Verschlüsselung ganzer Festplatten. Wie kann der Kernel verschlüsselt werden?

Eine Standardfalle bei der Festplattenverschlüsselung unter Linux ist, dass /boot unverschlüsselt sein muss. Insbesondere der Bootloader und initrd. Die gesamte Festplatte zu verschlüsseln bedeutet, diese woanders abzulegen, z. B. auf einem USB-Stick.

Bearbeiten: Ich habe jetzt erfahren, dass Grub jetzt ein Dateisystem entschlüsseln kann, das den Kernel beim Booten enthält, sodass nur der Bootloader unter Linux entschlüsselt werden muss

Ich habe den Eindruck, dass es "bekannt" ist, dass FileVault die Verschlüsselung ganzer Festplatten implementiert. Ich habe auf jeden Fall geglaubt, dass dies der Fall ist. Dies ist ohne eine Reihe von Links zu externen Websites etwas schwierig zu demonstrieren. Ein paar interne:

Brute-Force-On-Whole-Disk-Encryption und Whole-Disk-Encryption-with-a-Windows-only-Bootcamp

Und eine bestehende Frage, die diese Frage im Wesentlichen beantwortet, ist Dateitresor-2-Verschlüsselung ganzer Festplatten oder Verschlüsselung ganzer Partitionen

Es scheint ziemlich klar zu sein, dass der Dateitresor mit Partitionsgranularität funktioniert und dass Apple eine separate Startpartition verwendet. Ich kann keine Hinweise darauf finden, dass der Dateitresor auf der Startpartition verwendet werden kann.

Ich verstehe nicht, wie es so weit booten kann, dass eine Anmeldeaufforderung angeboten wird, wenn die gesamte Festplatte verschlüsselt ist. Was vermisse ich?

Als Referenz verwendet das System, an dem ich interessiert bin, apfs anstelle von cs und hat keinen T2-Chip.

Niemand sagt, dass die Bootpartition auf einem Stick sein muss, sie kann auch auf dem Laufwerk selbst sein :-)
Das nehme ich an. Ein verschlüsselter Start auf dem Laufwerk konnte nicht zum Booten von Linux verwendet werden, aber Sie könnten es von einem anderen Kernel verketten, wenn Sie wollten.
Hallo Jon - kannst du bearbeiten, ob du APFS-Container oder HFS+-Container verwendest? Die Verschlüsselungsmöglichkeiten sind für APFS enorm erweitert und die Diskussion, die wir führen, wird falsch sein, ohne das eine oder andere einzugrenzen. Eine angemessene Behandlung all dessen könnte ein oder zwei Kapitel in einem Buch erfordern, und ich bin mir ziemlich sicher, dass Sie hier nach einer engeren Antwort suchen.

Antworten (2)

Auf der grundlegendsten Ebene steuert Apple die Firmware und speichert die absoluten Mindestinformationen, die erforderlich sind, um die Illusion zu vermitteln, dass ein Betriebssystem auf dem Pre-Boot-Anmeldebildschirm ausgeführt wird, wenn FileVault aktiviert ist.

Dies ist recht ausführlich von Apple dokumentiert:

Vor dem T2-Chip, der als eine Art vertrauenswürdiges Modul dient, um zu authentifizieren, ob das zu bootende Betriebssystem ordnungsgemäß signiert / verschlüsselt und / oder nicht manipuliert wurde, können diese Pre-Boot-Informationen sowohl im NVRAM als auch im EFI / Recovery HD gespeichert werden die nicht mit einem Schlüssel verschlüsselt werden, der ein Benutzerpasswort/eine Passphrase benötigt, um den Hauptspeicher zu entsperren.

Wenn Sie den Hintergrund oder Benutzer ändern, die FileVault entsperren dürfen, werden diese zwischengespeicherten Daten außerhalb des verschlüsselten Teils der Festplatte gespeichert, sodass uns die Symbole und der grafische Anmeldebildschirm angezeigt werden. Wenn ich sehe, dass Apple sagt, dass das Startvolume verschlüsselt ist, meine ich damit nur das logische Volume von Macintosh HD, das alle Benutzerdaten und alle Betriebssysteme speichert, aber nicht die Firmware und die Pre-Boot-Daten. (mit Ausnahme der T2-Chip-fähigen Hardware, die Sonderfälle sind und noch nicht die Norm)

Sie können dies mit einem der folgenden Kommentare bestätigen, je nachdem, ob Ihr Betriebssystem APFS- und APFS-Container unterstützt, die der neue Standard für Volumes und Verschlüsselung sind, oder HFS+- und Core-Storage-Container.

diskutil cs list
diskutil apfs list

Die andere aufregende Änderung, die in Bezug auf den T2-Chip auf dem neuen MacBook Pro und dem iMac Pro im Gange ist, besteht darin, dass er die Verschlüsselung des internen Speichers erzwingen kann, unabhängig davon, ob jemand den zweiten Schritt der FileVault-Verschlüsselung unternimmt oder nicht. Insbesondere wird es einen Verschlüsselungsschlüssel generieren und mit der Verschlüsselung aller Daten beginnen, bevor das Benutzerkonto überhaupt erstellt wird. Eine SSD von einem dieser Geräte ist nicht lesbar, wenn sie auf einen anderen Computer übertragen wird, unabhängig davon, ob dieser Computer einen T2-Chip hat oder nicht. Die zum Entschlüsseln des gesamten Laufwerks benötigten Schlüssel werden ausschließlich in der Secure Enclave gespeichert.

Re: Ihre Aufregung. Welche Vorteile hat die Verwendung des T2-Verschlüsselungsschemas im Vergleich zu gewöhnlichem FV2 (oder in Bezug auf das OP: die Linux-Variante dm-crypt [oder was auch immer Sie dort anders wählen können])? Und wie würden moderne AppleSSDs überhaupt aus den T2 MBPs herausgenommen?
@LangLangC Zu deinen Fragen überlasse ich die erste für bmike, da er seine eigenen Gedanken zu den Vorteilen des T2 haben wird. Was die Frage nach modernen Apple-SSDs betrifft, so handelt es sich im Grunde genommen um Flash-Speicherchips, die auf das Logic Board gelötet sind, wobei der T2-Chip als Controller fungiert. In Wirklichkeit müssten Sie also das Logic Board entfernen, um die SSDs zu entfernen . Mit der richtigen Ausrüstung wäre man in der Lage, nur die Flash-Chips zu entfernen, aber ich würde vermuten, dass über 99,99 % der Menschen keinen Zugang zu dieser Art von Ausrüstung haben werden, und selbst wenn sie dies tun würden, sind das damit verbundene Risiko und der damit verbundene Zeitaufwand sehr abschreckend.
Der T2-Chip bedeutet, dass Apple uns das kryptografische Löschen von Medien anbieten kann, indem die Schlüssel ersetzt / rotiert / zerstört werden. Wenn Sie bisher vertrauliche / vertrauliche Informationen auf eine SSD geschrieben haben, konnte der Controller diese Daten aus dem aktiven Speicherplatz auslagern, und keine Art des Löschens würde diese Festplatte bereinigen. Dies ermöglicht einen Wiederherstellungspfad, wenn Sie Daten auf eine SSD kopieren, bevor Sie sicherstellen, dass FileVault eingerichtet ist (oder wenn jemand FV deaktiviert und die Entschlüsselung beginnt und Daten im Klartext gespeichert werden).

Die Bootpartition muss nicht auf einem Stick sein, sie kann auch auf dem Laufwerk selbst sein ( Boot OS X):

pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *121.3 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage Macintosh HD            121.0 GB   disk0s2
   3:                 Apple_Boot Boot OS X               134.2 MB   disk0s3

/dev/disk1 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *1.0 TB     disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:          Apple_CoreStorage Macintosh HD            999.3 GB   disk1s2
   3:                 Apple_Boot Recovery HD             650.1 MB   disk1s3

/dev/disk2 (internal, virtual):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh HD           +1.1 TB     disk2
                                 Logical Volume on disk0s2, disk1s2
                                 559BC36D-E609-490D-8DDA-7C6F344DBB9B
                                 Unlocked Encrypted Fusion Drive
Welche der drei Partitionen sind verschlüsselt?
@Jon Chesterfield Keine direkt. disk0s2und disk1s2sind Teil des logischen Volumes disk2.
Apple_Boot und EFI sind nicht Teil des verschlüsselten logischen Volumes?
@JonChesterfield Nur das logische Volume wird verschlüsselt (und die Partitionen, die Teil von if sind)
Das legt die technisch enttäuschende Erklärung nahe, dass OSX trotz der Beschreibungen, die dies behaupten, nicht die gesamte Festplatte verschlüsseln kann.
@JonChesterfield Ich weiß nicht, auf welche Erklärung Sie sich beziehen (und was der Hintergrund Ihrer Frage ist), vielleicht können Sie das zu Ihrer Frage hinzufügen? Wie auch immer, die Behauptung ist, dass das für den Benutzer sichtbare Laufwerk vollständig verschlüsselt ist (was disk2in meinem Fall der Fall ist).
Etwas Hintergrund hinzugefügt. Im Wesentlichen habe ich eine Reihe von Links gefunden, die über "Whole Disk Encryption" sprechen, und dachte "wie?".
@nohillside Ich denke, die Unterschiede beim Bootvorgang sind geringer als erwartet, aber unter Linux ist es sichtbarer/transparenter, dass Sie (derzeit) einen unverschlüsselten Speicher benötigen, um mit dem Booten zu beginnen, und dann die Entschlüsselung stattfindet, damit das eigentliche System dann verkettet wird . Es geht um eine technische Perspektive, die sehr ähnliche Prozesse etwas anders aussehen lässt.
Verschlüsselung ganzer Festplatten. Wie kann der Kernel verschlüsselt werden?
AntwortenHierDatenschutz-Bestimmungen1y, 0v