Verschlüsselte SSD von MacAir auslesen auf PC ?

[imkrl]

Hallo,
meine Schwiegertochter hat mir ein defekten Macbook Air 2014 gegeben (lässt sich nicht mehr reparieren, MB defekt) - hier ist eine SSD verbaut, dessen Daten sie gerne gesichert haben möchte.
Da ich nur ein PC besitze habe ich mir für die SSD folgenden Adapter auf PCIe (bei der Bucht) besorgt und im PC eingebaut.
SSD ist sichtbar in der Datenträgerverwaltung (3 Partitionen)
Mit dem Tool TransMAC lässt sich ein Image (*.dmg) erzeugen, über alle drei Partitionen.
Dieser Image lässt sich auch mittels Tool 7Zip in 3 einzelne Image (*.img) zerlegen, jedoch komme ich hier nicht weiter, da die größere img Datei (da wo die Daten drauf sind) scheinbar verschlüsselt ist.

Wie kommt man hier weiter ?
Oder braucht man dafür ein MAC (ich selber habe keinen) ?
Ist die OS Version egal ?
Wie geht man hier vor ?

 

[Rastafari]

dmg-Datei auf eine externe HD kopieren, an einem Mac mit MountainLion (10.8) oder neuer öffnen.
(Verschlüsselungskennwort muss natürlich bekannt sein.)

 

[imkrl]

Hallo Rastafari,
vielen Dank für dein Tipp.

Habe ein Mac mit MountainLion besorgt und versucht die *.dmg zu öffnen.
Es wird nach dem Verschlüsselungskennwort gefragt.
DIeses Verschlüsselungskennwort scheint aber nicht das Anmeldepasswort für das MAC-OS zu sein, da dieses Bekannt ist.

Um welches Kennwort handelt es sich den dann hier?
Bzw. wo würde man es her bekommen?

Meine Schwiegertochter musste zum Benutzen des Macbook Air, nur das Kennwort für das OS eingeben.
Rechner ist bei Apple gekauft wurden.

 

[Ducatisti]

Das ist für Filefault,ein extra Passwort,um die Daten der Festplatte zu verschlüsseln,ohne das wirds nix.

 

[imkrl]

Hallo Ducastisti,
kannst du mir das genauer erklären ?
Wann wird dieses Passwort gesetzt. Meine Schwiegertochter kann sich an dieses nicht erinnern, bzw. das überhaupt gesetzt zu haben.
Ist das bei Auslieferung schon gesetzt ?
Wird das von einem speziellen Programm gesetzt?
Oder erhält man ein Hinweis, dieses zu setzten und dann wird es niemals mehr erfragt, beim booten?

 

[Martin Wendel]

FileVault muss vom Nutzer aktiviert werden und das Passwort dazu wird bei jedem Bootvorgang abgefragt. Wenn deine Schwiegertochter das nicht aktiviert hatte, wird das Problem vielleicht woanders liegen und die Festplatte ist gar nicht verschlüsselt?

 

[imkrl]

FileVault: sollte ja ein PW aus nur Zahlen sein, oder ?

Zumindest ist das bei einen Windows Rechner so.

 

[CharlieBrown]

FileVault muss vom Nutzer aktiviert werden und das Passwort dazu wird bei jedem Bootvorgang abgefragt. Wenn deine Schwiegertochter das nicht aktiviert hatte, wird das Problem vielleicht woanders liegen und die Festplatte ist gar nicht verschlüsselt?

Moment einmal. Ich habe selber Filevault vor 3 Wochen auf meinem iMac aktiviert und muss definitiv kein anderes Passwort als mein normales Benutzerpasswort beim Anmelden eingeben.
Bei der Aktivierung von Filevault wurde zusätzlich ein langer Wiederherstellungsschlüssel generiert. Vielleicht wird der nun benötigt, da die Platte nicht mehr im Original-Rechner verbaut ist. Wenn der allerdings nicht aufgeschrieben und aufgehoben wurde war es das...

 

[Macbeatnik]

FileVault: sollte ja ein PW aus nur Zahlen sein, oder ?

Zumindest ist das bei einen Windows Rechner so.

Nein, das Passwort ist frei wahlbar, muss aber vom Nutzer explizit eingerichtet werden. Vergleiche mit irgendeinem Namensgleichen Programm/Tool/Dienst unter Windows sind in der Regel nicht zu machen.

 

[MACaerer]

Moment einmal. Ich habe selber Filevault vor 3 Wochen auf meinem iMac aktiviert und muss definitiv kein anderes Passwort als mein normales Benutzerpasswort beim Anmelden eingeben.

Das ist einfach zu erklären. Das FileVault-Passwort oder das Passwort für verschlüsselte Sparse-Images wird im normalerweise Anmelde-Schlüsselbund gespeichert. Es sei denn, man unterbindet das ganz gezielt. Das heißt: Wenn man sich in das Benutzerkonto anmeldet wird automatisch auch FileVault geöffnet. Das funktioniert natürlich nicht, wenn man das verschlüsselte Laufwerk in einem anderen Rechner einbaut und versucht es dort zu öffnen.

MACaerer

 

[MacAlzenau]

Der Anmeldeschlüsselbund liegt auf der Platte, es müsste als auf einem anderen Gerät genau gleich funktionieren.
Wenn ich einen Klon einer internen Platte extern an einen anderen Mac hänge, kann ich mich da problemlos mit meinem Benutzerpasswort anmelden und alles funktioniert "wie zuhause" - ohne FileVault, allerdings kann ich nicht erkennen, wieso das mit FV anders sein sollte, es sei denn, das FV-Passwort (bzw. dessen Hashwert) ist in der Firmware gespeichert.

 

[Marcel Bresink]

Ich habe selber Filevault vor 3 Wochen auf meinem iMac aktiviert und muss definitiv kein anderes Passwort als mein normales Benutzerpasswort beim Anmelden eingeben.

Es hat auch niemand behauptet, dass das anders ist. Trotzdem ist das Benutzerkennwort nicht mit dem Verschlüsselungs-"Kennwort" der Platte identisch.

Das FileVault-Passwort [...] wird im normalerweise Anmelde-Schlüsselbund gespeichert.

Nein, das würde keinen Sinn ergeben. Vor dem Entschlüsselungsvorgang steht das Betriebssystem noch nicht zur Verfügung, da es sich ja auf dem FileVault-verschlüsselten Volume befindet. Da kann also weder eine Anmeldung, geschweige denn ein Zugriff auf irgendeinen Schlüsselbund erfolgen.

FileVault arbeitet komplett anders. Aus dem Benutzerkennwort wird ein sogenannter Abgeleiteter Verschlüsselungsschlüssel hergeleitet. Der Abgeleitete Verschlüsselungsschlüssel kann den Schlüsselentschlüsselungsschlüssel entschlüsseln, der in den CoreStorage-Volumedaten gespeichert ist. Dieser Schlüssel wiederum kann den Volume-Entschlüsselungsschlüssel öffnen. Der wiederum kann die Daten auf der Festplatte entschlüsseln. Der Volume-Schlüssel muss bekannt sein, um ein FileVault-gesichertes Betriebssystem auf einem Rechner zu öffnen, der von einem anderen Volume startet. Das ist er aber normalerweise nicht.

Was Rastafari geschrieben hat, ist zwar richtig, hilft aber in diesem Fall nicht weiter. Man muss von der Original-SSD (oder einem Klon davon) auf irgendeinem Mac starten und dabei das Kennwort eines zum Start berechtigten Benutzers eingeben. Danach kann die SSD problemlos gesichert werden.

 

[imkrl]

Was Rastafari geschrieben hat, ist zwar richtig, hilft aber in diesem Fall nicht weiter. Man muss von der Original-SSD (oder einem Klon davon) auf irgendeinem Mac starten und dabei das Kennwort eines zum Start berechtigten Benutzers eingeben. Danach kann die SSD problemlos gesichert werden.

Hallo Marcel,
Habe ich das richtig verstanden:
d.h. die *.dmg ist mein Klon. Muss der (neue) Mac jetzt davon Booten ? Muss die dmg dafür auf ein bootfähigen Stick oder SSD sein ?
Funktioniert das überhaupt ? Sind in der dmg nicht andere Treiber (von den Altrechner der dmg) die der neue Mac ggf gar nicht kennt / braucht ?
Wird man dann nach Booten des Mac OS nach den PW gefragt oder vorher schon?

 

[Marcel Bresink]

Muss der (neue) Mac jetzt davon Booten ?

Ja.

Muss die dmg dafür auf ein bootfähigen Stick oder SSD sein ?

Der Inhalt der DMG muss in Form der drei Partitionen auf einem bootfähigen Datenträger wiederhergestellt worden sein.

Funktioniert das überhaupt ?

Ja, wenn kein anderes Problem dazwischenkommt.

Sind in der dmg nicht andere Treiber

Solange keine Fremd-Hardware zum Einsatz kommt, braucht man sich auf dem Mac nicht um Treiber zu kümmern. Betriebssysteme laufen auf beliebigen Macs, die von der jeweiligen Betriebssystemversion unterstützt werden. Probleme gäbe es dann, wenn z.B. ein "zu neuer" Mac von einer "zu alten" Systemversion starten muss.

Wird man dann nach Booten des Mac OS nach den PW gefragt oder vorher schon?

Es wird vorher nach dem Kennwort gefragt, da ohne Schlüssel die Partition ja überhaupt nicht lesbar ist. (Ohne Entschlüsselung kann noch nicht einmal ermittelt werden, ob überhaupt ein Betriebssystem auf der Platte drauf ist.) Die Firmware des Mac fragt in Zusammenarbeit mit EFI- und Recovery-Partition nach dem Kennwort. Stimmt das Kennwort, können die oben genannten 3 Schlüssel nacheinander ermittelt werden, die dann die Systempartition entschlüsseln.

 

[imkrl]

Hallo,
danke hat geklappt. Image auf eine externe USB Festplatte gespielt (es wurden alle 3 Partitions dabei angelegt), diese am Mac angeschlossen und über diese Platte den Mac gebootet. Vorher hat der Mac das Kennwort abgefragt, anschließend wurde gebootet.