Forum

FileVault-Schlüssel im Schlafmodus nicht speichern
September 11, 2013, 12:32:28
Wenn man FileVault 2 zur Verschlüsselung der Festplatte benutzt, dann muss schon vor dem eigentlichen Laden des Systems der Schlüssel eingegeben werden, um die Festplatte zu entschlüsseln. Das funktioniert gut und auch bei physikalischem Zugriff kann man diesen Schutz nicht umgehen.

Legt man den Rechner aber zwischendurch nur Schlafen anstatt ihn abzuschalten, dann muss man das Kennwort beim Aufwecken nicht wieder eingeben. D.h. das für die Entschlüsselung notwendige Kennwort wird auch im Schlafmodus im Speicher gehalten und bei physikalischem Zugriff kann jemand evtl. auf die noch unverschlüsselte Platte zugreifen.

Dies kann so verhindern:
Ein Benutzer mit Adminrechten gibt im Terminal einen Befehl ein, wird nach dem Adminkennwort gefragt und muss danach seinen Rechner einmal neu starten. Ab da muss man auch bei jedem Wecken das Kennwort zum Entschlüsseln der Platte eingeben.

Schlüssel nicht im RAM speichern, Schlüsseleingabe beim Aufwecken notwendig:
sudo pmset -a destroyfvkeyonstandby 1
Schlüssel im RAM speichern, Schlüsseleingabe beim Aufwecken nicht notwendig (Standardeinstellung):
sudo pmset -a destroyfvkeyonstandby 0
Ob es evtl. außer der gewünschten Funktion schädliche Nebenwirkungen gibt, weiß ich nicht. Bitte nur auf eigene Gefahr probieren.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: FileVault-Schlüssel im Schlafmodus nicht speichern
Antwort #1: Oktober 10, 2013, 18:50:52
Eine kleine Ergänzung hierzu:

Mit dem Begriff "Schlafmodus" muss man etwas aufpassen. Die oben genannte Einstellung gilt nämlich nicht wirklich für den Schlafmodus, sondern nur für den Standby-Modus.

Beim konventionellen Ruhezustand (Sleep Mode) wird der Computer weitgehend abgeschaltet, der Hauptspeicher (RAM) bleibt jedoch eingeschaltet und behält auch den FileVault2-Schlüssel. Beim Wiederaufwachen kann das System sofort weiterlaufen. Mögliches Problem: Wenn der Computer akkubetrieben ist, und der Akku während des Ruhezustands leer wird, hat man die gleiche ungünstige Situation wie bei einem Stromausfall im laufenden Betrieb. Das System wird abrupt beendet, ohne sauber heruntergefahren worden zu sein. Datenverlust ist möglich.

Beim Sicheren Ruhezustand (Safe Sleep) wird der gesamte RAM-Inhalt nicht nur im RAM gehalten, sondern zusätzlich in eine spezielle Abbilddatei auf der Festplatte gesichert ("Hibernation File"). Wird der Akku während des Ruhezustands leer, kann der Systemzustand auch ohne RAM wieder von der Festplatte rekonstruiert werden. Nachteil: Der Beginn des Ruhezustands verzögert sich um ein paar Sekunden, da immer erst eine große Datenmenge auf die Platte geschrieben werden muss.

Einige neuere Mobil-Macs unterstützen nun ein verbesserte Version des Sicheren Ruhezustands, die sich Standby-Modus nennt. Hier geht das System immer erst in den konventionellen Ruhezustand (falls der Akku nicht schon auf Reserve läuft) und schaltet nach einer gewissen Wartezeit während des Ruhezustands selbständig auf den Sicheren Ruhezustand um. Diese Wartezeit kann ebenso mit pmset eingestellt werden. Die ab Werk voreingestellte Wartezeit ist je nach Hardware-Modell verschieden.

Nicht alle Macs beherrschen Standby-Modus, da hierfür spezielle Voraussetzungen in der Firmware und im SMC zu erfüllen sind. Die Daumenregel ist: Wenn der Computer Apple-Flash-Speicher hat und ab 2010 gebaut wurde und keinen getrennten Power-Knopf, sondern eine Power-Taste auf der Tastatur aufweist und mit Lion oder höher läuft, dann ist die Wahrscheinlichkeit hoch, dass er Standby unterstützt.

Ist "destroyfvkeyonstandby" auf 0 gesetzt, erlaubt man dem System, den FileVault2-Schlüssel im SMC zu halten (der ja wie Uhr und NVRAM getrennt mit Spannung versorgt bleibt), wenn der Computer auf Standby schaltet.
Re: FileVault-Schlüssel im Schlafmodus nicht speichern
Antwort #2: Oktober 11, 2013, 08:55:13
Danke für die Ergänzung.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller