Thread wurde vom System oder vom Community-Team geschlossen.

Filevault auch bei APFS nutzen?

Unter APFS wird ja auch verschlüsselt. Macht es trotzdem Sinn Filevault zu nutzen?

Gepostet am 02. Okt. 2017 11:12

Antworten
Frage gekennzeichnet als Beste Antwort

Gepostet am 02. Okt. 2017 23:22

Man muss hier zwei grundsätzliche Dinge unterscheiden:


1. Die Verschlüsselung des Dateisystems

2. Die Verschlüsselung durch das Betriebsystem (hier ist 1. Voraussetzung)


Zunächst zum Punkt 2 - bei MacOS durch FileVault umgesetzt:


FileVault ist eine Funktion von macOS und kann zwei DInge:

1. Die Systempartition im laufenden Betrieb in ein verschlüsseltes Dateisystem umwandeln oder wahlweise auch wieder zurück.

2. Bereits vor dem Start des Betriebssystems einen Pseudo-Anmeldeschirm anzeigen, beim dem ausgewählte Benutzer den nötigen Schlüssel zum Entschlüsseln der Systempartition freischalten können. Für diese Benutzer wird eine automatische Verwaltung der ganzen daran beteiligten Schlüssel organisiert.


Ob man FileVault mit verschlüsseltem HFS+ oder verschlüsseltem APFS betreibt, ist egal. Verschlüsseltes APFS ersetzt FileVault nicht, sondern ist überhaupt erst die Voraussetzung, dass man FileVault auch weiterhin nutzen kann.


Zu Punkt 1 - bei MacOS:


Sowohl bei HFS+, als auch bei APFS ist eine Verschlüsselung gegeben (sonst wäre FileVault unter HFS+ auch gar nicht möglich gewesen). Bei HFS+ wurde die Verschlüsselung durch die zusätzliche Schicht „CoreStorage“ nachgerüstet. Bei APFS ist die Funktion direkt mitgegeben worden. Bei beiden Dateisystemen ist die Verschlüsselung eine freiwillig nutzbare Zusatzoption. D.h. die Verschlüsselung ist auch bei APFS nicht automatisch gegeben. Auch hier muss man sich beim anlegen des Dateisystems entscheiden, ob man verschlüsseln möchte oder nicht.


Wenn man FileVault einsetzt, kann man die Verschlüsselung der Systempartition auch im laufenden Betrieb ein- oder ausschalten und hat eine in den Startvorgang integrierte Schlüsselverwaltung. D.h. wenn man die Systempartition verschlüsseln möchte, dann schaltet man die Verschlüsselung per FileVault ein. Nur dadurch ist sichergestellt, dass der Schlüssel zum Enschlüsseln der Platte irgendwie ins System kommt. Das Betriebssystem kann dabei nicht helfen, denn das ist vor dem Booten ja noch verschlüsselt.


Wenn man irgendeine andere Partition verschlüsseln möchte, kann man nicht FileVault verwenden. In dem Fall gibt man den Schlüssel selber vor und muss ihn selbst auch verwalten (bzw. ihn im Schlüsselbund ablegen).


Es ändert sich aber sonst nichts. Ob "hinter" den verschlüsselten Plattenblöcken ein HFS+ oder ein APFS liegt, ist mehr oder weniger egal. APFS hat eine Option, auf Wunsch doppelt zu verschlüsseln, also nicht nur das ganze Dateisystem, sondern nochmal jede Datei einzeln, mit unterschiedlichen Schlüsseln. In iOS wird das standardmäßig genutzt, in macOS standardmäßig nicht.


D.h. es macht nicht nur Sinn FileVault zu benutzen, sondern es ist zwingend erforderlich, wenn man die Systempartition unter MacOS Verschlüsselung möchte.

3 Antworten
Frage gekennzeichnet als Beste Antwort

02. Okt. 2017 23:22 als Antwort auf KlausStu

Man muss hier zwei grundsätzliche Dinge unterscheiden:


1. Die Verschlüsselung des Dateisystems

2. Die Verschlüsselung durch das Betriebsystem (hier ist 1. Voraussetzung)


Zunächst zum Punkt 2 - bei MacOS durch FileVault umgesetzt:


FileVault ist eine Funktion von macOS und kann zwei DInge:

1. Die Systempartition im laufenden Betrieb in ein verschlüsseltes Dateisystem umwandeln oder wahlweise auch wieder zurück.

2. Bereits vor dem Start des Betriebssystems einen Pseudo-Anmeldeschirm anzeigen, beim dem ausgewählte Benutzer den nötigen Schlüssel zum Entschlüsseln der Systempartition freischalten können. Für diese Benutzer wird eine automatische Verwaltung der ganzen daran beteiligten Schlüssel organisiert.


Ob man FileVault mit verschlüsseltem HFS+ oder verschlüsseltem APFS betreibt, ist egal. Verschlüsseltes APFS ersetzt FileVault nicht, sondern ist überhaupt erst die Voraussetzung, dass man FileVault auch weiterhin nutzen kann.


Zu Punkt 1 - bei MacOS:


Sowohl bei HFS+, als auch bei APFS ist eine Verschlüsselung gegeben (sonst wäre FileVault unter HFS+ auch gar nicht möglich gewesen). Bei HFS+ wurde die Verschlüsselung durch die zusätzliche Schicht „CoreStorage“ nachgerüstet. Bei APFS ist die Funktion direkt mitgegeben worden. Bei beiden Dateisystemen ist die Verschlüsselung eine freiwillig nutzbare Zusatzoption. D.h. die Verschlüsselung ist auch bei APFS nicht automatisch gegeben. Auch hier muss man sich beim anlegen des Dateisystems entscheiden, ob man verschlüsseln möchte oder nicht.


Wenn man FileVault einsetzt, kann man die Verschlüsselung der Systempartition auch im laufenden Betrieb ein- oder ausschalten und hat eine in den Startvorgang integrierte Schlüsselverwaltung. D.h. wenn man die Systempartition verschlüsseln möchte, dann schaltet man die Verschlüsselung per FileVault ein. Nur dadurch ist sichergestellt, dass der Schlüssel zum Enschlüsseln der Platte irgendwie ins System kommt. Das Betriebssystem kann dabei nicht helfen, denn das ist vor dem Booten ja noch verschlüsselt.


Wenn man irgendeine andere Partition verschlüsseln möchte, kann man nicht FileVault verwenden. In dem Fall gibt man den Schlüssel selber vor und muss ihn selbst auch verwalten (bzw. ihn im Schlüsselbund ablegen).


Es ändert sich aber sonst nichts. Ob "hinter" den verschlüsselten Plattenblöcken ein HFS+ oder ein APFS liegt, ist mehr oder weniger egal. APFS hat eine Option, auf Wunsch doppelt zu verschlüsseln, also nicht nur das ganze Dateisystem, sondern nochmal jede Datei einzeln, mit unterschiedlichen Schlüsseln. In iOS wird das standardmäßig genutzt, in macOS standardmäßig nicht.


D.h. es macht nicht nur Sinn FileVault zu benutzen, sondern es ist zwingend erforderlich, wenn man die Systempartition unter MacOS Verschlüsselung möchte.

Filevault auch bei APFS nutzen?

Willkommen in der Apple Support Community
Ein Forum, in dem Apple-Kunden sich gegenseitig mit ihren Produkten helfen. Melde dich mit deiner Apple-ID an, um Mitglied zu werden.