¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?
Tomando mucho prestado de la reseña de Lion de John Siracusa ...
FileVault 2 es un sistema de cifrado de disco completo, a diferencia de una solución de "almacenar su carpeta de inicio en una imagen de disco cifrada". Se implementa como una capa del sistema de archivos debajo del volumen real que desbloquea en el momento del arranque del sistema. Si está familiarizado con LVM , es más o menos de la misma manera. Cada vez que pasa el bloqueo de contraseña, todo se ve igual para el resto del sistema.
Como mencionó Steve, el trabajo de cifrado puede ser asistido por instrucciones de procesador especializadas y se ejecuta completamente en segundo plano. Lo bueno es que puede activar el cifrado de disco en un disco completo, y todo se hará en el tiempo libre (puede apagarlo, volver a encenderlo, etc. y todo continuará).
Ya no se pueden crear cuentas de 'invitado' sin contraseña, ya que todo el disco está encriptado y no solo el directorio de inicio del usuario. Es triste que no pude encontrar ninguna información sobre esto en el artículo de kb en Apple.
El nuevo Filevault parece imponerle muchas menos restricciones que la versión anterior. No es necesario cerrar la sesión para que Time Machine funcione, por ejemplo, y todos los demonios compartidos parecen funcionar bien (algunos de ellos se deshabilitaron cuando se activó FileFault, si no recuerdo mal. Creo que el uso compartido web estaba entre ellos, lo cual hizo que mi computadora portátil fuera un poco inútil como plataforma de desarrollo para aplicaciones web :)).
Un problema con Filevault 2 es que no puede ingresar a una máquina hasta que haya ingresado una contraseña localmente, ya que el proceso de inicio no puede comenzar hasta que se haya desbloqueado la unidad encriptada.
Estoy seguro de que hay algunos otros. Este artículo de soporte de Apple debería responder el resto de sus preguntas.
Desde la página del manual parafsck_cs
:
La utilidad fsck_cs verifica y repara los metadatos del grupo de volúmenes lógicos de CoreStorage.
...
INSECTOS
fsck_cs no realiza una validación exhaustiva, ni es capaz de corregir muchas de las inconsistencias que detecta.
fsck_hfs (usado por Disk Utility) se ha desarrollado durante más de diez años y es capaz de reparar la mayoría de los problemas con JHFS+ como lo usa FileVault 1.
Si encuentra un problema que fsck_hfs
no puede reparar, existen varias utilidades alternativas de terceros.
fsck_cs
(también utilizado por Disk Utility) apareció por primera vez junto con CoreStorage en Mac OS X 10.7.0. Las inconsistencias pueden ser irreparables.
Si ocurre una falla de LVG y fsck_cs
no se pueden hacer las reparaciones necesarias, entonces su volumen de inicio no se montará. En esta situación, puede volver a formatear el disco de forma destructiva y reinstalar Mac OS X. (El uso de Recovery OS Time Machine por sí solo no proporcionará Apple_Boot Recovery HD que se requiere para FileVault 2).
Un inconveniente que puedo ver es que antes podía cifrar cuentas de usuario individuales, mientras que ahora solo puede cifrar todo el disco. Si cifra todo el disco, también tiene que descifrar todo el disco cada vez que use la computadora. Esto significa que una vez que se inicia la computadora, el malware puede acceder a todo el disco, mientras que antes podía iniciar sesión (y pronto volver a cerrar) en cuentas críticas para la seguridad por separado.
Supongo que aún puede usar imágenes de disco encriptadas encima de FileVault para datos realmente importantes.
Otro problema podría ser Time Machine. Mientras que antes los directorios de los usuarios de FileVault también se almacenaban cifrados en el volumen de copia de seguridad, ese ya no parece ser el caso.
¿Alguien sabe si Time Machine ahora también admite el cifrado de disco completo (según los informes hasta ahora, parece que no está habilitado para unidades externas, al menos no a través de la GUI)?
Actualización: Aparentemente, Time Machine no admite el cifrado de disco completo: ¿Se pueden cifrar fácilmente los volúmenes de Time Machine con FileVault 2?
Similar a la respuesta ofrecida por Thilo. Esta lógica se aplica a cualquier equipo con dos o más administradores.
Hay un buen nivel de seguridad para evitar que una persona sin la contraseña maestra acceda a los datos de otra persona.
Cualquier administrador puede ver, copiar y editar los datos de todos los demás usuarios.
Ejemplo
Dos socios comerciales comparten una computadora, ambos administradores. Uno de los dos socios podría querer mantener algo en privado. El socio que tiene la contraseña maestra, que desea mantener algo privado, no le da esa contraseña al otro socio.
Con FileVault 2 solo en tales escenarios, la seguridad y la privacidad se ignoran fácilmente: sudo viene inmediatamente a la mente.
Comparación
Cifrado ZFS en Oracle Solaris , que se puede aplicar a los directorios de inicio de los usuarios.
Si un usuario de FileVault 2 en la situación anterior requiere seguridad adicional, esa persona puede:
Alternativamente, esa persona podría usar solo una parte de un disco existente... pero la administración de particiones en el mundo de coreStorage y sus alrededores es difícil , por lo que para simplificar a largo plazo: recomendaría invertir en un disco adicional/separado.
Espere que algunos datos de usuario se escriban en un subdirectorio de /private/var/folders
: todos los administradores tendrán acceso a estos datos. Una solución para esto está más allá del alcance de esta pregunta.
Para un disco que usa FileVault 2, o cualquier otra aplicación de Core Storage, puede ser imposible agregar o cambiar el tamaño de las particiones usando Disk Utility.
En Superusuario:
Espere que la página del manual diskutil(8) Mac OS X de Apple se actualice a 10.7 a su debido tiempo. Mientras tanto, si ya instaló Lion, lea la página del manual en Terminal.
Para cualquier usuario que utilice FileVault 1:
En Mac OS X 10.7 (compilación 11A511), puede permitir que un usuario desbloquee el volumen de inicio, pero una vez habilitado:
La versión 1.0 del asistente utilizado con FileVault 2 en Mac OS X 10.7 (compilación 11A511) produce un sistema operativo de recuperación en una unidad flash USB. Sin embargo:
Encontré este problema con dos computadoras diferentes.
En mi experiencia, el impacto suele ser aceptable. Me gustaría ver puntos de referencia relevantes.
En Ask Different: velocidad del antiguo Filevault frente al nuevo cifrado de disco completo de Lion
Apple sugiere:
— página en caché 2011-07-28 .
AnandTech: de vuelta a la Mac: revisión de OS X 10.7 Lion: el rendimiento de FileVault observa:
… En general , el impacto en el rendimiento puro de E/S está en el rango de 20 a 30 % . Es notable pero no lo suficientemente grande como para compensar los beneficios del cifrado de disco completo. …
Me gustaría que los revisores de AnandTech evalúen las cosas nuevamente de manera más amplia, para incluir al menos:
Más observaciones sobre CPU, kernel_task, etc. en Re: [Fed-Talk] Lion FileVault (2011-07-22) ( aspectos destacados ).
No espere acceso remoto a la ventana de inicio de sesión de EFI.
Dos volúmenes de tamaño razonable (uno un directorio de inicio), con un buen conjunto de árboles B, son probablemente más fáciles de administrar para el sistema (y casi seguro que funcionan mejor) que un solo volumen colosal con atributos y árboles B de catálogo que son sobredimensionado y fragmentado.
FileVault 1 utiliza bandas de un tamaño optimizado.
Según el contenido de un directorio de inicio, abandonar esas bandas en favor de una mayor cantidad de archivos más pequeños puede aumentar significativamente el tamaño y la fragmentación de las siguientes áreas críticas del volumen de inicio:
Lo que sigue está discutiblemente más allá del alcance de la pregunta inicial y es relativamente técnico, pero para cualquier usuario de una computadora con (a) memoria limitada y (b) una cantidad considerable de archivos dentro y fuera de su directorio de inicio, vale la pena pensarlo antes. abandonar FileVault 1.
Si la suma de los tamaños de los árboles B es demasiado grande y si se requiere reparación, es posible que las utilidades de terceros en su computadora no puedan reparar el daño.
Si un volumen es irreparable por fsck_hfs (más obviamente usando la Utilidad de disco, menos obviamente cada vez que el sistema encuentra un sistema de archivos que está sucio), un usuario puede recurrir a una utilidad de terceros respetada.
Encontré una situación en la que la suma de los tamaños de los árboles B, en relación con la memoria física, era demasiado grande para que una utilidad de terceros funcionara según lo requerido para un volumen de respaldo cifrado de Core Storage que era irreparable por fsck_hfs
. Como mi MacBookPro5,2 no puede ocupar más de 8 GB, por lo que durante algún tiempo este volumen fue de solo lectura.
Es posible que haya llevado el volumen, con o sin la computadora, a un proveedor de servicios para que lo atienda en un entorno con más memoria. Sin embargo, por motivos de seguridad, no debo proporcionar a ningún tercero, por muy confiable que sea, la frase de contraseña o la clave para algunos tipos de volumen.
Eventual e inesperadamente fsck_hfs
, Lion reparó el volumen sin que yo usara la Utilidad de Discos, posiblemente gracias a que eliminé experimentalmente (¿arriesgadamente?) el volumen del mundo coreStorage (revirtiendo, convirtiendo completamente hacia atrás) mientras estaba en el estado irreparable y de lectura única . Ese fue un resultado agradable para mí y un visto bueno para Apple por las cualidades y capacidades de 10.7 (Build 11A511), pero esto debería servir como advertencia para otros lectores.
No todas las instalaciones de Lion obtienen el Apple_Boot
HD de recuperación oculto que se requiere para FileVault 2 — OS X Lion: "Algunas características de Mac OS X Lion no son compatibles con el disco (nombre del volumen)" aparece durante la instalación (2011-07-21) .
… No podrá usar FileVault …
Si esto sucede, y si abandonó FileVault 1 antes de la actualización a Lion, su Mac con Lion será menos segura .
El consejo publicado por Macworld antes del lanzamiento de Lion continúa recomendando a los usuarios que deshabiliten FileVault 1 antes de instalar Lion. Es muy inusual que Macworld dé consejos polémicos, pero en este caso, no estoy de acuerdo.
Es más fácil crear el hogar de FileVault 1 en Snow Leopard antes de actualizar a Lion.
Si no tiene Snow Leopard: puede usar Lion para crear el hogar, pero hay algunos pasos para la rutina.
Después de deshabilitar Filevault 1, ¿es posible volver a habilitarlo en Lion?
Al combinar FileVault 2 con FileVault 1, puede tener seguridad de doble capa. Tenga en cuenta que esto causará problemas con TimeMachine y el uso compartido. Por lo tanto, esta seguridad de doble capa solo es recomendable para una cuenta donde TimeMachine está apagado.
En mi computadora, tengo una cuenta de trabajo diario, una cuenta de FileVault 1 (excluida de TimeMachine) y una cuenta de administrador. Cuando activé FileVault 2 desde mi cuenta de trabajo diaria (usando la contraseña de la cuenta de administrador), esperaba que FileVault 1 desapareciera porque Apple dice en OS X Lion: Acerca de FileVault 2 : «Si apaga Legacy FileVault, la pestaña Legacy FileVault desaparecerá y luego puede optar por habilitar FileVault 2 de OS X Lion».
Cuando se configuró FileVault 2, me sorprendió mucho que mi FileVault 1 siguiera teniendo el cifrado de FileVault 1. Así que tenía una seguridad de doble capa: una cuenta de FileVault 1 heredada dentro de una computadora FileVault 2. Todo lo que necesitaba era una cuenta que no fuera de FileVault 1 desde donde activar FileVault 2.
Finalmente, apagué FileVault 2 nuevamente. Me gusta poder acceder al sistema de archivos OS X desde el sistema Bootcamp Windows. Con FileVault 2, eso ya no fue posible. Todavía conservo la cuenta de FileVault 1 y sigue funcionando bien, incluso en 10.8.1.
Aron Rotteveel
Asmus
Aron Rotteveel
Asmus
Aron Rotteveel
Andrés Vit
Sairam
gordon davisson