APFS und Verschlüsselung

echo.park · 18.09.17

Hi,

folgende Fragen ergeben sich für mich in Zusammmenhang mit APFS zum Thema Verschlüsselung. Ich blicke da nicht ganz durch.

Es heißt ja APFS hätte die Verschlüsselung "eingebaut". Ist das vergleichbar mit der Verschlüsselung von iOS?

Mit anderen Worten, ist ein Mac mit APFS also quasi immer (!) als verschlüsselt anzusehen, ohne dass der User gesondert etwas dafür tun muss?

Und wie verhält sich das alles zu FileVault? Wird das abgeschafft? Wenn nein, warum nicht? Muss ich, wie zuvor auch, erst FileVault aktivieren um sicher zu sein, dass die Daten auf meinem Mac verschlüsselt sind, trotz APFS?

Danke euch.

Edit:
Und wie ist das beim Formatieren einer Festplatte? FileVault muss ja im Nachgang drüber laufen, ich kann eine Festplatte aber auch gleich als verschlüsselt formatieren. Ist aber nicht besonders ratsam, nach allem was ich so gelesen habe.

Wie ist das bei APFS? Ich formatiere meine Festplatte einfach in APFS und das war es dann? Gibt es da überhaupt Auswahlmöglichkeiten?

walex · 18.09.17

echo.park schrieb:
Es heißt ja APFS hätte die Verschlüsselung "eingebaut". Ist das vergleichbar mit der Verschlüsselung von iOS?

Soweit ich gelesen habe, bezieht sich das auf die grundsätzliche Möglichkeit ganze Volumes oder auch einzelne Ordner und Dateien zu verschlüsseln.

Mein APFS formatiertes Startvolume wird als verschlüsselt angezeigt. Allerdings habe ich auch FileVault aktiviert.
Wenn man ein Volume formatiert, kann man zwischen verschlüsselten und unverschlüsselten Varianten von APFS auswählen. In wie weit FileVault dann noch sinnvoll ist, kann ich nicht sagen. Momentan findet man dazu auch im Netz nicht wirklich viel. Ich denke, das wird sich in den kommenden Wochen und Monaten ändern.
Ob beim Update auf High Sierra bei einer SSD immer auf ein verschlüsseltes APFS aktualisiert wird, bin ich mir leider auch nicht sicher.

Ein Unterschied ist auf jeden Fall, dass bei FileVault die ganze SSD/HDD verschlüsselt wird, also auch Bootcamp Partitionen.

kelevra · 18.09.17

Ob und welche Verschlüsselung überhaupt verfügbar ist mit APFS ist auch Geräteabhängig. Zudem unterstützt APFA

Single-key for metadata and user data
Multi-key with different choices for metadata, files, and even sections of a file (“extents”)

Ein Vorteil von APFS gegenüber FileVault: APFS kann Daten und Metaden einzeln verschlüsseln, auch wenn die Verschlüsselung für die komplette Partition/Disk aktiviert ist. FileVault wird ja durch die Passworteingabe "entsperrt", alle Daten sind lesbar.

diskutil gibt mir auch aus, dass die Partition verschlüsselt ist, allerdings ist auch FileVault an, daher kann ich nicht unterscheiden, ob die Anzeige sich auf APFS oder FileVault bezieht.

/edit

In diesem Blog wird etwas mehr zu APFS geschrieben.

echo.park · 18.09.17

Das ist ja schön und gut, aber beantwortet nicht meine Fragen. Aber ich sehe schon. Hier besteht Nachholbedarf seitens Apple in Bezug auf deren Dokumentation.

Marcel Bresink · 18.09.17

FileVault ist eine Funktion von macOS, die zwei Sachen kann:
1) Die Systempartition im laufenden Betrieb in ein verschlüsseltes Dateisystem umwandeln oder wahlweise auch wieder zurück.
2) Bereits vor dem Start des Betriebssystems einen Pseudo-Anmeldeschirm anzeigen, beim dem ausgewählte Benutzer den nötigen Schlüssel zum Entschlüsseln der Systempartition freischalten können. Für diese Benutzer wird eine automatische Verwaltung der ganzen daran beteiligten Schlüssel organisiert.

Ob man FileVault mit verschlüsseltem HFS+ oder verschlüsseltem APFS betreibt, ist egal. Verschlüsseltes APFS ersetzt FileVault nicht, sondern ist überhaupt erst die Voraussetzung, dass man FileVault auch weiterhin nutzen kann.

walex schrieb:
Ein Unterschied ist auf jeden Fall, dass bei FileVault die ganze SSD/HDD verschlüsselt wird, also auch Bootcamp Partitionen.

Das ist falsch und wäre auch technisch gar nicht machbar. Wie sollte Windows denn das Dateisystem entschlüsseln können?

echo.park schrieb:
Es heißt ja APFS hätte die Verschlüsselung "eingebaut".

Das ist eine reine Frage der Software-Architektur, die der Benutzer kaum sehen kann. Bei HFS+ musste die Verschlüsselung über die zusätzliche Schicht "CoreStorage" nachgerüstet werden. Bei APFS ist die Funktion halt von Anfang an eingebaut, was aber für die Praxis kaum eine Rolle spielt. Bei beiden Dateisystemen ist die Verschlüsselung eine freiwillig nutzbare Zusatzoption.

echo.park schrieb:
Mit anderen Worten, ist ein Mac mit APFS also quasi immer (!) als verschlüsselt anzusehen

Nein. Man kann verschlüsselte und unverschlüsselte Dateisysteme anlegen, wie in HFS+ auch. Und wenn man FileVault einsetzt, kann man die Verschlüsselung der Systempartition auch im laufenden Betrieb ein- oder ausschalten und hat eine in den Startvorgang integrierte Schlüsselverwaltung.

echo.park schrieb:
Muss ich, wie zuvor auch, erst FileVault aktivieren um sicher zu sein, dass die Daten auf meinem Mac verschlüsselt sind, trotz APFS?

Ja.

echo.park schrieb:
Und wie ist das beim Formatieren einer Festplatte?

Da hast Du nur mehr Wahlmöglichkeiten, sonst ändert sich nichts.

echo.park schrieb:
ich kann eine Festplatte aber auch gleich als verschlüsselt formatieren. Ist aber nicht besonders ratsam

Die Frage stellt sich so nicht. Wenn Du die Systempartition verschlüsseln willst, schaltest Du die Verschlüsselung per FileVault ein. Nur so ist sichergestellt, dass der Schlüssel zum Enschlüsseln der Platte irgendwie ins System kommt. Das Betriebssystem kann dabei nicht helfen, denn das ist vor dem Booten ja noch verschlüsselt.

Wenn Du irgendeine andere Partition verschlüsseln willst, kann man nicht FileVault verwenden. In dem Fall gibst Du den Schlüssel selber vor und musst ihn selbst auch verwalten (bzw. ihn im Schlüsselbund ablegen).

Es ändert sich aber sonst nichts. Ob "hinter" den verschlüsselten Plattenblöcken ein HFS+ oder ein APFS liegt, ist mehr oder weniger egal.

Wie kelvra aber schon erwähnt hat: APFS hat eine Option, auf Wunsch doppelt zu verschlüsseln, also nicht nur das ganze Dateisystem, sondern nochmal jede Datei einzeln, mit unterschiedlichen Schlüsseln. In iOS wird das standardmäßig genutzt, in macOS standardmäßig nicht.

echo.park · 18.09.17

Ah prima. Danke dir. Das hilft mir schon mal weiter.

walex · 18.09.17

Marcel Bresink schrieb:
Das ist falsch und wäre auch technisch gar nicht machbar. Wie sollte Windows denn das Dateisystem entschlüsseln können?

Sorry, du hast natürlich recht!
Ich hatte angenommen, da bei HFS+ Cores Storage für die Implementierung von FileVault verwendet wird, was ja eine Implementierung von LVM ist, das dies auch von WIndows verwendet wird. Aber vermutlich ist die Implementierung von MS und Apple ganz unterschiedlich.
Wenn man sich das Layout der Boot-Platte ansieht, sieht man eh recht deutlich, dass die Container-Partition nur die Mac-Partition und die Recovery-Partition enthält.

kelevra · 18.09.17

Windows nutzt ein an LVM angelehntes System (Dynamische Datenträger genannt) ist aber nicht LVM kompatibel. Microsoft musste auch da wieder ein eigenes Süppchen kochen.

Suche

Suche

APFS und Verschlüsselung

echo.park

deaktivierter Benutzer

walex

Süsser Pfaffenapfel

kelevra

Stahls Winterprinz

echo.park

deaktivierter Benutzer

Marcel Bresink

Hadelner Sommerprinz

echo.park

deaktivierter Benutzer

walex

Süsser Pfaffenapfel

kelevra

Stahls Winterprinz

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)