Además de poder codificar un volumen completo, ¿cuáles son las otras diferencias de FileVault 2 sobre FileVault?

17

¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?

    
pregunta Aron Rotteveel 20.07.2011 - 22:55

16 respuestas

7

Préstamos en gran medida de John Siracusa's Revisión del león ...

FileVault 2 es un sistema de cifrado de disco completo, en lugar de solo "almacenar su carpeta de inicio en una solución de imagen de disco cifrada". Se implementa como una capa de sistema de archivos por debajo del volumen real que desbloquea en el momento de inicio del sistema. Si está familiarizado con LVM , es muy similar. Cada vez que pasa el bloqueo de contraseña, todo se ve igual al resto del sistema.

Como Steve mencionó, el trabajo de encriptación puede ser asistido por instrucciones de un procesador especializado, y se ejecuta completamente en segundo plano. Lo bueno es que puede activar el cifrado del disco en una unidad completa, y todo se hará de forma libre (puede apagarlo, volver a activarlo, etc. y todo continuará).

    
respondido por el yuriismaster 21.07.2011 - 06:02
9

Ya no se pueden crear cuentas de 'Invitado' sin contraseña, ya que todo el disco está cifrado y no solo el directorio principal del usuario. Es triste que no haya podido encontrar información sobre el artículo de kb en Apple sobre esto.

    
respondido por el Sairam 22.07.2011 - 08:46
7

El nuevo Filevault parece ponerle muchas menos restricciones que la versión anterior. Por ejemplo, no tiene que cerrar sesión en Time Machine para trabajar, y todos los demonios de uso compartido parecen funcionar bien (algunos de ellos se desactivaron cuando se activó la falla de archivo si recuerdo correctamente. Creo que el intercambio de sitios web estaba entre ellos, lo cual hizo que mi computadora portátil fuera un poco inútil como plataforma de desarrollo para aplicaciones web :)).

Un problema con Filevault 2 es que no puede ssh en una máquina hasta que haya ingresado una contraseña localmente, ya que el proceso de inicio no puede comenzar hasta que se haya desbloqueado la unidad cifrada.

    
respondido por el GordonM 20.07.2011 - 23:43
4
  • Es compatible con AES-NI que descarga el cifrado y descifrado de las CPU compatibles (algunos Core i5 e i7).
  • Puede almacenar su clave de cifrado con Apple.

Estoy seguro de que hay algunos otros. Este artículo de soporte de Apple debería responder el resto de tus preguntas.

enlace

    
respondido por el Steve Moser 20.07.2011 - 23:07
4

Los fallos de FileVault 2 LVG pueden ser irreparables

De la página de manual para fsck_cs :

  

La utilidad fsck_cs verifica y repara los metadatos del grupo de volúmenes lógicos de CoreStorage.

...

  

ERRORES

     

fsck_cs no realiza una validación exhaustiva, ni es capaz de solucionar muchas de las inconsistencias que detecta.

Problemas con FileVault 1

fsck_hfs (utilizado por Disk Utility ) se ha desarrollado durante más de diez años y es capaz de reparar la mayoría de los problemas con JHFS + como lo usa FileVault 1.

Si encuentra un problema que fsck_hfs no puede reparar, hay varias utilidades alternativas de terceros.

Problemas de almacenamiento principal con FileVault 2

fsck_cs (también utilizado por Disk Utility) apareció por primera vez junto con CoreStorage en Mac OS X 10.7.0. Las inconsistencias pueden ser irreparables.

En ausencia de alternativas a fsck_cs

Si se produce un error en el LVG y fsck_cs no puede realizar las reparaciones necesarias, el volumen de inicio no se montará. En esta situación, puede reformatear el disco de forma destructiva y reinstalar Mac OS X. (Solo con Time OS de Recovery OS, no se proporcionará el Apple_Boot Recovery HD necesario para FileVault 2.)

    
respondido por el Graham Perrin 06.10.2011 - 20:30
3

Un inconveniente que puedo ver es que antes de poder cifrar cuentas de usuarios individuales, ahora solo puede cifrar todo el disco. Si cifra todo el disco, también tiene que descifrar todo el disco cada vez que use la computadora. Esto significa que una vez que se inicia la computadora, el malware puede acceder a todo el disco, mientras que antes de poder iniciar sesión (y luego volver a salir) de las cuentas críticas para la seguridad por separado.

Supongo que aún puedes usar imágenes de disco cifradas sobre FileVault para obtener datos realmente importantes.

Otro problema podría ser Time Machine. Mientras que antes, los directorios de los usuarios de FileVault también se almacenaban encriptados en el volumen de copia de seguridad, ese ya no parece ser el caso.

¿Alguien sabe si Time Machine ahora también admite el cifrado de todo el disco (de los informes hasta ahora parece que no está habilitado para unidades externas, al menos no a través de la GUI)?

Actualización: Aparentemente, Time Machine no admite el cifrado de todo el disco: ¿Se pueden encriptar fácilmente los volúmenes de Time Machine con FileVault 2?

    
respondido por el Thilo 22.07.2011 - 06:32
2

Para administradores múltiples: FileVault 2 solo es menos seguro que FileVault 1

Similar a la respuesta ofrecida por Thilo. Esta lógica se aplica a cualquier computadora con dos o más administradores.

FileVault 1 en Snow Leopard y en Lion

Hay un buen nivel de seguridad para evitar que una persona sin la contraseña maestra acceda a los datos de otra persona.

FileVault 2 solo

Cualquier administrador puede ver, copiar, editar los datos de todos los demás usuarios.

Ejemplo

Dos socios comerciales comparten una computadora, ambos administradores. A uno de los dos socios le gustaría mantener algo privado. El socio que posee la contraseña maestra, que desea mantener algo privado, no le da esa contraseña al otro socio.

Con FileVault 2 solo en estos escenarios, la seguridad y la privacidad son fácilmente ignoradas, sudo viene inmediatamente a la mente.

Comparison

ZFS cifrado en Oracle Solaris , que puede aplicarse a los directorios personales de los usuarios.

Solución

Si un usuario de FileVault 2 en la situación anterior requiere seguridad adicional, esa persona puede:

  1. agregar un disco separado, interno o externo
  2. en ese disco, tenga un volumen lógico encriptado (LV) de Core Storage con una Contraseña de disco que difiera de (a) la Contraseña de disco para el volumen de inicio del sistema operativo y (b) todas las contraseñas de usuario para el volumen de inicio
  3. almacenar su directorio de inicio en el LV en el disco separado
  4. haga coincidir la contraseña de su cuenta de usuario con la Contraseña de disco para el LV.

Alternativamente, esa persona puede usar solo una parte de un disco existente ... pero la administración de particiones en y alrededor de coreStorage world es difícil , así que para la simplicidad a largo plazo: recomendaría invertir en un disco adicional / separado.

/ var / carpetas

Espere que algunos datos del usuario se escriban en un subdirectorio de /private/var/folders ; todos los administradores tendrán acceso a estos datos. Una solución para esto está más allá del alcance de esta pregunta.

    
respondido por el Graham Perrin 04.08.2011 - 15:35
1

La gestión de particiones en y alrededor de coreStorage world es difícil

Para un disco que usa FileVault 2, o cualquier otra aplicación de Core Storage, puede ser imposible agregar o cambiar el tamaño de las particiones usando la Utilidad de Discos.

En superusuario:

  • una respuesta en ¿Cómo cambio el tamaño de una partición cifrada de FileVault 2?
  • una respuesta bajo < strong> Crear una nueva partición en un volumen cifrado en OS X Lion .

Espere diskutil de Apple (8) Página de manual de Mac OS X se actualizará para 10.7 a su debido tiempo. Mientras tanto, si ya instaló Lion, lea la página del manual en Terminal.

    
respondido por el Graham Perrin 04.08.2011 - 16:11
1

FileVault 1 puede deshabilitarse para individuos

Para cualquier usuario que use FileVault 1:

  • Las Preferencias del sistema le permiten desactivar FileVault solo para ese usuario, siempre que haya suficiente espacio libre.

Los usuarios habilitados de FileVault 2 no pueden ser deshabilitados

En Mac OS X 10.7 (Build 11A511) puede permitir que un usuario desbloquee el volumen de inicio, pero una vez habilitado:

  • ese usuario solo no puede ser deshabilitado
  • solo FileVault 2 en su totalidad puede ser deshabilitado.

Deshabilita la capacidad de un usuario para desbloquear un volumen de FileVault 2 en el inicio / tiempo de inicio de sesión

    
respondido por el Graham Perrin 08.08.2011 - 18:10
1

Lion Recovery Disk Assistant carece de soporte para FileVault 2

La versión 1.0 del asistente utilizada con FileVault 2 en Mac OS X 10.7 (compilación 11A511) produce un sistema operativo de recuperación en una unidad flash USB. Sin embargo:

  • la computadora no puede arrancar desde ese sistema operativo de recuperación.

Encontré este problema con dos computadoras diferentes.

    
respondido por el Graham Perrin 26.08.2011 - 10:48
0

El impacto de FileVault 1 en el rendimiento

En mi experiencia, el impacto es generalmente aceptable. Me gustaría ver puntos de referencia relevantes.

Comparaciones de rendimiento

En Ask Different: Velocidad de Filevault anterior frente al nuevo cifrado de disco completo de Lion

El impacto de FileVault 2 en el rendimiento

Apple sugiere:

  

FileVault 2 cifra y desencripta sus datos sobre la marcha con un impacto imperceptible en el rendimiento.

- página en caché 2011- 07-28 .

AnandTech - Volver a la Mac: OS X 10.7 Lion revisión: el rendimiento de FileVault observa:

  

... En general, el impacto en el rendimiento de E / S puro está en el rango de 20 a 30% . Es notable pero no lo suficientemente grande como para superar los beneficios del cifrado completo del disco. ...

Me gustaría que los revisores de AnandTech sopesen las cosas nuevamente de manera más amplia, para incluir al menos:

  • FileVault 1 en lugar de FileVault 2.

Más observaciones sobre CPU, kernel_task et cetera en Re: [Fed-Talk] Lion FileVault (2011-07-22) ( puntos destacados ).

    
respondido por el Graham Perrin 04.08.2011 - 15:59
0

FileVault 2 impide el reinicio remoto

No espere acceso remoto a la ventana de inicio de sesión de EFI.

    
respondido por el Graham Perrin 04.08.2011 - 15:52
0

Deshabilitar FileVault 1 puede empeorar el rendimiento

Dos volúmenes de tamaño razonable (uno de ellos, un directorio de inicio), con un buen conjunto de B-trees, probablemente sean más fáciles de gestionar para el sistema, y casi con un mejor rendimiento, que un único volumen colosal con atributos y catálogo B- Árboles que están sobredimensionados y fragmentados.

Explicación

FileVault 1 usa bandas de un tamaño optimizado.

Según el contenido de un directorio principal, abandonar esas bandas en favor de un número mayor de archivos más pequeños puede aumentar significativamente el tamaño y la fragmentación de las siguientes áreas críticas del volumen de inicio:

  • atributos del árbol B
  • catálogo B-tree
  • extensiones B-tree.

Los árboles B agrandados pueden ser inesperadamente problemáticos

Lo que sigue está más allá del alcance de la pregunta inicial, y es relativamente técnico, pero para cualquier usuario de una computadora con (a) memoria limitada y (b) un número considerable de archivos dentro y fuera de su directorio de inicio, vale la pena pensando antes de abandonar FileVault 1.

Si la suma de los tamaños de los árboles B es demasiado grande, y si se requiere reparación, es posible que las utilidades de terceros en su computadora no puedan reparar el daño.

Si un volumen es irreparable por - lo más obvio es usar la Utilidad de Disco, menos obviamente cuando el sistema encuentra un sistema de archivos que está sucio - un usuario puede recurrir a una utilidad de terceros respetada.

Ejemplo

Me encontré con una situación en la que la suma de los tamaños de los B-trees, en relación con la memoria física, era demasiado grande para que una utilidad de terceros funcione como se requiere para un Core Storage encriptado volumen de copia de seguridad que era irreparable por fsck_hfs . Como mi MacBookPro5,2 no puede tomar más de 8 GB, por lo que durante algún tiempo este volumen fue de solo lectura.

Es posible que haya llevado el volumen, con o sin la computadora, a un proveedor de servicios para obtener atención en un entorno con más memoria. Sin embargo, por razones de seguridad, no debería proporcionar a terceros, aunque sean de confianza, la frase de acceso o la clave para algunos tipos de volumen.

Eventualmente e inesperadamente, el fsck_hfs en Lion reparó el volumen sin que yo usara la Utilidad de Disco, posiblemente gracias a mí de forma experimental (¿con riesgo?) eliminando el volumen del mundo CoreStorage (revirtiendo, convirtiendo completamente al revés ) mientras está en el estado irreparable y de lectura . Ese fue un resultado agradable para mí, y una aprobación para Apple por las cualidades y capacidades de 10.7 (Build 11A511), pero esto debería servir como una advertencia para otros lectores.

    
respondido por el Graham Perrin 04.08.2011 - 15:55
0

Algunas instalaciones no pueden usar FileVault 2

No todas las instalaciones de Lion obtienen el Apple_Boot Recovery HD que se requiere para FileVault 2 - OS X Lion: "Algunas características de Mac OS X Lion no son compatibles con el disco (nombre del volumen)" aparecen durante la instalación (2011-07-21).

  

... No podrás usar FileVault ...

Si esto sucede, y si abandonaste FileVault 1 antes de la actualización a Lion, tu Mac con Lion será menos segura .

El consejo publicado por Macworld antes del lanzamiento de Lion continúa aconsejando a los usuarios deshabilite FileVault 1 antes de instalar Lion. Es muy inusual que Macworld dé consejos contenciosos, pero en este caso, estoy totalmente en desacuerdo.

    
respondido por el Graham Perrin 04.08.2011 - 15:50
0

Lion hace que las casas de FileVault 1 sean menos fáciles de crear

Es más fácil crear el hogar de FileVault 1 en Snow Leopard antes de actualizar a Lion.

Si no tienes Snow Leopard: puedes usar Lion para crear el hogar, pero hay algunos pasos en la rutina.

Después de deshabilitar Filevault 1, ¿es posible habilitarlo nuevamente en Lion?

    
respondido por el Graham Perrin 04.08.2011 - 15:51
0

Al combinar FileVault 2 con FileVault 1, puede tener seguridad de doble capa. Tenga en cuenta que esto causará problemas con TimeMachine y compartir. Por lo tanto, esta seguridad de doble capa solo es aconsejable para una cuenta donde TimeMachine esté apagado.

En mi computadora, tengo una cuenta de trabajo diaria, una cuenta de FileVault 1 (excluida de TimeMachine) y una cuenta de administrador. Cuando activé FileVault 2 desde mi cuenta de trabajo diaria (usando la contraseña de la cuenta del administrador), esperaba que FileVault 1 desapareciera porque Apple dice que está en OS X Lion: Acerca de FileVault 2 : «Si desactivas Legacy FileVault, la pestaña de Legacy FileVault desaparecerá y luego puedes elegir habilitar FileVault 2 de OS X Lion».

Cuando se configuró FileVault 2, me sorprendió mucho que mi FileVault 1 continuara con el cifrado de FileVault 1. Así que tuve una seguridad de doble capa: una cuenta de FileVault 1 heredada dentro de una computadora FileVault 2. Todo lo que necesitaba era una cuenta que no fuera de FileVault 1 desde donde activar FileVault 2.

Finalmente, volví a desactivar FileVault 2. Me gusta poder acceder al sistema de archivos OS X desde el sistema de Bootcamp Windows. Con FileVault 2, eso ya no era posible. Todavía conservo la cuenta de FileVault 1 y sigue funcionando bien, incluso en 10.8.1.

    
respondido por el mach 13.11.2011 - 21:08

Lea otras preguntas en las etiquetas