Fóra

FileVault - Ano nebo Ne

SRQrws

Původní plakát
4. srpna 2020
  • 12. srpna 2020
Zajímalo by mě, kolik lidí používá FileVault a jestli je to opravdu nutné na počítačích Mac s SSD, čipy T2 a vypnutým automatickým přihlašováním. Myslím, že moje otázka zní, pokud jste nastaveni tak, že vždy vyžadujete heslo pro přihlášení a nemáte pevný disk, který by bylo možné v případě krádeže a přístupu k němu odstranit, je FileVault opravdu nezbytný? Své zálohy Time Machine na externích discích šifruji a jasně chápu důvod, proč tak dělám. Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl z něj získat data? Pro zdejší odborníky je to možná triviální otázka, ale oceňuji každý názor. H

hobowankenobi

27. srpna 2015


na pevné lince Mr. Kovář.
  • 12. srpna 2020
Spravedlivá otázka. Myslím, že odpověď se bude značně lišit na základě mnoha proměnných, včetně celkové konfigurace zabezpečení, rizika použití/cestování/krádeže a toho, co je na počítači (jak citlivé).

Jak správně podotýkáte, v dávných dobách bylo docela triviální přistupovat k disku přes TDM nebo jej vyjmout, abyste získali přístup k datům.
OTOH...s rotujícími disky, výkonovými zásahy a počáteční dobou šifrování byly dobrým důvodem, proč to NEŠifrovat.

To vše je nyní v podstatě pryč (alespoň na nedávných počítačích Mac), takže...staré zvyky (pro i proti) je třeba skoncovat.

Jediný důvod, proč se pozastavuji nad používáním filevaultu, jsou stroje s více uživateli, jako je školní laboratoř nebo sdílená pracovní stanice.

To...a strach, že někteří uživatelé jednoduše zapomenou své PW, a to se stane bolestí pro všechny, mnohem větší než jen zapomenuté přihlašovací údaje. T

TrevorR90

1. října 2009
  • 14. srpna 2020
Nemyslím si, že by to nějak uškodilo výkonu. Je to další vrstva zabezpečení a jak jsem řekl, neuškodí ji mít. H

hobowankenobi

27. srpna 2015
na pevné lince Mr. Kovář.
  • 14. srpna 2020
Nyní to není žádný výkonový hit, a to jak kvůli SSD, tak APFS. To byl bolestivé....před mnoha lety. Někomu se možná v ústech ještě znechucuje pachuť ze starých špatných časů.
reakce:thetillyt T

thetillyt

8. dubna 2020
  • 14. srpna 2020
hobowankenobi řekl: Nyní to není žádný výkonový hit, a to jak kvůli SSD, tak APFS. To byl bolestivé....před mnoha lety. Někomu se možná v ústech ještě znechucuje pachuť ze starých špatných časů.
Pamatuji si, že když jsem to zapnul, tak to hodně poškodilo výkon...
reakce:hobowankenobi

Boyd01

Moderátor
Zaměstnanec
21. února 2012
New Jersey Pine Barrens
  • 14. srpna 2020
Nemám externí GPU, ale na fóru Mini se diskutovalo o tom, že s povoleným filevaultem se výzva k zadání hesla objeví pouze na přímo připojeném monitoru. Pokud jsou tedy vaše monitory připojeny k eGPU, dialogové okno pro zadání hesla se při spuštění nezobrazí.
reakce:Yebubbleman

Apple_Robert

21. září 2012
Uprostřed několika knih.
  • 14. srpna 2020
U novějších strojů nepoznáte, že je FV zapnuté. Je to tak bezproblémové. Vřele doporučuji zapnout.

Souhlasím s předchozími příspěvky, které hovořily o starých pomalých časech. Zpoždění bylo patrné a zašifrování velkého disku by trvalo několik dní. Jsem rád, že ty dny jsou pryč.
reakce:Photopooba

mj_

18. května 2017
Austin, TX
  • 15. srpna 2020
SRQrws řekl: Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl by z něj získat data?
Je pravda, že by to již nebylo možné. Stále však existuje několik způsobů, jak přistupovat k souborům se zakázaným FileVault2. Můžete například zavést systém do režimu cílového disku a mít plný přístup k jednotce. Pokud má váš Mac povoleno spouštění z externích zdrojů, můžete také zavést systém z jednotky USB a mít k jednotce plný přístup. Není povoleno spouštění z externích zdrojů? Žádný problém, stačí spustit obnovu a buď vytvořit úplnou kopii pomocí nástroje na disku, nebo ještě lépe pomocí terminálu resetovat heslo uživatele, pak jednoduše spustit Mac normálně a mít plný přístup ke všemu na disku.

Pravděpodobně existuje více způsobů, které mě teď nenapadly.
reakce:Leon1das

SRQrws

Původní plakát
4. srpna 2020
  • 15. srpna 2020
mj_ ​​řekl: Přiznávám, že už by to nebylo možné. Stále však existuje několik způsobů, jak přistupovat k souborům se zakázaným FileVault2. Můžete například zavést systém do režimu cílového disku a mít plný přístup k jednotce. Pokud má váš Mac povoleno spouštění z externích zdrojů, můžete také zavést systém z jednotky USB a mít k jednotce plný přístup. Není povoleno spouštění z externích zdrojů? Žádný problém, stačí spustit obnovu a buď vytvořit úplnou kopii pomocí nástroje na disku, nebo ještě lépe pomocí terminálu resetovat heslo uživatele, pak jednoduše spustit Mac normálně a mít plný přístup ke všemu na disku.

Pravděpodobně existuje více způsobů, které mě teď nenapadly.
Děkuji za podrobné informace. Netušil jsem, že existuje více způsobů, jak obejít přihlašovací heslo pro přístup k datům. Právě jsem povolil FileVault na všech svých počítačích Mac.

sgtaylor5

Přispěvatel
6. srpna 2017
Cheney, WA, USA
  • 21. srpna 2020
Zajímavost: Vím, že tato skutečnost není relevantní pro moderní MacBook Pro s čipem T2, ale nedávno jsem zjistil, že FV způsobilo, že můj koncem roku 2013 MBP (i5/8/256) běžel o 2 nebo 3 stupně tepleji (stále na High Sierra a Mojave, používající Mac Fan Control nastavené na 3000 ot./min a CPU PECI jako zdroj teploty)

mj_

18. května 2017
Austin, TX
  • 21. srpna 2020
Je to proto, že CPU ve vašem 2013 je tak staré, že postrádá logiku hardwarového dešifrování (AES-NI) potřebnou pro rychlé a efektivní dešifrování a šifrování za běhu, které je proto nutné provádět pomocí běžných x86 ALU prováděcích jednotek. Pokud jsem pochopil, starší implementace AES-NI postrádají podporu pro konkrétní algoritmus, který Apple používá pro šifrování FileVault2, ale o tom mě necitujte.

Novější implementace AES-NI by již neměly mít tento problém.
reakce:cool11, sgtaylor5, Weaselboy a 1 další osoba

sgtaylor5

Přispěvatel
6. srpna 2017
Cheney, WA, USA
  • 21. srpna 2020
Děkuji za toto vysvětlení; ostatní, kteří navštíví toto vlákno, to budou chtít vidět.

Pouze v počítačovém průmyslu lze zařízení z roku 2013 považovat za staré. Trvalo mi mnoho desetiletí, než byla situace v mém životě správná a mohl jsem si koupit svůj současný Mac za poloviční cenu, když mu bylo pět let. Miluji to; byl to pro mě dříč.
reakce:Boyd01 NA

avz

7. října 2018
  • 21. srpna 2020
sgtaylor5 řekl: Děkuji za vysvětlení; ostatní, kteří navštíví toto vlákno, to budou chtít vidět.

Pouze v počítačovém průmyslu lze zařízení z roku 2013 považovat za staré. Trvalo mi mnoho desetiletí, než byla situace v mém životě správná a mohl jsem si koupit svůj současný Mac za poloviční cenu, když mu bylo pět let. Miluji to; byl to pro mě dříč.

Na svém MacBooku z konce roku 2008 mám povolenou FV na obou discích (Mavericks na HFS+ původním 5400rpm HDD a Mojave na APFS SSD). Nepozoruji žádné výkonové zásahy ani změny teplot. Možná se budete chtít podívat na výměnu tepelné směsi a čištění prachu uvnitř stroje/výměnu baterie.

sgtaylor5

Přispěvatel
6. srpna 2017
Cheney, WA, USA
  • 21. srpna 2020
Dík; Už jsem udělal první dva návrhy a moje baterie je zatím v pořádku při 368 cyklech.

BuffyzDead

30. prosince 2008
  • 21. srpna 2020
SRQrws řekl: Jsem zvědavý, kolik lidí používá FileVault a jestli je to opravdu nutné na počítačích Mac s SSD, čipy T2 a deaktivovaným automatickým přihlašováním. Myslím, že moje otázka zní, pokud jste nastaveni tak, že vždy vyžadujete heslo pro přihlášení a nemáte pevný disk, který by bylo možné v případě krádeže a přístupu k němu odstranit, je FileVault opravdu nezbytný? Své zálohy Time Machine na externích discích šifruji a jasně chápu důvod, proč tak dělám. Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl z něj získat data? Pro zdejší odborníky je to možná triviální otázka, ale oceňuji každý názor.

Tento aktuální článek vnese více světla do rozhodování všem.

Jak FileVault a bezpečnostní čip T2 spolupracují na novějších počítačích Mac

Macy s čipem T2 vždy šifrují své disky. Proč je FileVault nutný?
reakce:ghanwani a svanstrom

Yebubbleman

20. května 2010
Los Angeles, CA
  • 21. srpna 2020
SRQrws řekl: Jsem zvědavý, kolik lidí používá FileVault a jestli je to opravdu nutné na počítačích Mac s SSD, čipy T2 a deaktivovaným automatickým přihlašováním. Myslím, že moje otázka zní, pokud jste nastaveni tak, že vždy vyžadujete heslo pro přihlášení a nemáte pevný disk, který by bylo možné v případě krádeže a přístupu k němu odstranit, je FileVault opravdu nezbytný? Své zálohy Time Machine na externích discích šifruji a jasně chápu důvod, proč tak dělám. Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl z něj získat data? Pro zdejší odborníky je to možná triviální otázka, ale oceňuji každý názor.

To, že je FileVault 2 „nezbytný“, je subjektivní. Pokud podnikáte, je to pravděpodobně nutné ze stejných důvodů jako BitLocker nebo jiný softwarový balíček pro šifrování celého disku pro Windows. Pokud jste to jen vy a na Macu nemáte žádné citlivé informace, pak je to věc osobních preferencí.

K zodpovězení vaší otázky „pokud by někdo dokázal odstranit SSD na T2 Mac, byl by schopen dostat se k datům?“, krátká odpověď je ne.

SSD jsou integrovány (čti: připájeny) na hlavní logickou desku na MacBooku Pro, MacBooku Air a Macu mini představeném od roku 2018, takže to není ani fyzicky možné. Jsou technicky zcela odnímatelné na Mac Pro a iMac Pro a částečně vyjímatelné na 4TB a 8TB 2020 27' iMacích (v tom, že část disku je na logické desce a část je v rozšiřujícím modulu 2-4TB) . T2 je řadič SSD na všech počítačích Mac T2 a T2 je spárován s úložištěm ve výrobě. Pokud vyjmete úložné moduly z logické desky T2 Mac, se kterou byl původně spárován, data se fakticky ztratí.

Jak bylo uvedeno výše, stále můžete na Macu používat režim Target Disk Mode k odstranění souborů, aniž byste museli zadávat jakékoli heslo. Ano, vaše data jsou na T2 Mac vždy zašifrována, ale nemáte žádný ochranný mechanismus, který by zablokoval režim Target Disk Mode, aby váš T2 Mac stále zpřístupnil jinému Macu.

Zapnutím FileVault 2 na T2 Mac se váš disk nezašifruje. Disk je již ve výchozím nastavení zašifrován (a není zde žádný vypínač). Jediné, co dělá, je přidružit (a vynutit) ochranu nutnosti zadat klíč nebo uživatelské jméno a heslo při přístupu k jednotce přes něco jako režim cílového disku. Stejnou ochranu disku můžete funkčně povolit nastavením hesla firmwaru. V obchodním prostředí je FileVault 2 mnohem preferovanější, protože KAŽDÝ klíč FileVault 2 můžete uložit do centralizované databáze pomocí institucionálního klíče FileVault 2. Navíc odstraňuje potřebu měnit HESLO FIRMWARU KAŽDÉHO Macu, když ze společnosti odejde vysoce postavený zaměstnanec IT.

Osobně nejsem největší na FileVault 2. Myslím si, že je to neohrabané a jsou tam vrozené zvláštnosti, díky kterým je diagnostikování problémů Macu ještě těžší, když je povoleno. Ale na T2 Mac je to určitě tak rychlé a snadné, že o tom nemusíte opravdu přemýšlet. Zapnutí a vypnutí je okamžité a nakonec nemá takové důsledky, jaké byste mohli mít na Macu bez T2.

TrevorR90 řekl: Nemyslím si, že by to mělo nějakým způsobem zhoršit výkon. Je to další vrstva zabezpečení a jak jsem řekl, neuškodí ji mít.

Na T2 Mac to nemá vůbec vliv na výkon. Zapnutím FileVault 2 na T2 Mac pouze přidružíte FileVault ke stávajícímu hardwarovému šifrování.

Zatímco na Macu starším než T2 vyžaduje aktivace FileVault 2 skutečně šifrování disku a rozhodně bude mít za následek pomalejší výkon disku. I když rozdíl ve výkonu nebude patrný na SSD bezpečném pro super diskově náročné pracovní postupy. Náhodní uživatelé by si rozdíl ve výkonu neměli vůbec všimnout.
reakce:0279317 a hobowankenobi

mj_

18. května 2017
Austin, TX
  • 22. srpna 2020
Yebubbleman řekl: Zatímco na Macu starším než T2 vyžaduje aktivace FileVault 2 skutečně šifrování disku a rozhodně bude mít za následek pomalejší výkon disku. I když rozdíl ve výkonu nebude patrný na SSD bezpečném pro super diskově náročné pracovní postupy. Náhodní uživatelé by si rozdíl ve výkonu neměli vůbec všimnout.
Skvělá poznámka, to jsem zapomněl zmínit. Provedl jsem benchmarky na svém externím Samsung 970 EVO uvnitř pouzdra USB 3.2 Gen 1 na iMacu 2017, známém jako jeden bez čipu T2. Bez FileVault2 dostanu přes 950 MB/s při čtení i zápisu. S povoleným FileVault2 dostanu kolem 650 MB/s zápisů kolem 750 MB/s čtení. Existuje tak měřitelný, ale nepozorovatelný dopad na výkon úložiště.
reakce:hobowankenobi a Boyd01

cool11

3. září 2006
  • 2. prosince 2020
mj_ ​​řekl: Je to proto, že CPU ve vašem 2013 je tak staré, že postrádá logiku hardwarového dešifrování (AES-NI) potřebnou pro rychlé a efektivní dešifrování a šifrování za běhu, které je proto nutné provádět pomocí běžného x86 ALU provádění Jednotky. Pokud jsem pochopil, starší implementace AES-NI postrádají podporu pro konkrétní algoritmus, který Apple používá pro šifrování FileVault2, ale o tom mě necitujte.

Novější implementace AES-NI by již neměly mít tento problém.

Takže by to byla bolest zapnout filevault v mém mbp 15' koncem roku 2013?

Stále nechápu, co prakticky může filevault uživateli nabídnout.

Míval jsem všechna svá drahocenná/soukromá data v zašifrovaných dmg obrázcích.
Otevírám je, když odtamtud něco potřebuji, některé jsou vzácné, jiné každý den.
Neříkám, že je to možná nejlepší šifrovací nástroj, ale lepší než nic.

Stále však nemohu změřit výhody a nevýhody na starších nebo novějších počítačích Mac.

mj_

18. května 2017
Austin, TX
  • 2. prosince 2020
Největší výhodou FileVaultu ve vašem konkrétním případě by bylo, že byste se nemuseli potýkat se zašifrovanými obrazy disků. Celý váš disk bude zašifrován, včetně historie prohlížeče, místní mezipaměti, miniatur atd. Vše. Bylo by to mnohem bezpečnější a hlavně mnohem bezbolestnější a plynulejší než řešit šifrované obrazy disků.
reakce:hobowankenobi a cool11

cool11

3. září 2006
  • 3. prosince 2020
Jak Filevault v praxi funguje?
Myslím, ne moc po technické stránce, ale v každodenní interakci s uživatelem.
Co jiného bych měl dělat kromě kontroly na panelu „zabezpečení“?
A co prakticky získám? Pokud je můj mbp odcizen nebo by měl být náhle odeslán do opravny, jsou moje data v bezpečí a zašifrována? Víc než řešit šifrované dmg?
Nebo je to něco spíše ekvivalentního z hlediska skutečné bezpečnosti dat? H

hobowankenobi

27. srpna 2015
na pevné lince Mr. Kovář.
  • 3. prosince 2020
cool11 řekl: Prakticky, jak Filevault funguje?
Myslím, ne moc po technické stránce, ale v každodenní interakci s uživatelem.
Co jiného bych měl dělat kromě kontroly na panelu „zabezpečení“?
A co prakticky získám? Pokud je můj mbp odcizen nebo by měl být náhle odeslán do opravny, jsou moje data v bezpečí a zašifrována? Víc než řešit šifrované dmg?
Nebo jde o něco spíše ekvivalentního z hlediska skutečné bezpečnosti dat?
Ano. Protože je disk zašifrován, nejsou k dispozici žádná data, dokud a dokud nezadáte PW. Takže...pokud je stroj ukraden, jediný snadný způsob, jak získat přístup, byl, kdyby byl přihlášený a vzhůru. Za předpokladu, že člověk nezakáže automatické odhlášení při spánku (a zavře víko), je to velmi nepravděpodobný scénář. I kdyby bylo možné nějakým způsobem ukrást stroj, když je přihlášený a vzhůru, museli by být velmi opatrní, aby stroj neuspali, a nemohli by snadno získat přístup k PW nebo jej změnit.

Jak již bylo zmíněno, uživatel nemusí nic dělat, protože je vždy zapnutý. Všechna data a informace jsou 100% času v bezpečí.

Jedinou nevýhodu, kterou jsem viděl, je, že pokud byl počítač nějak hacknut, když byl uživatel přihlášen, data by mohla být viděna nebo zkopírována, za předpokladu, že má hacker plný přístup k otevřenému, přihlášenému Macu. Šance na to, ve srovnání s ukradením, je velmi, velmi malá, vezmeme-li v úvahu, že u počítačů Mac nebylo téměř žádné hackování, které by umožňovalo vzdálený přístup správce. A obecně řečeno, zabezpečení se každým rokem zlepšuje, jak OS a bezpečnostní funkce dozrávají. Právě v posledních 2-3 aktualizacích operačního systému jsme zaznamenali podstatné zvýšení zabezpečení Macu, takže šance, že kontrolu převezme vzdálený útočník, stále klesají, zatímco fyzická krádež je stejně riskantní jako vždy.

A ano, pokud je stroj odeslán k opravě a je přiděleno administrátorské/dešifrovací PW, vaše data jsou k dispozici slídům. Jeden snadný způsob, jak to ztížit, je jednoduše vytvořit druhý účet správce s jiným PW, takže se žádný technik nemůže snadno přihlásit k vašemu primárnímu účtu. To by popřelo jakékoli slídění a k vašim datům by se člověk mohl dostat jen s poměrně seriózní prací na změně oprávnění. Víc než co by udělal slídil...pokusí se jen o vážný hack/krádež. Poslední úprava: 3. prosince 2020
reakce:cool11

cool11

3. září 2006
  • 4. prosince 2020
Heslo Filevault, je stejné jako heslo pro přihlášení?

Vyžaduje Apple takové heslo, když uživatelé posílají své stroje do oficiálních opravárenských center Apple? H

hobowankenobi

27. srpna 2015
na pevné lince Mr. Kovář.
  • 4. prosince 2020
cool11 řekl: Heslo Filevault, je stejné jako heslo pro přihlášení?

Vyžaduje Apple takové heslo, když uživatelé posílají své stroje do oficiálních opravárenských center Apple?
Ano, stejný PW. Nic jiného, ​​co by se dalo dělat nebo pamatovat.

Dešifrovat disk a přihlásit se mohou pouze uživatelé s povolením . Takže ano, pokud se technik potřebuje přihlásit, museli byste dát PW. Mohl by to být jiný účet, pokud by byl povolen.
reakce:cool11

jaclu

12. ledna 2021
  • 12. ledna 2021
Apple_Robert řekl: U novějších strojů nemůžete poznat, že je FV zapnuté. Je to tak bezproblémové. Vřele doporučuji zapnout.
Nejste si úplně jisti, co máte na mysli v první větě. V tom smyslu, že si nevšimnete žádné ztráty výkonu, souhlasím. Můžete však zjistit, zda je FV zapnuto, stačí provést a

diskutil seznam apfs

A pro každý svazek je uveden jeho stav FileVault

Apple_Robert

21. září 2012
Uprostřed několika knih.
  • 12. ledna 2021
jaclu řekl: Nejsem si úplně jistý, co máte na mysli v první větě. V tom smyslu, že si nevšimnete žádné ztráty výkonu, souhlasím. Můžete však zjistit, zda je FV zapnuto, stačí provést a

diskutil seznam apfs

A pro každý svazek je uveden jeho stav FileVault
Měl jsem na mysli snížení výkonu, protože to nelze říct....
reakce:jaclu
  • 1
  • 2
  • 3
  • 4
další

Jdi na stránku

Jítdalší Poslední
jak Jak Zásady Ochrany Osobních Údajů Jiný Recenze
Apple Music aktualizuje kartu „Procházet“ s novými tematickými sekcemi
Ikonický rolák značky Steve Jobs plánuje novou edici, která přijde v červenci za 270 dolarů
Populární Příspěvky

Populární Příspěvky

Jak Tos
Recenze: Dokovací stanice Thunderbolt 3 od OWC poskytuje vašemu MacBooku Pro 13 více portů pro práci
Apple News
Indie v kurzu bude mezi prvními trhy uvedení iPhonu 15
Apple News
Displej LG UltraFine 4K již není uveden v obchodech Apple v celé Evropě
Jiný
Time Warner Cable Arris modem a letištní expres
Apple News
iOS 15: Jak používat nové mapy počasí společnosti Apple
Fóra
Odebrání připojení OneDrive z MS Office na Macu