовать FileVault 2

Не все установки Lion получают скрытый Apple_Boot Recovery HD, который требуется для FileVault 2 - OS X Lion: «Некоторые функции Mac OS X Lion не поддерживаются для диска (имя тома)», появляется во время установки (2011-07-21) ,

... Вы не сможете использовать FileVault ...

Если это произойдет - и если вы отказались от FileVault 1 перед обновлением до Lion, ваш Mac с Lion будет менее безопасным .

Советы , опубликованные Macworld до выхода Lion продолжает советовать пользователям отключить FileVault 1  Перед установкой Lion. Для Macworld весьма необычно давать советы, которые являются спорными, но в этом случае я категорически не согласен.

Грэм Перрин
источник
0

Lion делает дома FileVault 1 менее простыми в создании

Проще всего создать домашнее хранилище FileVault 1 в Snow Leopard перед обновлением до Lion.

Если без Snow Leopard: вы можете использовать Lion для создания дома, но есть несколько шагов к рутине.

После отключения Filevault 1 можно ли снова включить его в Lion?

Грэм Перрин
источник
0

Комбинируя FileVault 2 с FileVault 1, вы можете обеспечить двухуровневую защиту. Обратите внимание, что это вызовет проблемы с TimeMachine и совместным использованием. Таким образом, эта двухуровневая защита рекомендуется только для учетной записи, в которой TimeMachine отключен!

На моем компьютере есть рабочая учетная запись для повседневной работы, учетная запись FileVault 1 (исключена из TimeMachine) и учетная запись администратора. Когда я активировал FileVault 2 из своей повседневной рабочей учетной записи (используя пароль учетной записи администратора), я ожидал, что FileVault 1 исчезнет, ​​потому что Apple говорит в OS X Lion: о FileVault 2 : «Если вы отключите Legacy FileVault, вкладка Legacy FileVault исчезнет и затем вы можете включить OS X Lion's FileVault 2 ».

Когда FileVault 2 был полностью настроен, я был очень удивлен, что мой FileVault 1 продолжал иметь шифрование FileVault 1. Таким образом, у меня была двухуровневая защита: устаревшая учетная запись FileVault 1 на компьютере FileVault 2. Все, что мне было нужно, это не учетная запись FileVault 1, откуда включить FileVault 2.

В конце концов я снова отключил FileVault 2. Мне нравится возможность доступа к файловой системе OS X из системы Bootcamp Windows. С FileVault 2 это было уже невозможно. Я все еще сохраняю учетную запись FileVault 1, и она продолжает работать нормально, даже в 10.8.1.

маш
источник
Вы также получаете все недостатки FV1, такие как проблемы с TimeMachine, совместное использование доступа (или, скорее, отсутствия доступа) и т. Д. Лучшее решение (если вам действительно нужен небольшой дополнительный уровень безопасности) - это, вероятно, зашифровать диск с помощью FV2 и добавить небольшой image / dmg для действительно чувствительных вещей.
nohillside
Это, конечно, правда. Это не влияет на меня, так как я отключил TimeMachine для этой учетной записи и не делюсь им. Я редактирую ответ соответственно.
маш