Ist eine hardwarebasierte Festplattenverschlüsselung auf einem Mac möglich?

Ist es möglich, eine hardwarebasierte Festplattenverschlüsselung (vielleicht auf einer Samsung 840 Pro SSD) auf einem Mac, insbesondere einem Macbook Pro 8,2, zu verwenden? Wenn das so ist, wie?

Mein Verständnis ist, dass dies im BIOS oder möglicherweise in EFI gehandhabt wird, aber ich denke, dass Apples EFI im Allgemeinen ziemlich gesperrt ist.

Ich suche keine softwarebasierten Lösungen wie FileVault 2 oder TrueCrypt. Ich habe Dual-Boot und die Dinge werden einfacher, wenn es in Hardware gehandhabt wird.

Obwohl ich verstehe, dass eine hardwarebasierte Verschlüsselung nach Möglichkeit vorzuziehen ist, möchte ich Ihre Motivation in Frage stellen: Die Festplattenverschlüsselung der verschiedenen Hardwarehersteller scheint schlecht dokumentiert zu sein. Es werden nur wenige Informationen bereitgestellt, die jedoch erforderlich sind, um die Vertraulichkeit der Implementierung anzustreben. FileVault 2 hingegen durchläuft derzeit eine FIPS 140-2-Zertifizierung [1 ] – ein NIST-Standard für kryptografische Module.
Nach meiner persönlichen Erfahrung ist die softwarebasierte Festplattenverschlüsselung in einem Dual-Boot-Setup mit Windows 7 kein Problem, wenn ich nur das Startvolume von OS X mit FileVault 2 verschlüssele (das ist mein aktuelles Setup). Wenn Sie auch Ihr Windows- oder Linux-Volume verschlüsseln möchten, wird es chaotisch - davon habe ich gehört, aber es selbst nicht getestet.
Nun, ich benutze eigentlich Ubuntu hauptsächlich mit OSX nebenbei. Außerdem habe ich eine gemeinsame Partition, obwohl das vielleicht mit TrueCrypt gehandhabt werden könnte. Es scheint nur weniger Ärger zu geben und weniger Software zu benötigen, wenn ich beim Booten nur ein einziges Passwort haben kann.
Haben Sie Filevault 2 zusammen mit der vollständigen Festplattenverschlüsselung von Ubuntu verwendet? Hat das gut funktioniert? Ich bin nur neugierig, weil ich meine Windows-Partition für Ubuntu 12.04 loswerden möchte.
Nein, tut mir leid, ich habe es nicht ausprobiert. Ich denke nicht, dass es ein Problem wäre, solange Sie nicht eine Partition lesen möchten, während Sie auf die andere booten. Ich würde erwarten, dass Sie das vielleicht umgehen könnten, indem Sie TrueCrypt für beide verwenden. Ich habe TrueCrypt ein wenig benutzt, bin aber kein Experte
@Marsh im Grunde fragt OS X FileVault 2 Sie beim Booten nicht nach einem Passwort, abgesehen von Ihrem Anmeldepasswort, das Sie ohnehin angeben müssten (es sei denn, Sie verwenden die automatische Anmeldung, aber warum dann verschlüsseln? ;-) ) Was Ubuntu betrifft, es erfordert ein Startkennwort, wenn Sie die vollständige Festplattenverschlüsselung einrichten. Bei der Hardwareverschlüsselung müssten Sie also ein Startkennwort angeben, wenn Sie eines der Betriebssysteme verwenden. Wenn Sie die Verschlüsselung auf Betriebssystemebene verwenden, benötigen Sie beim Booten von Ubuntu ein einziges Passwort, beim Booten von OS X "none". Sie können Ubuntu und OS X nicht zusammen booten.
Das ist scheiße, wie wäre es mit dem neuen Samsung Evo? Kann die Hardwareverschlüsselung für einen Mac auf dem Evo aktiviert werden?

Antworten (4)

Genau das gleiche habe ich mich auch gefragt, da ich mir für mein MacBook Pro auch eine Samsung 840 Pro gekauft habe. Nach einiger Recherche habe ich diesen Beitrag gefunden , der darauf hinweist, dass die Hardwareverschlüsselung des 840 Pro TPM-Unterstützung erfordert, und das ist nur in PC-BIOS zu finden, nicht in Macs (U)EFI. Sicherheitshalber habe ich beim Samsung-Support nachgefragt, welche der Standards „ATA-Security“, „Seagate DriveTrust“ und „TCG OPAL“ von der 840 Pro unterstützt werden, und die Antwort war:

Lieber Kunde,

Vielen Dank, dass Sie sich bezüglich Ihrer Anfrage an den Samsung SSD-Support gewandt haben. Als Antwort auf Ihre Anfrage ist die einzige der 3, die das Gerät unterstützt, die ATA-Sicherheitsfunktion. Was die Verschlüsselung betrifft, unterstützt die SSD der 840 Pro-Serie nur AES-256-Bit-Verschlüsselung auf Hardwareebene, erfordert jedoch, dass das BIOS TPM-fähig ist.

Es gibt also keine Möglichkeit, die Hardwareverschlüsselung des 840 Pro in einem Mac zu aktivieren.

Es gibt jedoch auch die Crucial M500 , die Opal von TCG unterstützt . In Verbindung mit einer speziellen Opal-Verwaltungssoftware wie WinMagics SecureDoc für Mac klingt es so, als ob es möglich wäre, Hardwareverschlüsselung auf einem Mac zum Laufen zu bringen.

Beachten Sie übrigens, dass SafeGuard laut Sophos Support Opal nur unter Windows unterstützt, nicht unter Mac OS. Außerdem heißt es in McAfees General Q&A for Opal

F: Werden Opal-Laufwerke unter Mac OS X unterstützt?

A: Nein. Apple liefert seine Geräte derzeit nicht mit Opal-Laufwerken aus, daher wird Opal von Endpoint Encryption für Mac nicht unterstützt.

Aber das sagt natürlich nichts darüber aus, dass passiert, wenn Sie einfach selbst ein Opal-Laufwerk in einen Mac einbauen.

TPM ist nicht erforderlich. Bei meiner Windows 8.1-Installation konnte ich die Selbstverschlüsselung dieses Laufwerks ohne Verwendung von TPM aktivieren – Sie müssen nur die BitLocker-Einstellungen in gpedit.msc ändern. Theoretisch ist dies also auch unter OS X möglich, wenn das Betriebssystem dies unterstützt.
Würde es Ihnen etwas ausmachen, zu teilen, welche Einstellungen genau Sie in gpedit.msc geändert haben?
Dieser Artikel sieht sehr danach aus, als würde BitLocker in diesem Fall eine Softwareverschlüsselung verwenden, dh die Ver-/Entschlüsselung erfolgt durch die CPU und nicht durch die Festplatte selbst. Zumal sie TrueCrypt als Alternative empfehlen.
Ich habe nicht gesagt, dass die anderen Teile richtig sind. Übrigens, die vollständigste Anleitung ist hier: superuser.com/a/700251/161593

Ergänzend zu Schuberths Antwort verfügt das Samsung 840 EVO (aber nicht PRO) ab Dezember 2013 auch über eine Firmware, die TCG OPAL direkt unterstützt. Es ist eine gute Wette, dass ein 840 Pro-Firmware-Update, das dasselbe tut, bald erscheinen wird.

Sie benötigen eine Software, um das SED-Laufwerk zu verwalten, andernfalls profitieren Sie kaum oder gar nicht von der integrierten Sicherheit.

WinMagic SecureDoc wird das Laufwerk verwalten, aber nicht für jede verfügbare OS X-Version (einzelne Beweise deuten darauf hin, dass 10.8.1: ok, 10.8.2: nicht ok).

Ich glaube, Sie müssen auch die WinMagic-Unternehmenssoftware ausführen. Sie haben zwar eine eigenständige Edition von SecureDoc zur Unterstützung von SEDs, aber es scheint, dass sie nur für Windows verfügbar ist.

HINWEIS: SecureDoc benötigt weder ein TPM für SEDs noch das 840 EVO, das im TCG-Opal-Modus ausgeführt wird. SecureDoc kann die Verwendung eines TPM unterstützen, wenn Sie eines haben, und die Funktion aktivieren (nur Windows).

Das ist eine gute Frage und – ja – eine Antwort darauf zu finden ist fast unmöglich. Samsung sendet an den Apple-Support. Ich würde erwarten, von Apple zu hören, dass dies nicht möglich ist.

Vollständige Festplattenverschlüsselung HW vs. FileVault – Unterschied in der Leistung ist spürbar. Wenn Sie kein Geschäftsanwender mit strengen Verschlüsselungsanforderungen sind, müssen wir nach einer HW-basierten Samsung-Lösung suchen. Aber wie man es auf dem Mac aktiviert - es ist mühsam, es herauszufinden.

Bei neueren CPUs verwendet FileVault2 Hardware-AES und hat laut einigen Berichten einen vernachlässigbaren Einfluss auf die Leistung: osxdaily.com/2011/08/10/…
Wir sind nicht wirklich durchschnittliche Benutzer. Ich bevorzuge HW FDE, weil es die elegante und "richtige" Lösung ist, insbesondere beim Dual-Booten mit einer gemeinsam genutzten Partition.

Ja, die Eclypt-Produktreihe von Viasat funktioniert mit Mac (EFI) und bietet vollständige Festplattenverschlüsselung mit FIPS-Zulassung und Hardwareverschlüsselung.

Siehe: Eclypt Core Self-Encrypting Internal Hard Drive

Die Datenblätter für die Eclypt-Produktreihe sind noch nicht aktuell (aber Mac OS X 10.5+ wird ebenso unterstützt wie Apple UEFI). Sie können das spezifische Produkt unter http://www.amazon.co.uk/Eclypt-Core-200-Internal-Encrypted/dp/B00GJV2OE4 sehen . Sie können sich auch diesen Blog http://robert-palmer.net/category/eclypt-protects/ als Beweis ansehen . Oder wenden Sie sich alternativ direkt an Viasat UK.

Hmm, das Datenblatt erwähnt nichts über EFI oder Mac, nur Windows.
Ist eine hardwarebasierte Festplattenverschlüsselung auf einem Mac möglich?
AntwortenHierDatenschutz-Bestimmungen1y, 0v