Есть ли у FileVault 2 в Lion какие-либо другие отличия от старой версии FileVault в предыдущих выпусках системы? Есть ли дополнительные преимущества использования новой версии?

Заимствование сильно из обзора Льва Джона Сиракузы ...

FileVault 2 - это система шифрования всего диска, а не просто решение «хранить домашнюю папку в зашифрованном виде на диске». Он реализован как слой файловой системы ниже фактического тома, который вы разблокируете во время загрузки системы. Если вы знакомы с LVM , то примерно так же. Всякий раз, когда вы преодолеваете блокировку паролем, все выглядит одинаково для остальной системы.

Как упомянул Стив, работе по шифрованию могут помочь специальные инструкции процессора, и она работает исключительно в фоновом режиме. Что приятно, вы можете включить шифрование диска на полном диске, и все будет сделано в свободное время (вы можете выключить его, восстановить и т. Д., И все будет продолжаться).

Пароль без учета гостевых учетных записей больше не может быть создан, поскольку весь диск зашифрован, а не только домашний каталог пользователя. Грустно, что я не смог найти никакой информации в статье о КБ в Apple по этому поводу.

Новый Filevault, кажется, накладывает на вас гораздо меньше ограничений, чем старая версия. Например, вам не нужно выходить из системы, чтобы машина времени работала, и все демоны общего доступа работают нормально (некоторые из них были отключены, когда ошибка файла была включена, если я правильно помню. Я думаю, что среди них был общий доступ к сети, что сделал мой ноутбук немного бесполезным в качестве платформы для разработки веб-приложений :)).

Одна из проблем, связанных с Filevault 2, заключается в том, что вы не можете подключиться к компьютеру по ssh, пока не введете пароль локально, поскольку процесс запуска не может начаться до тех пор, пока зашифрованный диск не будет разблокирован.

• Он поддерживает AES-NI, который снимает с себя шифрование и дешифрование на поддерживаемых процессорах (некоторые ядра i5 и i7).
• Вы можете хранить свой ключ шифрования в Apple.

Я уверен, что есть несколько других. Эта статья поддержки Apple должна ответить на остальные ваши вопросы.

http://support.apple.com/kb/HT4790

Сбои FileVault 2 LVG могут быть непоправимыми

Со страницы руководства дляfsck_cs :

Утилита fsck_cs проверяет и восстанавливает метаданные группы логических томов CoreStorage.

...

ОШИБКИ

fsck_cs не выполняет исчерпывающую проверку и не может исправить многие обнаруженные несоответствия.

Проблемы с FileVault 1

fsck_hfs (используется Дисковой утилитой) разрабатывался более десяти лет и способен исправлять большинство проблем с JHFS +, используемых FileVault 1.

Если вы столкнулись с проблемой, которая fsck_hfs которую не удалось исправить, существует несколько альтернативных сторонних утилит.

Основные проблемы с хранилищем в FileVault 2

fsck_cs(также используется Дисковой утилитой) впервые появился вместе с CoreStorage в Mac OS X 10.7.0. Несоответствия могут быть непоправимыми.

При отсутствии альтернативы fsck_cs

Если происходит сбой LVG и fsck_csне удается выполнить необходимый ремонт, то загрузочный том не будет подключен. В этой ситуации вы можете деструктивно переформатировать диск и переустановить Mac OS X. (Использование только Time Machine для восстановления ОС не обеспечит Apple_Boot Recovery HD, необходимый для FileVault 2.)

Я вижу один недостаток: раньше вы могли зашифровать отдельные учетные записи пользователей, тогда как теперь вы можете зашифровать только весь диск. Если вы шифруете весь диск, вам также придется расшифровывать весь диск каждый раз, когда вы используете компьютер. Это означает, что после загрузки компьютера весь диск становится доступным для вредоносных программ, тогда как до того, как вы сможете войти (и вскоре снова выйдете) в учетные записи, критичные для безопасности, отдельно.

Я полагаю, что вы все еще можете использовать зашифрованные образы дисков поверх FileVault для действительно важных данных.

Другая проблема может быть Time Machine. Если раньше пользовательские каталоги FileVault также хранились в зашифрованном виде на томе резервной копии, то, похоже, это уже не так.

Кто-нибудь знает, поддерживает ли теперь Time Machine шифрование всего диска (из отчетов на данный момент он не включен для внешних дисков, по крайней мере, через графический интерфейс)?

Обновление. Очевидно, что Time Machine не поддерживает шифрование всего диска. Можно ли легко зашифровать тома Time Machine с помощью FileVault 2?

Для нескольких администраторов: один FileVault 2 менее безопасен, чем FileVault 1 

Аналогично ответу, предложенному Тило. Эта логика применима к любому компьютеру с двумя или более администраторами.

FileVault 1 в снежном барсе и льве

Существует хороший уровень безопасности, чтобы предотвратить доступ к данным других лиц лицу без мастер-пароля.

FileVault 2 один

Любой администратор может просматривать, копировать, редактировать данные всех других пользователей.

пример

Два деловых партнера совместно используют компьютер, оба являются администраторами. Один из двух партнеров может захотеть сохранить что-то личное. Партнер, имеющий главный пароль, который хочет сохранить что-то в секрете, не передает этот пароль другому партнеру.

С FileVault 2 в таких сценариях безопасность и конфиденциальность легко игнорируются - sudo сразу приходит на ум.

сравнение

Шифрование ZFS в Oracle Solaris , которое может применяться к домашним каталогам пользователей.

Временное решение

Если пользователь FileVault 2 в описанной выше ситуации требует дополнительной безопасности, он может:

1. добавить отдельный диск, внутренний или внешний
2. на этом диске есть зашифрованный логический том (LV) Core Storage с парольным паролем, который отличается от (а) пароля диска для загрузочного тома ОС и (б) всех пользовательских паролей для загрузочного тома
3. хранить их домашний каталог на LV на отдельном диске
4. сопоставьте пароль для своей учетной записи с паролем диска для LV.

В качестве альтернативы, этот человек может использовать только часть существующего диска ... но управление разделами в мире coreStorage и вокруг него затруднено , поэтому для долгосрочной простоты: я бы рекомендовал вложить деньги в дополнительный / отдельный диск.

/ вар / папки

Ожидайте, что некоторые пользовательские данные будут записаны в подкаталог /private/var/folders- все администраторы будут иметь доступ к этим данным. Решение этого вопроса выходит за рамки этого вопроса.

Управление разделами в мире coreStorage и вокруг него затруднено

Для диска, который использует FileVault 2 - или любое другое приложение Core Storage - может быть невозможно добавить или изменить размер разделов с помощью Дисковой утилиты.

В Super User:

• ответ в разделе Как изменить размер зашифрованного раздела FileVault 2?
• ответ в разделе Создать новый раздел на зашифрованном томе в OS X Lion .

Ожидайте, что Apple, diskutil (8) Mac OS X Manual Page будет обновлен до 10.7 в должное время. В то же время, если вы уже установили Lion, прочитайте справочную страницу в терминале.

FileVault 1 может быть отключен для физических лиц

Для любого пользователя, который использует FileVault 1:

• Системные настройки позволяют отключить FileVault только для этого пользователя при условии, что на нем достаточно свободного места.

Включенные пользователи FileVault 2 не могут быть отключены

В Mac OS X 10.7 (сборка 11A511) вы можете разрешить пользователю разблокировать загрузочный том, но после включения:

• этот пользователь один не может быть отключен
• только FileVault 2 полностью может быть отключен.

Отключить возможность пользователя разблокировать том FileVault 2 во время запуска / входа в систему

В Lion Recovery Disk Assistant отсутствует поддержка FileVault 2

Версия 1.0 помощника, используемого с FileVault 2 в Mac OS X 10.7 (сборка 11A511), создает ОС восстановления на флэш-накопителе USB. Тем не мение:

• компьютер не может загрузиться с этой операционной системы восстановления.

Я нашел эту проблему с двумя разными компьютерами.

Влияние FileVault 1 на производительность

По моему опыту, воздействие обычно является приемлемым. Я хотел бы видеть соответствующие ориентиры.

Сравнение производительности

In Ask Different: скорость старого Filevault против нового полного шифрования диска Lion

• мой ответ там (работа в процессе) включает в себя некоторые технические данные.

Влияние FileVault 2 на производительность

Apple предлагает:

FileVault 2 шифрует и дешифрует ваши данные на лету с незаметным влиянием на производительность.

- страница кэширована 2011-07-28 .

AnandTech - Возвращение к Mac: обзор OS X 10.7 Lion: производительность FileVault :

… В целом удар по чистой производительности ввода / вывода находится в диапазоне 20-30% . Это заметно, но недостаточно, чтобы перевесить преимущества полного шифрования диска. ...

Я бы хотел, чтобы рецензенты AnandTech снова взвесили вещи более широко, включая, по крайней мере:

• FileVault 1 вместо FileVault 2.

Больше наблюдений за CPU, kernel_task и так далее в Re: [Fed-Talk] Lion FileVault (2011-07-22) ( основные моменты ).

FileVault 2 предотвращает удаленный перезапуск

Не ожидайте удаленного доступа к окну входа в систему EFI.

Отключение FileVault 1 может ухудшить производительность

Два тома разумного размера (один домашний каталог) с хорошим набором B-деревьев, вероятно, проще в управлении системой и почти наверняка работают лучше, чем один колоссальный том с атрибутами и B-деревьями каталога, которые негабаритный и фрагментированный.

объяснение

FileVault 1 использует полосы оптимизированного размера.

В зависимости от содержимого домашнего каталога, отказ от этих полос в пользу большего числа файлов меньшего размера может значительно увеличить размеры и фрагментацию следующих критических областей загрузочного тома:

• атрибуты B-дерева
• каталог B-дерево
• экстенты B-дерево.

Увеличение B-деревьев может быть неожиданно проблематичным

То, что следует, выходит за рамки вступительного вопроса и является относительно техническим, но для любого пользователя компьютера с (а) ограниченной памятью и (б) значительным количеством файлов внутри и вне их домашнего каталога, стоит подумать, прежде чем отказ от FileVault 1.

Если сумма размеров B-деревьев слишком велика, и если требуется ремонт, сторонние утилиты на вашем компьютере могут быть не в состоянии исправить повреждение.

Если том не подлежит восстановлению с помощью fsck_hfs - наиболее очевидно, с использованием Дисковой утилиты, менее очевидно, когда система сталкивается с грязной файловой системой - пользователь может обратиться к уважаемой сторонней утилите.

пример

Я столкнулся с ситуацией, когда сумма размеров B-деревьев - по отношению к физической памяти - была слишком велика для сторонней утилиты, чтобы работать так, как требуется для зашифрованного тома резервного копирования Core Storage, который был непоправимым fsck_hfs. Поскольку мой MacBookPro5,2 может занимать не более 8 ГБ, поэтому в течение некоторого времени этот том был только для чтения.

Я мог бы передать том, с компьютером или без него, поставщику услуг для внимания в среде с большим объемом памяти. Однако в целях безопасности я не должен предоставлять какой-либо третьей стороне - как бы ей ни доверяли - фразу-пароль или ключ для некоторых типов томов.

В конечном итоге и неожиданно fsck_hfsв Lion удалось восстановить том без моего участия с помощью Дисковой утилиты, возможно, благодаря моему экспериментальному (рискованному?) Удалению тома из мира coreStorage (возврат, полное преобразование в обратном направлении), находясь в непоправимом состоянии и состоянии чтения . Это был приятный результат для меня, и спасибо Apple за качество и возможности 10.7 (Build 11A511), но это должно послужить предостережением для других читателей.

Некоторые установки не могут использовать FileVault 2

Не все установки Lion получают скрытый Apple_Boot Recovery HD, который требуется для FileVault 2 - OS X Lion: «Некоторые функции Mac OS X Lion не поддерживаются для диска (имя тома)», появляется во время установки (2011-07-21) ,

... Вы не сможете использовать FileVault ...

Если это произойдет - и если вы отказались от FileVault 1 перед обновлением до Lion, ваш Mac с Lion будет менее безопасным .

Советы , опубликованные Macworld до выхода Lion продолжает советовать пользователям отключить FileVault 1  Перед установкой Lion. Для Macworld весьма необычно давать советы, которые являются спорными, но в этом случае я категорически не согласен.

Lion делает дома FileVault 1 менее простыми в создании

Проще всего создать домашнее хранилище FileVault 1 в Snow Leopard перед обновлением до Lion.

Если без Snow Leopard: вы можете использовать Lion для создания дома, но есть несколько шагов к рутине.

После отключения Filevault 1 можно ли снова включить его в Lion?

Комбинируя FileVault 2 с FileVault 1, вы можете обеспечить двухуровневую защиту. Обратите внимание, что это вызовет проблемы с TimeMachine и совместным использованием. Таким образом, эта двухуровневая защита рекомендуется только для учетной записи, в которой TimeMachine отключен!

На моем компьютере есть рабочая учетная запись для повседневной работы, учетная запись FileVault 1 (исключена из TimeMachine) и учетная запись администратора. Когда я активировал FileVault 2 из своей повседневной рабочей учетной записи (используя пароль учетной записи администратора), я ожидал, что FileVault 1 исчезнет, ​​потому что Apple говорит в OS X Lion: о FileVault 2 : «Если вы отключите Legacy FileVault, вкладка Legacy FileVault исчезнет и затем вы можете включить OS X Lion's FileVault 2 ».

Когда FileVault 2 был полностью настроен, я был очень удивлен, что мой FileVault 1 продолжал иметь шифрование FileVault 1. Таким образом, у меня была двухуровневая защита: устаревшая учетная запись FileVault 1 на компьютере FileVault 2. Все, что мне было нужно, это не учетная запись FileVault 1, откуда включить FileVault 2.

В конце концов я снова отключил FileVault 2. Мне нравится возможность доступа к файловой системе OS X из системы Bootcamp Windows. С FileVault 2 это было уже невозможно. Я все еще сохраняю учетную запись FileVault 1, и она продолжает работать нормально, даже в 10.8.1.