Eine Standardfalle bei der Festplattenverschlüsselung unter Linux ist, dass /boot unverschlüsselt sein muss. Insbesondere der Bootloader und initrd. Die gesamte Festplatte zu verschlüsseln bedeutet, diese woanders abzulegen, z. B. auf einem USB-Stick.
Bearbeiten: Ich habe jetzt erfahren, dass Grub jetzt ein Dateisystem entschlüsseln kann, das den Kernel beim Booten enthält, sodass nur der Bootloader unter Linux entschlüsselt werden muss
Ich habe den Eindruck, dass es "bekannt" ist, dass FileVault die Verschlüsselung ganzer Festplatten implementiert. Ich habe auf jeden Fall geglaubt, dass dies der Fall ist. Dies ist ohne eine Reihe von Links zu externen Websites etwas schwierig zu demonstrieren. Ein paar interne:
Brute-Force-On-Whole-Disk-Encryption und Whole-Disk-Encryption-with-a-Windows-only-Bootcamp
Und eine bestehende Frage, die diese Frage im Wesentlichen beantwortet, ist Dateitresor-2-Verschlüsselung ganzer Festplatten oder Verschlüsselung ganzer Partitionen
Es scheint ziemlich klar zu sein, dass der Dateitresor mit Partitionsgranularität funktioniert und dass Apple eine separate Startpartition verwendet. Ich kann keine Hinweise darauf finden, dass der Dateitresor auf der Startpartition verwendet werden kann.
Ich verstehe nicht, wie es so weit booten kann, dass eine Anmeldeaufforderung angeboten wird, wenn die gesamte Festplatte verschlüsselt ist. Was vermisse ich?
Als Referenz verwendet das System, an dem ich interessiert bin, apfs anstelle von cs und hat keinen T2-Chip.
Auf der grundlegendsten Ebene steuert Apple die Firmware und speichert die absoluten Mindestinformationen, die erforderlich sind, um die Illusion zu vermitteln, dass ein Betriebssystem auf dem Pre-Boot-Anmeldebildschirm ausgeführt wird, wenn FileVault aktiviert ist.
Dies ist recht ausführlich von Apple dokumentiert:
Vor dem T2-Chip, der als eine Art vertrauenswürdiges Modul dient, um zu authentifizieren, ob das zu bootende Betriebssystem ordnungsgemäß signiert / verschlüsselt und / oder nicht manipuliert wurde, können diese Pre-Boot-Informationen sowohl im NVRAM als auch im EFI / Recovery HD gespeichert werden die nicht mit einem Schlüssel verschlüsselt werden, der ein Benutzerpasswort/eine Passphrase benötigt, um den Hauptspeicher zu entsperren.
Wenn Sie den Hintergrund oder Benutzer ändern, die FileVault entsperren dürfen, werden diese zwischengespeicherten Daten außerhalb des verschlüsselten Teils der Festplatte gespeichert, sodass uns die Symbole und der grafische Anmeldebildschirm angezeigt werden. Wenn ich sehe, dass Apple sagt, dass das Startvolume verschlüsselt ist, meine ich damit nur das logische Volume von Macintosh HD, das alle Benutzerdaten und alle Betriebssysteme speichert, aber nicht die Firmware und die Pre-Boot-Daten. (mit Ausnahme der T2-Chip-fähigen Hardware, die Sonderfälle sind und noch nicht die Norm)
Sie können dies mit einem der folgenden Kommentare bestätigen, je nachdem, ob Ihr Betriebssystem APFS- und APFS-Container unterstützt, die der neue Standard für Volumes und Verschlüsselung sind, oder HFS+- und Core-Storage-Container.
diskutil cs list
diskutil apfs list
Die andere aufregende Änderung, die in Bezug auf den T2-Chip auf dem neuen MacBook Pro und dem iMac Pro im Gange ist, besteht darin, dass er die Verschlüsselung des internen Speichers erzwingen kann, unabhängig davon, ob jemand den zweiten Schritt der FileVault-Verschlüsselung unternimmt oder nicht. Insbesondere wird es einen Verschlüsselungsschlüssel generieren und mit der Verschlüsselung aller Daten beginnen, bevor das Benutzerkonto überhaupt erstellt wird. Eine SSD von einem dieser Geräte ist nicht lesbar, wenn sie auf einen anderen Computer übertragen wird, unabhängig davon, ob dieser Computer einen T2-Chip hat oder nicht. Die zum Entschlüsseln des gesamten Laufwerks benötigten Schlüssel werden ausschließlich in der Secure Enclave gespeichert.
Die Bootpartition muss nicht auf einem Stick sein, sie kann auch auf dem Laufwerk selbst sein ( Boot OS X
):
pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *121.3 GB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_CoreStorage Macintosh HD 121.0 GB disk0s2
3: Apple_Boot Boot OS X 134.2 MB disk0s3
/dev/disk1 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *1.0 TB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_CoreStorage Macintosh HD 999.3 GB disk1s2
3: Apple_Boot Recovery HD 650.1 MB disk1s3
/dev/disk2 (internal, virtual):
#: TYPE NAME SIZE IDENTIFIER
0: Apple_HFS Macintosh HD +1.1 TB disk2
Logical Volume on disk0s2, disk1s2
559BC36D-E609-490D-8DDA-7C6F344DBB9B
Unlocked Encrypted Fusion Drive
disk0s2
und disk1s2
sind Teil des logischen Volumes disk2
.disk2
in meinem Fall der Fall ist).
kein Hang
Jon Chesterfield
Fahrrad