2529322

Wie FileVault und T2 in neueren Macs funktionieren

29.08.2020 | 12:13 Uhr |

FileVault und T2 gleichzeitig in den neueren Macs scheinen auf den ersten Blick redundant. Doch es gibt einen wichtigen Unterschied.

Neuere Macs sind mit einem T2-Sicherheits-Chip mit eigener Secure Enclave ausgestattet, einem manipulationssicheren Chip, der ein hohes Ma├č an Sicherheit wie bei iPhone und iPad erm├Âglicht. Er wird verwendet, um Touch ID zu aktivieren und Apple Pay auf Laptops zu erm├Âglichen, aber er ├╝bernimmt auch eine Reihe anderer Aufgaben, einschlie├člich der Verschl├╝sselung der gesamten Festplatte. (Den T2-Chip baut Apple seit Herbst 2017 in seine Macs ein).

Bei Modellen vor dem T2-Chip verwendet das macOS eine Kombination aus Software- und Hardware-beschleunigter Verschl├╝sselung, um alle Daten auf Ihrer Festplatte mit FileVault zu verschl├╝sseln, die ├╝ber den Reiter "FileVault" in den Systemeinstellungen "Sicherheit" ein- und ausgeschaltet werden kann. Es kann extrem lange dauern, bis FileVault auf diesen ├Ąlteren Macs ein Laufwerk beim ersten Mal vollst├Ąndig verschl├╝sselt und ein System w├Ąhrend der Ausf├╝hrung blockiert. Danach handhaben Macs im Allgemeinen das Lesen und Schreiben mit fast der gleichen Geschwindigkeit, als ob die Daten nicht verschl├╝sselt w├Ąren.

FileVault verhindert, dass die Daten auf einer Festplatte im Ruhezustand ÔÇô nicht eingeschaltet und eingeloggt ÔÇô auf irgendeine effektive Weise extrahiert werden k├Ânnen. Die Daten sind nur ein Haufen digitaler M├╝ll ohne Zugriff auf den Schl├╝ssel, und der Schl├╝ssel kann nicht ohne das Passwort eines der mit FileVault verkn├╝pften Konten auf dem Mac abgerufen werden, das beim Start eingegeben werden muss, um das Laufwerk zu entsperren.

Nachdem der T2-Chip die Verschl├╝sselung verwaltet, was kann FileVault auf diesen neueren Modellen noch tun? Das ist ziemlich subtil.

Wenn FileVault auf einem T2-Mac mit T2-Chip ausgeschaltet ist und ein Angreifer das Laufwerk von einem Mac extrahiert hat, bleibt der Inhalt unzug├Ąnglich. Das ist eine Verbesserung gegen├╝ber Macs vor der T2-Version, bei denen die nicht durch FileVault gesch├╝tzten Inhalte vollst├Ąndig lesbar waren.

(Das Ergebnis ist ├╝brigens, dass mit T2 ausgestattete Macs, die ├╝ber Find My den Befehl "Diesen Mac l├Âschen" erhalten, fast augenblicklich "gel├Âscht" werden, genau wie ein Mac ohne T2-Chip und mit aktiviertem FileVault: Das L├Âschen des Verschl├╝sselungsschl├╝ssels macht den Inhalt des Laufwerks dauerhaft unwiederbringlich).

Ohne aktiviertes FileVault muss ein Mac jedoch lediglich gebootet werden, damit die Verschl├╝sselung der gesamten Festplatte zu funktionieren beginnt, auch wenn er sich nicht automatisch bei einem Konto anmeldet. W├Ąhrend die Verschl├╝sselung an einen Hardwareschl├╝ssel gebunden ist, der von der Secure Enclave im T2-Chip verwaltet wird, beginnt die Entschl├╝sselung, sobald der Mac zu einem Anmeldebildschirm gebootet wird. Ein Misset├Ąter k├Ânnte in der Lage sein, das macOS zu umgehen oder Hardware-Methoden zu verwenden, um auf Daten vom laufenden Laufwerk zuzugreifen.

Schalten Sie jedoch FileVault ein, und ein mit dem T2-Chip ausger├╝steter Mac startet mit dem gleichen Boot-Verhalten wie ein Mac, der die Plattenverschl├╝sselung in Software handhabt. Anstatt das macOS direkt zu laden, bootet die Wiederherstellungspartition in einem speziellen Modus, der die Eingabe des Kennworts jedes Kontos erfordert, dem die Verwendung von FileVault gestattet ist. Bis zur Eingabe dieses Kennworts bleibt der Inhalt der Platte verschl├╝sselt, genau so, als bef├Ąnde sie sich im Ruhezustand.

Wir empfehlen, FileVault auf mit T2 ausgestatteten Macs zu aktivieren, um gr├Â├čtm├Âgliche Sicherheit und Seelenruhe zu gew├Ąhrleisten. Der Bonus? Da der T2-Chip das Laufwerk bereits verschl├╝sselt hat, gibt es keine Verz├Âgerung: FileVault wird sofort aktiviert.

Macwelt Marktplatz

2529322