FileVault ist eine Funktion, die seit Mac OS X 10.3 existiert und die persönlichen Daten der Benutzer mit AES-128 verschlüsseln kann. Es werden ausschließlich Benutzerverzeichnisse verschlüsselt und jeder Benutzer muss die Funktion selbst aktiveren. So kann niemand auf die Daten zugreifen; selbst dann nicht, wenn er von einer CD oder DVD, einem USB-Stick oder einer externen Festplatte bootet.
In Mac OS X 10.7 Lion wird FileVault in einer neuen Version enthalten sein. Es wird nun die komplette Festplatte verschlüsselt. Die Leistung des Computers wird dadurch nicht beeinträchtigt. Die Erstverschlüsselung läuft — einen kurzen Neustart nach der Aktivierung vorausgesetzt — unterbrechungsfrei im Hintergrund ab. Dabei werden nur nicht genutzte Ressourcen verwendet, sodass man in voller Geschwindigkeit weiterarbeiten kann.
Bezüglich der Sicherheit von FileVault 2 verweise ich auf die Kommentare. Dort hat Henok gut erklärt, wie FileVault 2 als sehr sicher zu beschreiben ist. (Vielen Dank dafür, Henok!)
Es ist möglich, aber kein Muss, den FileVault-Schlüssel — durch drei „Geheime Fragen“ geschützt — auf den Apple-Servern zu speichern und bei Vergessen des Passworts die Verschlüsselung mithilfe der Apple-ID und drei richtiger Antworten zu entfernen. Das Verschlüsseln externer USB- und FireWire-Laufwerke wird nun auch unterstützt.
Nach dem Einschalten bzw. nach einem Neustart muss dann stets ein Benutzerkennwort eines Administrators eingegeben werden. Benutzer ohne Kennwort können den Mac also nicht eigenständig hochfahren. Darauf wird jedoch in den Systemeinstellungen hingewiesen.
In den Systemeinstellungen (siehe Bild 1) unter dem Punkt Sicherheit FileVault auswählen (Bild 2). Dort ggf. mit Klick auf das Schlosssymbol entsperren (Bild 3) und dann auf „FileVault aktivieren“ klicken. Nun werden die Benutzer aufgelistet und es wird angezeigt, welche Benutzer noch kein Kennwort haben (Bild 4). Benutzer ohne Kennwort können den Mac nicht starten oder entsperren! Ein Klick auf Fortfahren zeigt den Wiederherstellungsschlüssel an, den ihr unbedingt notieren solltet (Bild 5). Es ist auch möglich, den Schlüssel – abgesichert durch 3 Sicherheitsfragen – auf den Servern von Apple zu speichern (Bilder 6 und 7).
Das war’s! Nach einem Neustart oder nach dem Sperren des Systems wird nun immer das Benutzerkennwort abgefragt, bevor das System gestartet oder genutzt werden kann. (Beim ersten Mal dauert es natürlich eine Weile, bis FileVault mit dem Verschlüsseln der Dateien auf der Festplatte fertig ist. Den aktuellen Status kann man in den FileVault-Einstellungen (Bild 2/3) sehen.
Diverse Tests zeigen, dass FileVault 2 keine Geschwindkeitseinbußen mit sich bringt. Auch bei mir ist es so, dass mein MacBook Air noch genau so schnell ist wie vor der Aktivierung von FileVault.
Nun seid ihr dran: Wie findet ihr das neue FileVault 2? Benutzt ihr zurzeit eine Lösung zur Verschlüsselung eurer Daten?
Boris sagt:
Hallo,
ist zwar ein schon etwas älterer Beitrag, aber eine Sache ist mir aufgefallen.
Es kam die Frage auf, wie man „andere“ Datenträger als das interne Laufwerk + TimeMachine Festplatte verschlüssleln kann.
Ganz einfach – mit der rechten Maustaste auf den Datenträger klicken und „XYZ verschlüsseln“ auswählen.
Fertig (nach einer gewissen Wartezeit, klar). ;-)
Nickel715 sagt:
danke für den interessanten Artikel.
Eine frage die ich immer noch nicht klären konnte wann sind meine Daten verschlüsselt und wann nicht, sprich wann sind Sie sicher und wann nicht.
Ben sagt:
Deine Daten sind mit FileVault 2 IMMER verschlüsselt.
Nickel715 sagt:
hmm ok aber wenn der mac nun läuft dann kann man ja ohne passwort eingabe über den finder auf die daten zugreifen, wenn ich aber jetzt den screensaver starte und damit auch der mac gesperrt wird sind meine daten dann absolut sicher?
Ben sagt:
Wenn FileVault aktiviert ist, ist es nicht mehr möglich, den Bildschirmschoner bzw. die Computersperre ohne Kennworteingabe aufzuheben. Erklärt das die Frage? :)
Stefan sagt:
Danke für die nützlichen Artikel hier auf der Website!
Wenn Du noch Kapazitäten hast, würd mich folgende Meinung interessieren:
Ich verschlüssele neuerdings die Daten meiner internen Festplatte mit FileVault (Lion).
Weißt Du, ob das Backup mit TimeMachine auf der externen Festplatte dann auch noch im Nachhinein verschlüsselt wird?
Da ich noch weitere Daten auf der gleichen externen Platte lagere, stellt sich mir außerdem ein zweites Problem: Kann ich die Platte noch zusätzlich mit dem Festplatten-Dienstprogramm verschlüsseln, oder bringt dann TimeMachine die „doppelt“ verschlüsselten Daten durcheinander?
Kann man mit FileVault einfach die anderen Ordner auf der Festplatte verschlüsseln, um eventuell eine doppelte Verschlüsselung zu verhindern (auch gern übers Terminal) ?
Schonmal danke!
Stefan
popay sagt:
Ich habe FileVault aktiviert und nun funktioniert mein Passwort zum Login nicht mehr…
Ben sagt:
Beim FileVault-Login ist die Sprache auf Englisch gestellt. Kannst du mit zwei Klicks ändern ;)
Michael sagt:
Wenn Du mir die zwei Klicks nennen könntest….
Bis 10.7.1 gab es im Pre-Boot-Auth-Schirm ne Flagge zum Sprache wechseln. Seit 10.7.2 ist sie weg. Habe auch das Problem mit nem Sonderzeichen im PW, muss immer die „englische“ Taste dafür drücken. Und spätestens beim Umlaut im PW wird das schwer… :-(
Michael
Ben sagt:
Genau die beiden Klicks meinte ich… Eventuell gibt es eine Tastenkombination, um die Sprache zu wechseln?
Michael sagt:
Selber gefunden…
Wenn man nach was anderem sucht…
Unter Systemeinstellungen-> Benutzer… -> Anmeldeoptionen gibt es den Punkt „Eingabequellen im Anmeldefenster anzeigen“
Plötzlich ist die Oprion im PreBoot wieder da….
FileVault eingerichtet » peterswahrheit sagt:
[…] Ich habe Dateien auf meinem Notebook, die es mir wert sind sie vor dem unberechtigtem Zugriff zu schützen. Ein einfaches Systempasswort reicht maximal, bis die Festplatte ausgebaut und wie eine externe Festplatte darauf zugegriffen wird. Wesentlich komplizierter ist es, wenn die Daten verschlüsselt sind. Der für die Festplattenverschlüsselung mitgelieferte Datentresor von Apple heißt FileVault und ist sehr einfach über die Systemeinstellungen – Sicherheit – FileVault zu aktivieren. Weitere Informationen gibt es z.B. hier. […]
Christian sagt:
die Recoverypartition ist bei mir durch Lion installiert worden und vorhanden, dennoch ist das Verschlüsseln nicht möglich.
Ich bin jetzt erst mal auf Snow Leopard zurück, da ich das Booten des Systems und das Starten von Anwendungen als unerträglich lange bezeichnen muss. Ich habe ein MBP von April 2011 mit denke ich genug Leistung aber die Verluste sind mir einfach zu groß. Man muß auch einige kurze „Hänger“ bei scrollen usw. beobachten.
Ich hatte allerdings wie sicherlich die meisten ein Update auf Lion gemacht. Ich werde vielleicht am Wochenende, das Notebook komplett mit Lion installieren und kein Update machen, dank TimeMachine sollte dies ja kein Problem sein.
mfg
Stefan Knecht sagt:
zu schnell geschossen „Zudem muss die Recovery HD auf dem Startlaufwerk installiert sein, das das Installationsprogramm von Mac OS X Lion bei der Installation zu erstellen versucht.“ sagt es hier: http://support.apple.com/kb/HT4790?viewlocale=de_DE — daran liegt es bei mir.
Christian sagt:
Hallo,
ja ich habe einen User, der hat auch ein Loginpasswort von mir vergeben.
Ich aktiviere FileVault2 bekomme den Schlüssel gezeigt, wenn ich nun auf den Button Neustart klicke, dauert es einen Moment und ich bekomme eine Fehlermeldung. Siehe Screenshot.
http://www.bilder-hosting.info/viewer.php?id=bfi1313242847c.png
Stefan Knecht sagt:
detto bei mir, MBP late 2011
Christian sagt:
Hallo,
ich wollte dies auch gerade testen, allerdings bekomme ich wenn ich FileVault 2 aktviere, gesagt mein Benutzer hat kein gültiges Passwort?
Ich habe nur einen User und der hat auch ein Passwort?
Ben sagt:
Sorry, dass ich nachfrage: Der Benutzer hat ein Passwort und du bekommst eine Fehlermeldung beim Aktivieren von FileVault 2 – nicht danach? Kannst du bitte einen Screenshot der Fehlermeldung irgendwo hochladen und hier kommentieren?
Michael sagt:
Hallo,
danke für den Artikel…
Eine Frage zum ganzen: ich musste während die Verschlüsselung noch lief das MB booten. Seit dem kriege ich keine Fortschrittsanzeige mehr und in der Konsole entsprechende Fehlermeldungen. Kann mir jemand sagen, wo ich sehen kann, ob er fertig verschlüsselt hat? Vorm Boot sagte er „noch 2 Stunden“, das ist aber gefühlte 8 Stunden Laufzeit her…
Gruß
Michael
Ben sagt:
Im Festplatten-Dienstprogramm müsste der Status angezeigt werden.
Christian sagt:
Hallo zusammen,
interessantes Thema, beschäftige mich schon lange mit verschiedenen Verschlüsselungsanwendungen, welche auch Plattformübergreifend (MAC-Windows) ein unproblematisches Händeln ermöglicht.
Hat jemand bereits Erfahrung mit FileVault2 mit der Whole-Disk-Verschlüsselung mit einem vorhandenem Bootcamp, oder gibt es hier Probleme ?
Ben sagt:
Es hat leider ein bisschen länger gedauert, aber mein Artikel ist online. Alle, die wissen möchten, wie man einen USB-Stick oder eine externe Festplatte mit FileVault 2 verschlüsselt, hier entlang:
http://www.devblogger.de/apple/usb-stick-oder-festplatte-mit-filevault-2-unter-mac-os-x-lion-verschluesseln/
Matze13 sagt:
Was muss ich machen um mein Time Machine BackUp auch zu verschlüsseln? Hab da nix gefunden oder geht das nach der Verschlüsselung der Macintosh HD automatisch? Und wie ist es wenn das BackUp auf einer Partition liegt aber nur die BackUp Partition verschlüsselt werden soll?
Grüße
Matze
Ben sagt:
In den Time Machine-Einstellungen sollte eigentlich eine Option sein… Du musst das Volume neu auswählen – ist leider nicht unter Optionen selbst zu finden – und dann auf „Backup verschlüsseln“ gehen. Achtung: Es kann sein, dass alle Daten auf dem Backup-Volume ohne Nachfrage gelöscht werden, ich hab das nun nicht getestet.
Leo sagt:
Sicherlich sinnvoll für MacBooks, aber am iMac eher weniger zugebrauchen. ;-)
Philipp sagt:
Das stimmt.. Ich würde es auch eher auf meinem MacBook Air aktivieren, als am iMac.
Wobei es natürlich immer stark darauf ankommt, was man da für Daten drauf liegen hat. Also angenommen es sind irgendwelche sicherheitsrelevanten Sachen – wie beispielsweise Baupläne vom neuen BND-Gebäude ^^ – dann sollte die Platte unabhängig vom Rechnertyp verschlüsselt werden.
Ben sagt:
Aufgrund der Tatsache, dass iMacs meistens zuhause oder im Büro stehen?
Leo sagt:
Genau. Du schleppst ja nicht dauernd deinen iMac mit rum, oder? :D
FileVault 2 bei OS X 10.7 Lion | Der Kamener sagt:
[…] Bens Blog – Filevault 2 […]
macund.co sagt:
Ich habe FileFault schon seit der Beta aktiviert gehabt. Das erste verschlüsseln dauerte zwar sehr lange, aber man kann dabei sehr gut weiter arbeiten.
Geschwindigkeit konnte ich auch keine Unterschiede feststellen.
Es wurde auch Zeit das die komplette Verschlüsselung unter OS X endlich geht. Es gibt zwar schon lange Möglichkeiten die Platte zu verschlüsseln, aber ohne stundenlanges Gefrickel und auch für „normale“ User sind die alle nichts gewesen.
peter sagt:
hallo
habe versucht mein usb stick mit FileVault zu verschlüsseln, nur finde ich nirgends die möglichkeit dazu.
kann mir bitte jemand sagen wie man einen usb-stick einfach verschlüsselt.
danke für eure hilfe
lg
peter
Ben sagt:
Hallo Peter, das ist leider nicht möglich. FileVault 2 verschlüsselt nur deine Boot-Partition und ein eventuelles Time Machine-Backup-Medium. Man kann aber dennoch mit dem Festplatten-Dienstprogramm einen verschlüsselten Container anlegen. Falls hieran Interesse besteht, blogge ich gern drüber.
Philipp sagt:
Ich bin mir nicht so sicher, ob das so stimmt. Zitat von der Apple Seite:
„External drive support
FileVault 2 supports encryption of external USB and FireWire drives.“
Würde mich jetzt nur interessieren, wie das funktionieren soll.
Silentsnake sagt:
Das geht völlig Apple like – das alte File Vault bleibt zunächst bestehen und kann dann in den Einstellungen deaktiviert werden und ein File Vault 2 erstellt werden. Musst Dir bei der Installation also zunächst keinen Kopf darüber machen. ^^ Ich konnte leider bisher nicht entdecken, wie man Festplatten außer der Bootpartition verschlüsselt. :(
Philipp sagt:
Da ich kein FileVault nutze kann ich es nicht mit Sicherheit sagen, aber ich meine irgendwo gelesen zu haben, dass externe Datenträger mit dem Festplattendienstprogramm verschlüsselt werden können.
Ben, kannst du dazu was sagen?
Ben sagt:
Was genau meinst du? Falls du davon redest, dass das Time Machine-Backup eines mit FileVault 2 verschlüsselten Datenträgers ebenfalls verschlüsselt ist: Ja. Ansonsten bitte die Frage nochmal so stellen, dass ich sie verstehe :)
Philipp sagt:
;) Ne, ich meine USB Sticks. Die kann man auch verschlüsseln. Nur bin ich mir eben nicht mehr sicher wie genau man das macht. Ich meine dass das irgendwie über das Disk Utility geht.
plasma sagt:
Mich würde ja interessieren wie das mit einem vorhandenen File Vault funzt. Muss man gar vor dem Update auf Lion erst das File Vault deaktivieren? Hat jemand schon Lion(developer)? Ich freu mich auf Lion genau wegen File Vault 2G! ;)
LG
plasma
Henok sagt:
XTS gehört zu den „Block cipher-based modes“. Es dient dazu bei einer Verschlüsselung z.B. von 128 Bit auch Dateien die größer als die Schlüssellänge selbst sind zu verschlüsseln. Soweit ich informiert bin, werden die Dateien dazu in einzelne Blöcke von z.B. 128 Bit zerlegt dann verschlüsselt und bei entschlüsseln wieder zusammengesetzt und dazu dient diese XTS-Methode. Die Kryptographie ist eine mathematisch recht anspruchsvolles Feld und ich bin kein Experte deswegen erhebe ich hier keinen Anspruch auf Vollständigkeit oder Fehlerfreiheit.
Henok sagt:
AES mit 128 Bit ist ein aktuell als sehr sicher angesehener Verschlüsselungsalgorithmus. Ich Studiere an einer Technischen Hochschule und dort wird AES 128 Bit als Verschlüsselung für verschiedene Dienste wie z.B. die Chips in den Studentenausweisen genutzt auf welchen sensible und persönliche Daten gespeichert sind und die auch als Zahlungsmittel dienen.
Wer meint sein System mit AES 256 Bit oder der einer Kombination mehreren Algorithmen zu verschlüsseln soll das tun, aber ich halte es für paranoid und der Performance-Verlust steht in keinem Verhältnis zum an sich sowieso fraglichen nutzen.
Fazit: Wenn du deinen Mac mit FileFault verschlüsselt sind deine Daten vor dritten sicher!
Ben sagt:
Danke für deine Erklärung. Gibt es denn einen Unterschied zwischen XTS-AES 128 und AES 128 oder ist das nur ein anderer Ausdruck dafür?
_nico sagt:
Hallo,
ist es mit FileVault 2 immer noch, nur, AES-128?
Viele Grüße
Nico
Ben sagt:
Apple spricht von „XTS-AES 128“ — ich bin jetzt nicht so der Verschlüsselungsprofi und kann das leider daher nicht beantworten. Ist das eine erweiterte Version?