High Sierra und Verschlüsselung

[Julian1989]

Hallo,

ich habe den Tick, dass ich zu keinem Zeitpunkt unverschlüsselte Daten auf der SSD haben will. Kann ich High Sierra "clean" installieren, die APFS Verschlüsselung einschalten und danach ein unter 10.12.6 erstelltes Backup einspielen?

LG
Julian

 

[Marcel Bresink]

Diese Vorgehensweise geht, wäre aber grober Unfug. Ein Upgrade hat weniger Nachteile und läuft um Größenordnungen schneller.

 

[Julian1989]

Welche Nachteile hat diese Vorgehensweise?

 

[Marcel Bresink]

Die Daten können aus dem Backup nicht kopiert, sondern nur migriert werden, da sie weder mit dem Release-Stand, noch mit den Berechtigungen des neuen Systems kompatibel sind. Das führt in der Regel zu "Verlusten".

Wozu soll diese umständliche Prozedur denn gut sein?

 

[Julian1989]

Ich nutze Filevault und möchte danach die APFS Verschlüsselung nutzen und ich möchte zu keinem Zeitpunkt, dass Daten unverschlüsselt auf der SSD gespeichert werden. Bei SSDs bleiben diese nämlich lesbar und Sie werden kreuz und quer auf der SSD verteilt.

Die alternative wäre entschlüsseln, Update machen, Backup erstellen und ein Secure Erase mit Parted Magic. Danach Verschlüsselung an und dann Backup einspielen. Ist die im iMac verbaute SSD eine NVMe? Und die im Macbook Pro auch?

 

[Wuchtbrumme]

Es geht auch:
Upgrade,
verschlüsseln,
verschlüsselte Partition mit Zufallsdaten komplett auffüllen. Ich gehe davon aus, dass auf dem Blockdevice anschliessend keine Daten mehr rekonstruierbar sind.

 

[Julian1989]

Das will ich wenn möglich vermeiden. Sind das in meinen Macs NVMes? Wenn ja dann kann ich mit Parted Magic einen Nvme secure erase machen.

 

[Wuchtbrumme]

es gibt keinen sinnvollen Grund, das anders zu machen, nicht einmal übertriebene Paranoia

Es sollten NVMe-SSDs sein, ich kann es aber nicht sicher sagen.

 

[Julian1989]

Gibt es ein Programm, dass den leeren Speicher zufällig beschreibt? Nutze ich dabei die SSD stark ab?

LG
Julian

 

[Wuchtbrumme]

Die Frage ist falsch. Du willst nicht die SSD zufällig beschreiben, sondern Du möchtest sicherstellen, dass physikalische Blöcke garantiert überschrieben sind. Das geht nur, indem Du das ganze auf dem Blockdevice aufsetzende Dateisystem zur Gänze füllst und das nach Möglichkeit mit einem zufälligen Muster, damit man nicht auf die Verschlüsselung schliessen kann (wobei Apple womöglich dagegen nicht anfällig ist). Alles, was Du brauchst, ist ein Terminal, dd, /dev/random und die man-Page.

 

[Marcel Bresink]

Ich nutze Filevault und möchte danach die APFS Verschlüsselung nutzen

Da gehen die Begriffe etwas durcheinander. FileVault ist Apples Technik, die Daten der Systempartition live im laufenden Betrieb ver- oder entschlüsseln zu können und ein Schlüsselmanagement aufzubauen, mit denen ausgewählte Benutzer-Accounts noch vor der Boot-Phase den Entschlüsselungsschlüssel freischalten können. Ob sich hinter den verschlüsselten Blöcken nun HFS+ oder APFS verbirgt, ist FileVault mehr oder weniger egal, auch wenn es im Detail unterschiedlich realisiert ist.

ich möchte nicht, dass Daten unverschlüsselt auf der SSD gespeichert werden.

Wie bei jeder Schreiboperation auf die verschlüsselte Platte muss nirgendwo etwas unverschlüsselt gespeichert werden. Das gilt auch für die Konvertierung von HFS+ nach APFS während des Upgrades oder danach.

Die ganze Fragestellung ergibt also keinen Sinn.

Zu den anderen Punkten:

Wenn ja dann kann ich mit Parted Magic einen Nvme secure erase machen.

Wenn man das wirklich machen will, gäbe es auch andere Software, die das mit so gut wie jeder modernen SSD ausführen kann, dazu braucht man keinen NVMe-Anschluss.

Das geht nur, indem Du das ganze auf dem Blockdevice aufsetzende Dateisystem zur Gänze füllst

Das geht bei SSDs grundsätzlich nicht, da das Betriebssystem keinerlei Kontrolle über die Zuordnung der adressierbaren Blöcke auf die physischen Flash-Blöcke hat. Durch Überprovisionierung gibt es Blöcke, die das Betriebssystem nicht "sehen" kann.

 

[Julian1989]

Hä,

sorry wenn ich mich hier allzu blöd anstelle aber ist Filevault und APFS Verschlüsselung bei High Sierra das gleiche? Muss man beim Update nicht Filevault abstellen um dann APFS Verschlüsselung an zu machen?

Bei Parted Magic kann man zwischen SATA Secure Erase und NVMe Secure Erase wählen. Deswegen fragte ich.

 

[Marcel Bresink]

ist Filevault und APFS Verschlüsselung bei High Sierra das gleiche?

Was FileVault ist, wurde oben beschrieben. FileVault setzt entweder auf verschlüsseltem HFS+ oder verschlüsseltem APFS auf.

Muss man beim Update nicht Filevault abstellen um dann APFS Verschlüsselung an zu machen?

Nein, das wäre ja viel zu umständlich und zu unsicher.

 

[Julian1989]

Ok danke, dann lasse ich das einfach mal auf mich zukommen. Lohnt es, jetzt vor High Sierra eine Bootcamp Partition anzulegen?

 

[Wuchtbrumme]

Das geht bei SSDs grundsätzlich nicht, da das Betriebssystem keinerlei Kontrolle über die Zuordnung der adressierbaren Blöcke auf die physischen Flash-Blöcke hat. Durch Überprovisionierung gibt es Blöcke, die das Betriebssystem nicht "sehen" kann.

Es kommt hier durchaus auf die verwendete SSD-Technik an, wobei ich zugebe, dass das so heute quasi Standard ist (dass Blöcke frei verteilt werden; war nicht bei allen immer so). Was Du Überprovisionierung nennst ist das analoge Gegenstück zu Reservesektoren bei elektromechanischen Festplatten - die sieht man nicht, da kümmert sich die Plattenfirmware drum. Soll heißen, die Kapazität ist nicht plötzlich höher und deswegen heißt es nicht, dass in diesen Blöcken tatsächlich etwas drauf wäre. Sie müssten erst in Benutzung gebracht werden, dann wären sie belegt und folglich könnten sie (ihr "virtueller" LBA) auch abgefragt werden. Wenn ich die auf der SSD in voller Größe liegende Partition vollschreibe (und nicht etwa mit gut ignorierbaren Nullen, deswegen schrieb ich "zufällige Daten"), dann *muss* die SSD das schreiben und demnach sind auch alle in Benutzung befindlichen LBA belegt. Daraus folgt logisch zwangsläufig, dass das physikalisch zugrundeliegende Gerät auch überschrieben ist.

 

[Marcel Bresink]

Was Du Überprovisionierung nennst ist das analoge Gegenstück zu Reservesektoren bei elektromechanischen Festplatten

Nein, denn die überprovisionierten Blöcke werden im Normalbetrieb verwendet, die Reservesektoren jedoch nur, wenn ein "normaler" Sektor kaputtgegangen ist. Der kaputte Sektor kann nie mehr wieder ausgelesen werden, stellt also kein Sicherheitsproblem dar.

Daraus folgt logisch zwangsläufig, dass das physikalisch zugrundeliegende Gerät auch überschrieben ist.

Nein, es wurde lediglich nach der Abnutzungsstrategie, die die SSD verwendet, ein nicht genau definierter Teilbereich der SSD überschrieben. Genau das ist der Grund, weshalb Apple im Festplattendienstprogramm die Funktion "Sicheres Überschreiben" für SSDs sperrt. Ebenso wurde die Funktion "Sicheres Löschen" im Finder und das Programm "srm" entfernt. All das funktioniert mit SSDs nicht mehr.

Nur über Wartungsprogramme, die Zugriff auf den oben angesprochenen Befehl "Secure Erase" haben (was quasi einem "Trim" auf wirklich allen Flash-Blöcken entspricht), ist ein echtes Löschen einer SSD möglich.

 

[Wuchtbrumme]

Vielen Dank für die Erläuterung, Marcel. Mir war nicht bewusst, was Overprovisioning wirklich ist (quasi temporärer "Arbeitsspeicher" für den SSD-Betrieb). Wenn das so konfiguriert ist, dann ist in der Tat das Überschreiben nicht ausreichend. Ich kann mich nicht erinnern, dass das im letzten gelesenen c't-Grundlagenartikel erwähnt wurde - aber das ist mglws. einfach zu lange her, vll. gab es das damals noch nicht. Erschreckend.