2529322

Wie FileVault und T2 in neueren Macs funktionieren

29.08.2020 | 12:13 Uhr |

FileVault und T2 gleichzeitig in den neueren Macs scheinen auf den ersten Blick redundant. Doch es gibt einen wichtigen Unterschied.

Neuere Macs sind mit einem T2-Sicherheits-Chip mit eigener Secure Enclave ausgestattet, einem manipulationssicheren Chip, der ein hohes Maß an Sicherheit wie bei iPhone und iPad ermöglicht. Er wird verwendet, um Touch ID zu aktivieren und Apple Pay auf Laptops zu ermöglichen, aber er ĂŒbernimmt auch eine Reihe anderer Aufgaben, einschließlich der VerschlĂŒsselung der gesamten Festplatte. (Den T2-Chip baut Apple seit Herbst 2017 in seine Macs ein).

Bei Modellen vor dem T2-Chip verwendet das macOS eine Kombination aus Software- und Hardware-beschleunigter VerschlĂŒsselung, um alle Daten auf Ihrer Festplatte mit FileVault zu verschlĂŒsseln, die ĂŒber den Reiter "FileVault" in den Systemeinstellungen "Sicherheit" ein- und ausgeschaltet werden kann. Es kann extrem lange dauern, bis FileVault auf diesen Ă€lteren Macs ein Laufwerk beim ersten Mal vollstĂ€ndig verschlĂŒsselt und ein System wĂ€hrend der AusfĂŒhrung blockiert. Danach handhaben Macs im Allgemeinen das Lesen und Schreiben mit fast der gleichen Geschwindigkeit, als ob die Daten nicht verschlĂŒsselt wĂ€ren.

FileVault verhindert, dass die Daten auf einer Festplatte im Ruhezustand – nicht eingeschaltet und eingeloggt – auf irgendeine effektive Weise extrahiert werden können. Die Daten sind nur ein Haufen digitaler MĂŒll ohne Zugriff auf den SchlĂŒssel, und der SchlĂŒssel kann nicht ohne das Passwort eines der mit FileVault verknĂŒpften Konten auf dem Mac abgerufen werden, das beim Start eingegeben werden muss, um das Laufwerk zu entsperren.

Nachdem der T2-Chip die VerschlĂŒsselung verwaltet, was kann FileVault auf diesen neueren Modellen noch tun? Das ist ziemlich subtil.

Wenn FileVault auf einem T2-Mac mit T2-Chip ausgeschaltet ist und ein Angreifer das Laufwerk von einem Mac extrahiert hat, bleibt der Inhalt unzugĂ€nglich. Das ist eine Verbesserung gegenĂŒber Macs vor der T2-Version, bei denen die nicht durch FileVault geschĂŒtzten Inhalte vollstĂ€ndig lesbar waren.

(Das Ergebnis ist ĂŒbrigens, dass mit T2 ausgestattete Macs, die ĂŒber Find My den Befehl "Diesen Mac löschen" erhalten, fast augenblicklich "gelöscht" werden, genau wie ein Mac ohne T2-Chip und mit aktiviertem FileVault: Das Löschen des VerschlĂŒsselungsschlĂŒssels macht den Inhalt des Laufwerks dauerhaft unwiederbringlich).

Ohne aktiviertes FileVault muss ein Mac jedoch lediglich gebootet werden, damit die VerschlĂŒsselung der gesamten Festplatte zu funktionieren beginnt, auch wenn er sich nicht automatisch bei einem Konto anmeldet. WĂ€hrend die VerschlĂŒsselung an einen HardwareschlĂŒssel gebunden ist, der von der Secure Enclave im T2-Chip verwaltet wird, beginnt die EntschlĂŒsselung, sobald der Mac zu einem Anmeldebildschirm gebootet wird. Ein MissetĂ€ter könnte in der Lage sein, das macOS zu umgehen oder Hardware-Methoden zu verwenden, um auf Daten vom laufenden Laufwerk zuzugreifen.

Schalten Sie jedoch FileVault ein, und ein mit dem T2-Chip ausgerĂŒsteter Mac startet mit dem gleichen Boot-Verhalten wie ein Mac, der die PlattenverschlĂŒsselung in Software handhabt. Anstatt das macOS direkt zu laden, bootet die Wiederherstellungspartition in einem speziellen Modus, der die Eingabe des Kennworts jedes Kontos erfordert, dem die Verwendung von FileVault gestattet ist. Bis zur Eingabe dieses Kennworts bleibt der Inhalt der Platte verschlĂŒsselt, genau so, als befĂ€nde sie sich im Ruhezustand.

Wir empfehlen, FileVault auf mit T2 ausgestatteten Macs zu aktivieren, um grĂ¶ĂŸtmögliche Sicherheit und Seelenruhe zu gewĂ€hrleisten. Der Bonus? Da der T2-Chip das Laufwerk bereits verschlĂŒsselt hat, gibt es keine Verzögerung: FileVault wird sofort aktiviert.

Macwelt Marktplatz

2529322