FileVault2 Sicherheit während sleep

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Chibi88, 27.08.17.

  1. Chibi88

    Chibi88 Starking

    Dabei seit:
    13.06.15
    Beiträge:
    219
    Hallo,

    wenn der Rechner nicht im Betrieb ist und gestartet wird, ist FV2 ja sicher. Wie verhält sich das aber, wenn der Rechner noch eingeschaltet ist und ich den Bildschirmschoner aktiviert habe? Da natürlich vorausgesetzt, dass die Passwortabfrage sofort erscheint, wenn der Bildschirmschoner aktiviert wird. Ist das System da "anfälliger"?

    Ich frage aus dem Grund, weil ich online öfters was zum Zerstören des FV2 Keys im RAM gelesen habe.

    Mit freundlichen Grüßen

    Chibi
     
  2. Marcel Bresink

    Marcel Bresink Wiltshire

    Dabei seit:
    28.05.04
    Beiträge:
    4.281
    Ja, solange das Betriebssystem läuft, ist der FileVault-Schlüssel im Speicher damit jeder Block auf der Systemplatte, auf den zugegriffen wird, auch entschlüssel- und lesbar ist. Man könnte Daten z.B. mit spezieller USB-Angriffs-Hardware auslesen. Dies gilt auch nach dem Aufwecken des Rechners.

    Damit das System den Zugriffsschlüssel beim Einschlafen vergisst, bietet Apple für Umgebungen mit erhöhter Sicherheit die "destroyfvkeyonstandby"-Einstellung an.
     
    Chibi88 und echo.park gefällt das.
  3. Chibi88

    Chibi88 Starking

    Dabei seit:
    13.06.15
    Beiträge:
    219
    Wenn ich also die Einstellung setze, ist das System "sicher"?

    Ich habe gelesen, dass man noch folgende Einstellungen setzen soll:

    sudo pmset -a hibernatemode 25
    sudo pmset -a powernap 0
    sudo pmset -a standby 0
    sudo pmset -a standbydelay 0
    sudo pmset -a autopoweroff 0

    sind diese Einstellungen alle notwendig?

    Mit freundlichen Grüßen

    Chibi
     
  4. Marcel Bresink

    Marcel Bresink Wiltshire

    Dabei seit:
    28.05.04
    Beiträge:
    4.281
    Sicher gegen was?

    Notwendig wofür?
     
  5. Chibi88

    Chibi88 Starking

    Dabei seit:
    13.06.15
    Beiträge:
    219
    Physischen Zugriff

    Damit der FileVaultKey zerstört wird.
     
  6. Marcel Bresink

    Marcel Bresink Wiltshire

    Dabei seit:
    28.05.04
    Beiträge:
    4.281
    Nochmal: Wenn die Einstellung gesetzt ist, kann niemand auf den Schlüssel zugreifen, wenn das System geweckt wird, da er bereits beim Eintritt in den Ruhezustand zerstört wurde.

    Diese Einstellungen haben mit der Fragestellung überhaupt nichts zu tun. Ob es diese Einstellungen überhaupt gibt und ob sie sich so ändern lassen, hängt davon ab, welches Macintosh-Modell eingesetzt wird.
     
  7. Chibi88

    Chibi88 Starking

    Dabei seit:
    13.06.15
    Beiträge:
    219
    Naja... ich benutze seit einiger Zeit die macOS High Sierra Beta. Ich hatte zuvor Sierra installiert und es kam vor, dass ich das Passwort doppelt eingeben musste. Das habe ich mir so erklärt, dass der FileVault2 Key gelöscht wurde und ich deswegen eben das Passwort doppelt eingeben musste. Das ist jetzt aktuell eben nicht so. Darum frage ich, weil ich nicht weiß, ob er beim zuklappen gelöscht wird.
     
  8. echo.park

    echo.park Hochzeitsapfel

    Dabei seit:
    08.06.11
    Beiträge:
    9.249
    Bei einer Beta braucht man nicht einen Gedanken an irgendeine Funktion verschwenden.

    Es ist und bleibt eine Beta und damit nicht final.
     
    ottomane gefällt das.
  9. Macbeatnik

    Macbeatnik Golden Noble

    Dabei seit:
    05.01.04
    Beiträge:
    30.292
    Und in der Regel erübrigen sich bei Betas auch fragen zur Sicherheit.
     
    ottomane gefällt das.
  10. ottomane

    ottomane Roter Winterstettiner

    Dabei seit:
    24.08.12
    Beiträge:
    10.585
    Weia.
     
  11. echo.park

    echo.park Hochzeitsapfel

    Dabei seit:
    08.06.11
    Beiträge:
    9.249
    Und man sollte auch nicht unbedingt auf die Idee kommen eine Beta einfach weiter zu verwenden wenn die Final raus ist, ohne das System platt zu machen.
     
  12. kelevra

    kelevra Safran Pepping

    Dabei seit:
    12.07.10
    Beiträge:
    4.381
    Wie @Marcel Bresink schon richtig geschrienen hat, kannst du mit

    Code:
    pmset -a destroyfvkeyonstandby 1
    den Mac den FileVault Key vergessen lassen. Der Parameter
    Code:
    -a
    setzt dabei die Einstellungen für alle Energiemodi, also Akku- und Netzteilbetrieb.

    Zusätzlich ist es sinnvoll mit

    Code:
    sudo pmset -a powernap 0
    oder über die Systemeinstellungen die Powernap Funktion abzuschalten. Bei aktiviertem "destroyfvkeyonstandby" würde der Mac sonst für Powernap aufgeweckt werden, bekommt keinen Zugriff auf die Platte und schaltet sich daraufhin komplett ab.

    Code:
    sudo pmset -a hibernatemode 25
    ist einer der hibernate Modi und soll für zusätzliche Sicherheit sorgen. hibernatemode kennt zwei Werte:

    hibernatemode = 3 ist der normale Modus, in dem der Speicher (RAM) mit Energie versorgt wird. Um die Sicherheit weiter zu erhöhen, kann man hibernatemode 25 setzen. In diesem Modus wird der Speicher auf die HDD/SSD geschrieben und die Energieversorgung des Speichers unterbrochen, dieser somit geleert. Das hat allerdings auch den Nachteil, dass das Sleep und WakeUp länger dauern.
     
  13. Chibi88

    Chibi88 Starking

    Dabei seit:
    13.06.15
    Beiträge:
    219
    Vielen Dank! :) bemerke aktuell nicht wirklich einen "verzögerten" Wake up.

    High Sierra kam nur drauf, weil ich die iOS 11 Beta aufm iPhone habe und Sierra die Bookmarks sonst nicht synchronisiert hat. System läuft aber auf iPhone und Macbook stabil.