Además de poder encriptar un volumen completo, ¿cuáles son las otras diferencias de FileVault 2 sobre FileVault?

17

¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?

Aron Rotteveel
fuente

Respuestas:

7

Tomando mucho prestado de la reseña del León de John Siracusa ...

FileVault 2 es un sistema de cifrado de disco completo, en lugar de solo una solución de "almacenar su carpeta de inicio en una imagen de disco cifrada". Se implementa como una capa del sistema de archivos por debajo del volumen real que desbloqueas en el momento del arranque del sistema. Si está familiarizado con LVM , es muy parecido. Cada vez que pasa el bloqueo de contraseña, todo se ve igual para el resto del sistema.

Como mencionó Steve, el trabajo de cifrado puede ser ayudado por instrucciones especializadas del procesador y se ejecuta completamente en segundo plano. Lo bueno es que puede activar el cifrado de disco en una unidad completa, y todo se hará a su gusto (puede apagarlo, volver a encenderlo, etc. y todo continuará).

yuriismaster
fuente
9

Las cuentas "Invitado" sin contraseña ya no se pueden crear ya que todo el disco está encriptado que solo el directorio de inicio del Usuario. Es triste que no haya podido encontrar ninguna información sobre el artículo kb en Apple sobre esto.

Sairam
fuente
3
¡Wow, esta es una gran diferencia que pasó desapercibida para mí! Esto realmente tiene un gran impacto en las estrategias de recuperación de robo que recomiendan configurar una cuenta de invitado sin contraseña.
Aron Rotteveel
@Aron Pero aún puede configurar una cuenta de invitado con una sugerencia de contraseña de texto claro.
Asmus
2
@Asmus, por supuesto, pero eso haría que Filevault sea inútil por completo.
Aron Rotteveel
@Aron, pero ¿cómo es eso más inseguro que el "viejo método"? ¿Una cuenta de invitado "sin contraseña" sigue siendo la misma que cuando le dice la contraseña al invitado?
Asmus
2
Obviamente, el hecho de que el disco esté encriptado en total por cualquier inicio de sesión de usuario hace que un inicio de sesión de invitado sea inútil cuando lo usa como una herramienta de recuperación de robo. En la mayoría de los casos, Filevault 1 sería una mejor solución
Aron Rotteveel
7

El nuevo Filevault parece imponerle muchas menos restricciones que la versión anterior. No tiene que cerrar sesión para que la máquina del tiempo funcione, por ejemplo, y todos los demonios de uso compartido parecen funcionar bien (algunos de ellos se desactivaron cuando se activó la falla de archivo si recuerdo correctamente. Creo que el uso compartido de web estaba entre ellos, lo que hizo que mi computadora portátil fuera un poco inútil como plataforma de desarrollo para aplicaciones web :)).

Un problema con Filevault 2 es que no puede ingresar en una máquina hasta que haya ingresado una contraseña localmente, ya que el proceso de inicio no puede comenzar hasta que la unidad encriptada se haya desbloqueado.

GordonM
fuente
"No tiene que cerrar sesión para que la máquina del tiempo funcione, por ejemplo, y todos los demonios compartidos parecen funcionar bien": OTOH esto probablemente significa que las copias de seguridad de Time Machine ya no están encriptadas, y compartir demonios (y malware) ahora también puede acceder a los archivos.
Thilo
Las copias de seguridad de Time Machine deben cifrarse por separado, pero aún es posible. Esto se puede hacer a partir de preferencias de Time Machine> Seleccionar disco> Comprobar caja para disco cifrado,
Gauzy
4
  • Es compatible con AES-NI que descarga el cifrado y descifrado en las CPU compatibles (algunos núcleos i5 e i7).
  • Puede almacenar su clave de cifrado con Apple.

Estoy seguro de que hay algunos otros. Este artículo de soporte de Apple debería responder el resto de sus preguntas.

http://support.apple.com/kb/HT4790

Steve Moser
fuente
En caso de que alguien no sepa por qué es útil, el soporte AES-NI significa una menor utilización de la CPU para un mejor rendimiento y duración de la batería.
jmk
4

Las fallas de FileVault 2 LVG pueden ser irreparables

Desde la páginafsck_cs del manual para :

La utilidad fsck_cs verifica y repara los metadatos del grupo de volúmenes lógicos CoreStorage.

...

LOCO

fsck_cs no realiza una validación exhaustiva, ni puede corregir muchas de las inconsistencias que detecta.

Problemas con FileVault 1

fsck_hfs (utilizado por la Utilidad de Discos ) se ha desarrollado durante más de diez años y es capaz de reparar la mayoría de los problemas con JHFS + tal como lo utiliza FileVault 1.

Si encuentra un problema que fsck_hfsno puede reparar, existen múltiples utilidades alternativas de terceros.

Problemas de almacenamiento principal con FileVault 2

fsck_cs(también utilizado por Disk Utility) apareció por primera vez junto con CoreStorage en Mac OS X 10.7.0. Las inconsistencias pueden ser irreparables.

En ausencia de alternativas a fsck_cs

Si se produce un fallo de LVG y fsck_csno puede realizar las reparaciones necesarias, su volumen de inicio no aumentará. En esta situación, puede volver a formatear el disco de forma destructiva y reinstalar Mac OS X. (El uso de Recovery OS Time Machine solo no proporcionará Apple_Boot Recovery HD que se requiere para FileVault 2).

Graham Perrin
fuente
3

Un inconveniente que puedo ver es que antes podía cifrar cuentas de usuario individuales, mientras que ahora solo puede cifrar todo el disco. Si encripta todo el disco, también deberá desencriptarlo cada vez que use la computadora. Esto significa que una vez que la computadora se inicia, todo el disco es accesible para el malware, mientras que antes puede iniciar sesión (y pronto salir) de las cuentas críticas de seguridad por separado.

Supongo que aún puede usar imágenes de disco cifradas en la parte superior de FileVault para obtener datos realmente importantes.

Otro problema podría ser Time Machine. Mientras que antes los directorios de los usuarios de FileVault también se almacenaban encriptados en el volumen de la copia de seguridad, ese ya no parece ser el caso.

¿Alguien sabe si Time Machine ahora también admite el cifrado de disco completo (según los informes hasta ahora, parece que no está habilitado para unidades externas, al menos no a través de la GUI)?

Actualización: Aparentemente, Time Machine no admite el cifrado de disco completo: ¿pueden los volúmenes de Time Machine cifrarse fácilmente con FileVault 2?

Thilo
fuente
1
Si hacemos distinción entre un disco y un volumen lógico : la máquina de tiempo podría no utilizar todo el disco cifrado, pero para el cifrado de la máquina de tiempo no aplicar núcleo de almacenamiento cifrado de disco completo (FDE) (como se describe en la página del manual para diskutil) a la totalidad del volumen de respaldo.
Graham Perrin el
2

Para múltiples administradores: FileVault 2 solo es menos seguro que FileVault 1 

Similar a la respuesta ofrecida por Thilo. Esta lógica se aplica a cualquier computadora con dos o más administradores.

FileVault 1 en Snow Leopard y en Lion

Existe un buen nivel de seguridad para evitar que una persona sin la contraseña maestra acceda a los datos de otra persona.

FileVault 2 solo

Cualquier administrador puede ver, copiar y editar los datos de todos los demás usuarios.

Ejemplo

Dos socios comerciales comparten una computadora, ambos administradores. A uno de los dos socios le gustaría mantener algo privado. El socio que posee la contraseña maestra, que desea mantener algo privado, no le da esa contraseña al otro socio.

Con FileVault 2 solo en tales escenarios, la seguridad y la privacidad se ignoran fácilmente: sudo viene inmediatamente a la mente.

Comparación

Cifrado ZFS en Oracle Solaris , que puede aplicarse a los directorios de inicio de los usuarios.


Solución alterna

Si un usuario de FileVault 2 en la situación anterior requiere seguridad adicional, esa persona puede:

  1. agregar un disco separado, interno o externo
  2. en ese disco, tenga un volumen lógico encriptado (LV) de Core Storage con una contraseña de disco que difiera de (a) la contraseña de disco para el volumen de inicio del sistema operativo y (b) todas las contraseñas de usuario para el volumen de inicio
  3. almacenar su directorio de inicio en el LV en el disco separado
  4. haga coincidir la contraseña de su cuenta de usuario con la Contraseña de disco para el LV.

Alternativamente, esa persona podría usar solo una parte de un disco existente ... pero la administración de particiones en y alrededor del mundo coreStorage es difícil , por lo que para la simplicidad a largo plazo: recomendaría invertir en un disco adicional / separado.


/ var / carpetas

Espere que algunos datos del usuario se escriban en un subdirectorio de /private/var/folders: todos los administradores tendrán acceso a estos datos. Una solución para esto está más allá del alcance de esta pregunta.

Graham Perrin
fuente
Estoy de acuerdo en que FileVault 1 era mejor para una computadora multiusuario donde deseaba separarlos entre sí, pero creo que incluso con FileVault 1 el administrador del sistema siempre podría descifrar la bóveda de cualquier otro usuario.
Thilo
@Thilo en FileVault 1, la única forma aceptada de desbloquear la bóveda de otra persona era con una contraseña maestra, que nunca se entregó automáticamente a todos los administradores. Edité mi respuesta para aclarar esto. Gracias por el aviso.
Graham Perrin
1
Para mayor seguridad: una partición para el directorio de inicio de un usuario puede ser tallada en el disco que se utilizará para la instalación de OS X, antes de instalar el sistema operativo. Consulte, por ejemplo, Cifrar el volumen de inicio con Core Storage sin FileVault . Sin embargo, esto no se puede realizar con la interfaz de preferencias del sistema de Apple para FileVault 2, y críticamente: si luego se descubre que una partición es demasiado pequeña, será imposible reducir o hacer crecer cualquier partición que esté encriptada .
Graham Perrin
1

La gestión de particiones en y alrededor de coreStorage world es difícil

Para un disco que usa FileVault 2, o cualquier otra aplicación de Core Storage, puede ser imposible agregar o cambiar el tamaño de las particiones usando Disk Utility.

En Super Usuario:

  • una respuesta en ¿Cómo cambio el tamaño de una partición cifrada FileVault 2?
  • una respuesta en Crear nueva partición en volumen cifrado en OS X Lion .

Espere que la página del manual diskutil (8) Mac OS X de Apple se actualice para 10.7 a su debido tiempo. Mientras tanto, si ya instaló Lion, lea la página de manual en Terminal.

Graham Perrin
fuente
1

FileVault 1 se puede deshabilitar para individuos

Para cualquier usuario que use FileVault 1:

  • Las preferencias del sistema le permiten deshabilitar FileVault solo para ese usuario, siempre que haya suficiente espacio libre.

Los usuarios habilitados de FileVault 2 no se pueden deshabilitar

En Mac OS X 10.7 (compilación 11A511) puede permitir que un usuario desbloquee el volumen de inicio, pero una vez habilitado:

  • ese usuario solo no puede ser deshabilitado
  • solo FileVault 2 en su totalidad puede deshabilitarse.

Deshabilitar la capacidad de un usuario para desbloquear un volumen FileVault 2 en el momento de inicio / inicio de sesión

Graham Perrin
fuente
1

Lion Recovery Disk Assistant carece de soporte para FileVault 2

La versión 1.0 del asistente utilizado con FileVault 2 en Mac OS X 10.7 (Build 11A511) produce un sistema operativo de recuperación en una unidad flash USB. Sin embargo:

  • la computadora no puede arrancar desde ese sistema operativo de recuperación.

Encontré este problema con dos computadoras diferentes.

Graham Perrin
fuente
0

FileVault 1 impacto en el rendimiento

En mi experiencia, el impacto suele ser aceptable. Me gustaría ver puntos de referencia relevantes.

Comparaciones de rendimiento

En Ask Different: velocidad del antiguo Filevault frente al nuevo cifrado de disco completo de Lion

Impacto de FileVault 2 en el rendimiento

Apple sugiere:

FileVault 2 cifra y descifra sus datos sobre la marcha con un impacto de rendimiento imperceptible.

- página en caché 2011-07-28 .

AnandTech - Volver a la Mac: Revisión de OS X 10.7 Lion: el rendimiento de FileVault observa:

... En general, el éxito en el rendimiento de E / S puro está en el rango del 20-30% . Es notable pero no lo suficientemente grande como para superar los beneficios del cifrado de disco completo. ...

Me gustaría que los revisores de AnandTech vuelvan a sopesar las cosas de manera más amplia, para incluir al menos:

  • FileVault 1 en lugar de FileVault 2.

Más observaciones sobre CPU, kernel_task, etc. en Re: [Fed-Talk] Lion FileVault (22-07-2011) ( destacados ).

Graham Perrin
fuente
0

FileVault 2 evita el reinicio remoto

No espere acceso remoto a la ventana de inicio de sesión de EFI.

Graham Perrin
fuente
He cambiado tu estilo a algo más legible.
Loïc Wolff
@ Los niveles de encabezado Loïc 1, 2 y 3 parecen ser la norma, por ejemplo, ¿Qué cosa pequeña en Lion te hace sonreír o te ha pillado desprevenido? - ¿Hay una meta pregunta para una respuesta sobre el uso del estilo? Mientras tanto, absténgase de editar los demás, gracias.
Graham Perrin el
1
Eso fue solo para hacer la respuesta más legible, h1 es bueno para títulos cortos pero no para frases largas, en mi opinión. Siéntase libre de retroceder si prefiere el estilo antiguo.
Loïc Wolff
3
@Graham, este es un sitio web impulsado por la comunidad que se basa en editar las publicaciones de cada uno. No hay nada de malo en los títulos, pero para ser honesto, creo que tus publicaciones son muy difíciles de leer.
Aron Rotteveel
@Aron, por favor, siéntase libre de editar contenido para mejorar la legibilidad. Podría retroceder o volver a editar con consideración. Dejaré los tres niveles de encabezado en al menos una de las respuestas. Actualmente migrando a Preguntar información diferente que se redactó originalmente en torno a identi.ca/conversation/77065575#notice-79879336 ...
Graham Perrin
0

Deshabilitar FileVault 1 puede empeorar el rendimiento

Dos volúmenes de tamaño razonable (uno un directorio de inicio), con un buen conjunto de árboles B, son probablemente más fáciles de administrar para el sistema, y ​​casi seguramente funcionan mejor, que un solo volumen colosal con atributos y árboles B de catálogo que son De gran tamaño y fragmentado.

Explicación

FileVault 1 utiliza bandas de un tamaño que está optimizado.

Dependiendo del contenido de un directorio de inicio, abandonar esas bandas en favor de una mayor cantidad de archivos más pequeños puede aumentar significativamente los tamaños y la fragmentación de las siguientes áreas críticas del volumen de inicio:

  • atributos B-tree
  • catálogo B-tree
  • extensiones B-tree.

Los árboles B agrandados pueden ser inesperadamente problemáticos.

Lo que sigue está discutiblemente más allá del alcance de la pregunta inicial, y es relativamente técnico, pero vale la pena pensar antes de cualquier usuario de una computadora con (a) memoria limitada y (b) un número considerable de archivos dentro y fuera de su directorio de inicio. abandonando FileVault 1.

Si la suma de los tamaños de los árboles B es demasiado grande, y si se requiere reparación, es posible que las utilidades de terceros en su computadora no puedan reparar el daño.

Si fsck_hfs no puede reparar un volumen , lo más obvio es que usa la Utilidad de Discos , y menos cuando el sistema encuentra un sistema de archivos que está sucio, un usuario puede recurrir a una respetada utilidad de terceros.

Ejemplo

Encontré una situación en la que la suma de los tamaños de los árboles B, en relación con la memoria física, era demasiado grande para que una utilidad de terceros funcionara según lo requerido para un volumen de copia de seguridad cifrado de Core Storage que era irreparable fsck_hfs. Como mi MacBookPro5,2 no puede tomar más de 8 GB, durante algún tiempo este volumen fue de solo lectura.

Podría haber llevado el volumen, con o sin la computadora, a un proveedor de servicios para recibir atención en un entorno con más memoria. Sin embargo, por seguridad, no debería proporcionar a ningún tercero, por confiable que sea, la frase de contraseña o clave para algunos tipos de volumen.

Eventualmente e inesperadamente, fsck_hfsen Lion reparó el volumen sin mí usando Disk Utility, posiblemente gracias a que eliminé experimentalmente (¿arriesgado?) El volumen del mundo coreStorage (revertir, convertir completamente hacia atrás) mientras estaba en el estado irreparable y de lectura . Ese fue un resultado agradable para mí, y un reconocimiento a Apple por las cualidades y capacidades de 10.7 (Build 11A511), pero esto debería servir como una advertencia para otros lectores.

Graham Perrin
fuente
No entiendo la parte de "abandonar bandas frente a muchos archivos pequeños". Pensé que el cifrado de File Vault 2 ocurre por debajo del nivel del sistema de archivos, en un nivel de bloque, y por lo tanto no debería comportarse de manera diferente al HFS + sin cifrar con respecto a los B-trees.
Thilo
@Thilo sin pensar en niveles o encriptación: piense en la cantidad de archivos . Un ejemplo extremo: agregue un millón de archivos de 80 KB a un volumen, luego elimine 10,000 bandas de 8 MB. Es probable que agregar un millón de archivos aumente el tamaño de los atributos y los árboles B del catálogo, lo que puede coincidir con la fragmentación de uno o ambos, lo que nunca es bueno para el rendimiento. La eliminación posterior de un número menor de archivos no puede ser seguida por una reducción en el tamaño de ninguno de los dos árboles.
Graham Perrin
¿Pero no tendrías el mismo millón de archivos en el árbol B en el HFS + dentro de tu imagen de disco? Tal vez estoy malinterpretando algo. De todos modos, creo que sé a qué te refieres. No se trata del cifrado o FileVault en absoluto, sino de "particionar" su sistema de archivos usando imágenes de disco, porque no confía en HFS + para administrar millones de archivos, ¿verdad?
Thilo
Yo hago la confianza JHFS + (con journalling) con muchos millones de archivos - En la actualidad 4,062,789 438,294 archivos y carpetas en el volumen de arranque de mi MacBookPro 5,2 - 3,151,819 archivos en un PowerPC Xserve, partes de las cuales sirven a un grupo de trabajo - y así sucesivamente. Mis respuestas en esta pregunta se originaron en un trabajo no colaborativo en progreso en otra parte; Esta respuesta en particular necesita algo de atención , probablemente debajo del encabezado de apertura. Mira este espacio y únete a mí en la edición. Gracias de nuevo por el aviso ...
Graham Perrin
0

Algunas instalaciones no pueden usar FileVault 2

No todas las instalaciones de Lion obtienen el Apple_Boot Recovery HD oculto que se requiere para FileVault 2 - OS X Lion: "Algunas funciones de Mac OS X Lion no son compatibles con el disco (nombre del volumen)" aparece durante la instalación (2011-07-21) .

... No podrás usar FileVault ...

Si esto sucede, y si abandonó FileVault 1 antes de la actualización a Lion, su Mac con Lion será menos segura .

El consejo publicado por Macworld antes del lanzamiento de Lion continúa aconsejando a los usuarios que deshabiliten FileVault 1  antes de instalar Lion. Es muy inusual que Macworld brinde consejos que sean polémicos, pero en este caso, no estoy de acuerdo.

Graham Perrin
fuente
0

Al combinar FileVault 2 con FileVault 1, puede tener seguridad de doble capa. Tenga en cuenta que esto causará problemas con TimeMachine y el uso compartido. Por lo tanto, esta seguridad de doble capa solo es recomendable para una cuenta donde TimeMachine está desactivado.

En mi computadora, tengo una cuenta de trabajo diario, una cuenta FileVault 1 (excluida de TimeMachine) y una cuenta de administrador. Cuando activé FileVault 2 desde mi cuenta de trabajo diaria (usando la contraseña de la cuenta de administrador), esperaba que FileVault 1 desapareciera porque Apple dice en OS X Lion: Acerca de FileVault 2 : «Si apaga Legacy FileVault, la pestaña Legacy FileVault desaparecerá y luego puedes elegir habilitar OS X Lion's FileVault 2 ».

Cuando FileVault 2 estaba configurado, me sorprendió mucho que FileVault 1 siguiera teniendo el cifrado FileVault 1. Entonces tenía una seguridad de doble capa: una cuenta heredada de FileVault 1 dentro de una computadora FileVault 2. Todo lo que necesitaba era una cuenta que no fuera FileVault 1 desde donde activar FileVault 2.

Finalmente, apagué FileVault 2 nuevamente. Me gusta poder acceder al sistema de archivos OS X desde el sistema de Windows Bootcamp. Con FileVault 2, eso ya no era posible. Todavía mantengo la cuenta FileVault 1 y continúa funcionando bien, incluso en 10.8.1.

mach
fuente
También obtiene todos los inconvenientes de FV1, como problemas de TimeMachine, compartir acceso (o más bien no acceso), etc. Una solución mejor (si realmente necesita un pequeño nivel adicional de seguridad) es probablemente cifrar el disco con FV2 y agregar un pequeño image / dmg para las cosas realmente sensibles.
nohillside
Eso es ciertamente cierto. No me afecta ya que apagué TimeMachine para esa cuenta y no la comparto. Estoy editando la respuesta en consecuencia.
mach