FileVault auf T2-Macs: Aktivierung ohne erneute Verschlüsselung

Viele neue Macs, die es derzeit zu kaufen gibt, bringen Apples neuen T2-Coprozessor mit. Nur das MacBook 12" wie auch das MacBook Pro 13" ohne Touch Bar und der iMac (ohne Pro) kommen noch ohne den Zusatz-Chip daher – das neue MacBook Air und der Mac mini bringen beide den T2-Chip mit. Der kleine, auf der ARM-Architektur basierende Prozessor übernimmt dabei viele Funktionen, zum Beispiel das Überwachen des Startvorganges, die Steuerung der Mikrofone und der FaceTime-Kamera sowie das Management der Touch Bar.


Auch für die Verschlüsselung der internen SSD ist der T2-Chip verantwortlich. Dies hat gleich zwei Vorteile: Erstens muss nicht die CPU die aufwändige Ver- und Entschlüsselung der Daten vornehmen und zweitens sind die Schlüssel und Passwörter niemals vom Hauptprozessor her auslesbar. Selbst wenn das Betriebssystem komplett kompromittiert wurde, sind die Schlüssel sicher.

FileVault, so Apples Produktname für die Verschlüsselung von Volumes, arbeitet auf Macs mit T2-Coprozessor anders als auf sonstigen Macs. Ist FileVault auf Macs ohne T2-Prozessor nicht aktiviert, werden die Daten unverschlüsselt auf die interne SSD oder Festplatte geschrieben – da die Daten nicht verschlüsselt werden müssen, ist die Schreib- und Lesegeschwindigkeit höher. Auf Macs mit T2-Prozessor werden die Daten immer verschlüsselt, völlig unabhängig davon, ob FileVault aktiviert ist oder nicht. Dazu wird ein zufällig generierter Schlüssel verwendet, welcher sicher im T2-Chip hinterlegt ist.

Auf Macs ohne T2-Chip muss bei Aktivierung von FileVault die gesamte Festplatte verschlüsselt werden – ein langwieriger Prozess. Zwar geschieht dies für den Nutzer unsichtbar im Hintergrund, der Mac ist während dieser Zeit aber langsamer als gewohnt. Anders auf Macs mit T2-Prozessor: Da dort die Daten bereits verschlüsselt vorliegen, wird FileVault quasi ohne Zeitverzögerung aktiviert – die SSD muss nicht erneut verschlüsselt werden. Apple verwendet dann zum Verschlüsseln der Daten nicht mehr nur den zufällig generierten Schlüssel, sondern auch das eingegebene FileVault-Passwort. Der zufällig generierte Schlüssel kann zum Entschlüsseln der Daten nicht mehr alleine ohne das dazugehörige Passwort verwendet werden – dies lässt der T2-Chip nach Aktivieren von FileVault nicht mehr zu.


Wie genau FileVault auf Macs mit und ohne T2-Coprozessor funktioniert, beschreibt Apple im "Apple T2 Security Chip"-Guide.

Kommentare

Dirk!20.11.18 12:34
MTN
Apple verwendet dann zum Verschlüsseln der Daten nicht mehr nur den zufällig generierten Schlüssel, sondern auch das eingegebene FileVault-Passwort. Der zufällig generierte Schlüssel kann zum Entschlüsseln der Daten nicht mehr alleine ohne das dazugehörige Passwort verwendet werden – dies lässt der T2-Chip nach Aktivieren von FileVault nicht mehr zu.

Ohne das Dokument jetzt selbst gelesen zu haben, klingt das für mich etwas missverständlich. Ich würde denken, der zufällige Schlüssel, mit dem die Daten der Platte ja bereits von Anfang an verschlüsselt wurden, wird bei Aktivierung von FileVault dann einfach mit dem User-Passwort verschlüsselt und statt der Klartextversion gespeichert. Ab diesem Zeitpunkt kann man dann die Daten der Platte nur noch entschlüsseln, wenn man vorher den dafür nötigen Schlüsselt mit dem User-Passwort entschlüsselt. Alles andere klingt für mich nicht sinnvoll oder nicht sicher, aber vielleicht irre ich mich auch.
-3
Anthony20.11.18 14:57
Wie verändert sich in der Praxis die Performance einer SSD durch aktiviertes T2-Vile-Fault?
0
maybeapreacher
maybeapreacher20.11.18 15:02
Anthony
Wie verändert sich in der Praxis die Performance einer SSD durch aktiviertes T2-Vile-Fault?

Gar nicht, weil keine weitere Verschlüsselung eingebaut wird.
The day Microsoft makes something that doesn't suck is probably the day they start making vacuum cleaners. - Jan Ernst Plugge
+5
Fard Dwalling20.11.18 20:41
Mh, da die Prozessoren doch eh eigentlich alle AES-NI unterstützen, frisst das doch keine Performance.... Mir scheint, der T2 Chip soll einfach etwas bessere Presseberichte bekommen, als der Böse Chip der Bauteile überwachen soll...

Und SSDs verschlüsseln doch zum Teil auch schon selbst.
-4
sierkb22.11.18 20:00
OSNews (22.11.2018): Secure boot in the era of the T2

Cisco Duo Labs Report (20.11.2018): Secure Boot in the Era of the T2
We have spent considerable time looking at the T2 and have written a paper that outlines the technical details of what actually happens when the power button is pressed. The T2 is a great first step in the right direction, but there is still room for improvement when it comes to the secure boot process on an Apple T2-enabled device. , full research report, details:
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen