macOS mit FileVault verschlüsseln

FileVault ist die native Verschlüsselungsmethode des Betriebssystems macOS von Apple. FileVault 2 verschlüsselt das komplette Betriebssystem und nicht nur die Benutzerdaten. Gegenwärtig gilt FileVault als sicher, die bekannten Angriffszenarien sind theretischer Natur und betreffend auch vergleichbare Verschlüsselungsmethoden.

Apple hat mit OS X die Version 2 von FileVault eingeführt. Während Version 1 lediglich die Nutzerdaten auf Dateiebene verschlüsselte, funktioniert die zweite Version bis macOS 10.12 (Sierra) ähnlich wie eine eine Linux-Verschlüsselung mittels LUKS/LVM. Apple hat dazu mit CoreStorage einen eigenen Logical Volume Manager eingeführt, der bei FileVault 2 (und FusionDrive) zum Einsatz kommt. Dadurch wird das gesamte Betriebssystem und nicht nur die Benutzerdaten verschlüsselt.

Ab macOS 12.13 (High Sierra) kommt auf SSDs im Hintergrund eine native Verschlüsselung im Rahmen des neuen Dateisystems APFS zum Einsatz. Bestehende CoreStorage Systeme werden beim Upgrade migriert. Auf herkömmlichen HDDs kommt weiterhin das bisherige System zum Einsatz.

Im Gegensatz zur Linux-Lösung gibt es aber keine doppelte Passwortabfrage für Verschlüsselung und Benutzerkonto, sondern die Entschlüsselung des Systems erfolgt mit dem Benutzerkennwort. Im Alltagsbetrieb ist die Verschlüsselung nur dadurch wahrnehmbar, dass die Passwortabfrage am Loginbildschirm früher im Bootprozess erfolgt und das System erst danach startet.

Aktiviert wird die Verschlüsselung in den Systemeinstellungen im Bereich Sicherheit.

filevault systemeinstellungen

Bei der Aktivierung wird man gefragt ob man einen Wiederherstellungsschlüssel generieren will oder das iCloud-Konto dafür nutzen möchte. Letzteres ist nicht empfehlenswert, da jemand mit Zugriff auf das iCloud-Konto die Verschlüsselung umgehen kann. Den Wiederherstellungsschlüssel sollte man natürlich sicher aufbewahren. Das System wird danach neu gestartet und danach die Verschlüsselung im Hintergrund durchgeführt, während man weiterarbeiten kann.

Ergänzen sollte man die Systemverschlüsselung mittels FileVault noch, indem man auch das TimeMaschine-Backup entsprechend absichert.

 

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top