10 × Schwächen von FileVault
Sonntag, 9. Dezember 2007 um 3:45 UhrFileVault ist seit «Panther» Bestandteil von Mac OS X und dient der sicheren Verschlüsselung der Benutzerdaten. Apple empfiehlt FileVault mit den folgenden Worten …
«Wenn Sie vertrauliche Informationen auf Ihrem Computer speichern, empfiehlt sich die Verwendung von FileVault. Wenn Sie beispielsweise die gesamten Finanzdaten Ihrer Firma auf Ihrem Mobilcomputer abgelegt haben, könnten Unbefugte im Falle eines Verlusts Ihres Computers Zugriff auf vertrauliche Daten erhalten und Ihrer Firma schaden. Sind Sie von Ihrem Account abgemeldet, wenn Ihr Computer verloren geht, und ist FileVault aktiviert, so sind Ihre Informationen geschützt.»
… im Blogeintrag zur Sicherheit von Mac OS X «Leopard» wurde die Verwendung von FileVault empfohlen, insbesondere auch für MacBook (Pro)-Benutzer. Gleichzeitig wurde angedeutet, dass FileVault unter einigen Schwächen leidet. Da FileVault auch in Kommentaren zu anderen Blogeinträgen immer wieder thematisiert wurde, finden sich nachfolgend die aus meiner Sicht zehn bedeutendsten Schwächen von FileVault in der Mac OS X «Leopard»-Version – wie immer mit dem Wunsch auf Rückmeldungen, Verbesserungsvorschläge, usw. (per E-Mail an macmacken@macmacken.com oder als Kommentar). Die Verwendung von FileVault bleibt dabei trotz allen Schwächen empfehlenswert, denn bislang gibt es auf dem Mac schlicht keine Alternativen! 
1. Beschränkung der FileVault-Verschlüsselung auf Benutzerdaten
«[…] FileVault erstellt ein separates Volume für Ihren Benutzerordner und verschlüsselt dessen Inhalt. Die Daten in Ihrem Benutzerordner werden verschlüsselt und Ihre Informationen sind vor unbefugtem Zugriff geschützt, falls Ihr Computer verloren geht oder gestohlen wird. […]»
… so beschreibt Apple die Funktionsweise von FileVault, das heisst FileVault verschlüsselt ausschliesslich die Benutzerdaten im Benutzerverzeichnis /Benutzer/Benutzername/ – alle anderen Daten auf dem System werden von FileVault nicht erfasst. Damit kein Risiko besteht, dass zu schützende Daten unverschlüsselt gespeichert bleiben, wäre es wünschenswert, wenn FileVault die gesamte Festplatte verschlüsseln könnte. Leider bietet FileVault diesen Funktionsumfang bislang nicht und generell scheint es für den Mac im Gegensatz zu Microsoft Windows keine Lösungen für die Verschlüsselung der gesamten Festplatte zu geben.
2. Verwendung von schwacher Verschlüsselung für FileVault
Apple bewirbt die Sicherheit von FileVault unter anderem mit Verweis auf die Verwendung von AES-128 …
«[…] FileVault verwendet den neusten, durch die US-Regierung geprüften Verschlüsselungsstandard, den Advanced Encryption Standard mit 128-Bit-Schlüsseln (AES-128).»
… leider erläutert Apple nicht, wieso für das Verschlüsseln von gewöhnlichen Disk Images unter Mac OS X «Leopard» die stärkere Verschlüsselung mit AES-256 zur Verfügung steht, während FileVault weiterhin «nur» mit AES-128 verschlüsselt. AES-256 kann die Systemleistung im Vergleich zu AES-128 zwar negativ beeinflussen (siehe dazu auch unten) und AES-128 gilt (vorläufig noch) als ausreichend, aber diese Entscheidung sollte auch bei FileVault dem Benutzer überlassen bleiben.
Apple erwähnt weiter nicht, dass für die FileVault-Verschlüsselung nicht allein AES-128 verwendet wird, sondern daneben RSA-1024 und 3DES-EDE eingesetzt werden. Unerfreulich daran ist, dass die Verschlüsselung per RSA-1024 und 3DES-EDE deutlich schwächer ist als jene allein mit AES-128.
Im Bezug auf diese und weitere Verschlüsselungsschwächen von FileVault ist ein Blick auf eine entsprechende Präsentation von Jacob Appelbaum und Ralph-Philipp Weinmann, die am 23. Chaos Communication Congress Ende Dezember 2006 gehalten wurde, lohnenswert (PDF-Datei).
3. Speicherplatz- und Zeitbedarf von FileVault für Aktivierung und Deaktivierung
FileVault speichert die Benutzerdaten wie oben erwähnt in einem verschlüsselten Sparse Disk Image (beziehungsweise in einem verschlüsselten Sparse Bundle seit Mac OS X «Leopard»). Aus diesem Grund kann FileVault nur aktiviert oder deaktiviert werden, wenn mindestens gleich viel Speicherplatz zur Verfügung steht wie Benutzerdaten zu verschlüsseln oder zu entschlüsseln sind. In vielen Fällen muss man seine Benutzerdaten deshalb teilweise auf externe Festplatten «auslagern» um FileVault aktivieren oder deaktivieren zu können – FileVault zeigt ansonsten eine Fehlermeldung an.
Neben dem Speicherplatzbedarf ist auch der Zeitaufwand für die Verwendung von FileVault nicht zu unterschätzen. Das Aktivieren von FileVault kann je nach Menge der Benutzerdaten und beim empfehlenswerten «sicheren Löschen» Stunden dauern, dito das Deaktivieren. Hinzu kommt der Zeitbedarf für das Komprimieren des Sparse Bundle bei der Benutzerabmeldung und allenfalls auch noch die Datensicherung mit «Time Machine» (siehe unten).
Obiges gilt auch für Aktualisierungen von Mac OS X oder wenn das Sparse Bundle von FileVault vergrössert werden soll; im ersten Fall ist es teilweise empfehlenswert, teilweise notwendig, FileVault zu deaktivieren, im zweiten Fall führt kein Weg daran vorbei – schreibt Apple …
«Die maximale Größe eines FileVault-Benutzerordners entspricht dem verfügbaren Speicherplatz auf der Festplatte bei aktiviertem FileVault. Wenn Sie einen mit FileVault geschützten Account und den zugehörigen Benutzerordner auf einen anderen Computer migrieren, ändert sich die maximale Größe nicht. Ist auf dem neuen Computer mehr Speicherplatz auf der Festplatte verfügbar, bleibt die Größe also dennoch gleich. […] Damit Sie die maximale Größe des FileVault-Benutzerordners erhöhen können, müssen Sie FileVault deaktivieren und anschließend wieder aktivieren. Wenn FileVault wieder aktiviert wird, legt das Programm die maximale Größe entsprechend des auf der neuen Festplatte verfügbaren Speicherplatzes fest.»
4. Virtueller Speicher standardmässig ohne Verschlüsselung
Apple selbst weist darauf hin, dass der virtuelle Speicher im Bezug auf die FileVault-Verschlüsselung ein Risiko darstellen kann …
«Der Arbeitsspeicher (RAM) Ihres Computers enthält keine Informationen, wenn der Computer ausgeschaltet ist. Moderne Computer verwenden virtuellen Speicher als Abhilfe bei Problemen, die durch unzureichenden Arbeitsspeicher verursacht werden. Der virtuelle Speicher tauscht Daten zwischen Ihrer Festplatte und dem Arbeitsspeicher aus. Es besteht die Möglichkeit, dass vertrauliche Daten, die sich während Ihrer Arbeit im Arbeitsspeicher des Computers befinden, auf die Festplatte des virtuellen Speichers geschrieben werden und dort verfügbar sind, bis sie überschrieben werden. […] Wenn Sie sichergehen möchten, dass keine vertraulichen Daten auf Ihrer Festplatte verbleiben, können Sie einen sicheren virtuellen Speicher verwenden. Der sichere virtuelle Speicher verschlüsselt die Daten, die auf die Festplatte geschrieben werden.»
… sieht aber anscheinend trotzdem keinen Grund, gleichzeitig mit FileVault auch den sicheren virtuellen Speicher zu aktivieren – der Benutzer muss sich selbst darum kümmern.
5. Einschränkungen bei der Datensicherung mit «Time Machine»
«Time Machine», das standardmässige Programm zur Datensicherung mit Mac OS X «Leopard», unterstützt FileVault nicht vollständig – beim Aktivieren von FileVault erscheint eine entsprechende Warnung.
FileVault führt im Wesentlichen zu folgenden zwei Einschränkungen für die Datensicherung mit «Time Machine»:
Die Datensicherung findet einerseits nur statt, wenn man sich als Benutzer abmeldet – während der Abmeldung wird nicht nur das verschlüsselte Sparse Bundle von FileVault komprimiert, sondern im Anschluss an die Komprimierung sichert «Time Machine» jene Teile aus dem Sparse Bundle, die seit der letzten Datensicherung verändert wurden. Die stündliche Datensicherung von «Time Machine» funktioniert somit mit FileVault nicht, man kann «Time Machine» einzig und allein beim Abmelden als Benutzer zur Datensicherung nutzen.
Andererseits steht für die Datenwiederherstellung die (gewöhnungsbedürftige) «Galaxis»-Benutzeroberfläche von «Time Machine» nicht zur Verfügung. Man muss stattdessen das von «Time Machine» gesicherte verschlüsselte Sparse Bundle manuell im Finder öffnen um Daten wiederherstellen zu können.
In jedem Fall und unabhängig von FileVault sowie «Time Machine» gilt, dass die Datensicherung durch die Verschlüsselung von Daten anspruchsvoller wird. Nicht nur geht wie im Fall von «Time Machine» Komfort verloren, sondern man muss die verschlüsselten Benutzerdaten ergänzend dazu besonders sorgfältig sichern um gegen Fehler bei der Verschlüsselung gewappnet zu sein. Die entsprechende Empfehlung von Apple lautet deshalb wie folgt:
«Always remember to make a backup of your important data before using any erase or encryption options, as any rewriting of data includes a risk of data loss.»
6. Sicherheit von FileVault in Abhängigkeit von zwei Passwörtern
Die Sicherheit von Verschlüsselung und damit auch von FileVault steht und fällt bekanntlich mit den verwendeten Passwörtern; die Verschlüsselung ist grundsätzlich nur so sicher wie die entsprechenden Passwörter. Für FileVault müssen gleich zwei sichere Passwörter gewählt werden:
Einerseits dient das Benutzerpasswort, das auch für die Anmeldung des Benutzers genutzt wird, als standardmässiges Passwort für FileVault. Andererseits muss beim Aktivieren von FileVault ein Hauptpasswort gesetzt werden – dieses ermöglicht Administratoren das Deaktivieren von FileVault für den Fall, dass ein Benutzer sein Passwort vergisst. Da beide Passwörter den Zugriff auf die mit FileVault verschlüsselten Benutzerdaten ermöglichen, müssen beide gleichermassen sicher gewählt werden – Mac OS X unterstützt den Benutzer mit einem entsprechenden Assistenten.
Tipps, wie man sichere Passwörter erstellt, findet man unter anderem im «ririanproject»-Blog (via imgriff.com und «ToolBlog»).
In diesem Zusammenhang ist wichtig zu betonen, dass sich unter Mac OS X zwar das Benutzerpasswort viel zu sehr einfach zurücksetzen lässt, nicht aber die Verschlüsselung mit FileVault. Ohne Benutzerpasswort oder Hauptpasswort ist ein Zugriff auf mit FileVault-geschützte BenutzerdDaten regulär nicht möglich. Entsprechend warnt Apple vor diesem Risiko beim Verwenden von FileVault …
«[…] Wenn der Administrator des Computers das Hauptkennwort nicht kennt und der Benutzer des durch FileVault geschützten Accounts das Anmeldekennwort vergessen hat, sind die Daten im Benutzerordner verloren.»
… wohl nicht umsonst mehr als einmal …
«Achtung: Sie sollten sich das Hauptkennwort immer gut merken. Wenn Sie das Programm “FileVault” aktivieren und dann sowohl Ihr Anmeldekennwort als auch das Hauptkennwort vergessen, können Sie sich nicht mehr bei Ihrem Account anmelden und Ihre Dateien und Einstellungen sind unwiderruflich verloren.»
7. Negative Auswirkungen von FileVault auf die Systemleistung
Verschlüsselung belastet Prozessor(en) und Festplatte(n) zusätzlich, so auch bei der Verwendung von FileVault. Auf weniger leistungsfähigen oder mobilen Macs sowie beim Bearbeiten von grossen Dateien kann sich dies spürbar negativ auf die Systemleistung auswirken. Apple selbst empfiehlt deshalb insbesondere für iMovie …
«If you are using Mac OS X 10.3 or later, make sure the project you are working on isn’t saved in a folder that’s protected by FileVault.»
… und für GarageBand …
«FileVault can cause reading data from your Home directory to be significantly slower. To improve performance, open System Preferences, click the Security tab, and turn off FileVault, or move and keep your songs outside of your Home directory.»
… den Verzicht auf FileVault beziehungsweise das Speichern der entsprechenden Daten ausserhalb des Benutzerverzeichnisses. Letzteres ist eine unglückliche Empfehlung, denn FileVault verschlüsselt zwar nur das Benutzerverzeichnis (siehe oben), dieses aber umfassend, das heisst es lassen sich keine Benutzerdaten von der FileVault-Verschlüsselung ausschliessen. Zwar lassen sich Benutzerdaten problemlos ausserhalb des eigenen Benutzerverzeichnisses speichern, doch besteht dort die Gefahr, dass andere Benutzer auch darauf zugreifen können, je nach Konfiguration der Benutzerrechte auf dem entsprechenden Mac.
8. Gefahr von Datenverlust bei der Verwendung von FileVault
Verschlüsselung wie jene von FileVault kann zu einem Datenverlust führen, wenn das Schreiben der verschlüsselten Daten überraschend unterbrochen wird – beispielsweise durch einen Systemabsturz oder einen Stromausfall, aber auch durch Fehler in Mac OS X und FileVault selbst.
Meiner Erfahrung nach läuft FileVault stabil und übersteht auch den einen oder anderen Systemabsturz. Dennoch möchte ich ich nicht allein darauf verlassen und sichere meine verschlüsselten Benutzerdaten regelmässig (siehe auch oben zur Datensicherung mit «Time Machine») – sicher ist sicher … 
9. FileVault ≠ Freie Open Source-Software
«Security through obscurity» bezeichnet den Versuch, Sicherheit zu erreichen, indem die verwendeten Sicherheitsmechanismen geheimgehalten werden. Da es erfahrungsgemäss in den meisten Fällen beim Versuch bleibt, ist «Security through obscurity» für Verschlüsselung verpönt.
Sichere Verschlüsselung basiert auf sicheren und offenen Verfahren, nicht auf Geheimhaltung – so beispielsweise auch bei den Verschlüsselungsmethoden, die Apple für FileVault verwendet (siehe oben). Abgesehen davon ist FileVault leider weitgehend eine Variante von «Security through obscurity»; FileVault ist nur in Teilen offen dokumentiert und der Quelltext weitgehend «Closed Source» …
10. Weitere Schwächen von FileVault
Einige weitere Schwächen von FileVault betreffen das Suchen mit Spotlight – es funktioniert bei einigen FileVault-Benutzern nicht mehr – und den Zugriff per Firewire-«Target Disk Mode». Letztere Schwäche kann nicht vollständig behoben werden, doch stellt ein Extensible Firmware Interface (EFI)- oder Open Firmware-Passwort einen gewissen Schutz dar – mehr dazu direkt bei Apple.
Fazit zu 10 × Schwächen von FileVault
Im Ergebnis sind für FileVault zahlreiche Schwächen zu verzeichnen und es ist zu hoffen, dass Apple FileVault weiter verbessert. Gleichzeitig wurden für FileVault in Mac OS X «Tiger» bislang aber noch keine eigentlichen Sicherheitslücken bekannt und insofern bleibt FileVault empfehlenswert, zumal es schlicht an Alternativen fehlt – gewöhnliche verschlüsselte Disk Images können FileVault nicht ersetzen, da sich damit insbesondere das /Library/-Benutzerverzeichnis nicht verschlüsseln lässt.
Beim alltäglichen Arbeiten mit FileVault ist ausserdem zu beachten, wogegen FileVault schützt und wogegen nicht: FileVault schützt vor dem Zugriff auf die Benutzerdaten, sofern man sich als Benutzer abgemeldet oder seinen Mac runtergefahren hat. FileVault schützt wie alle vergleichbaren Anwendungen hingegen nicht vor Viren und wird ein Mac gestohlen, während man gerade damit arbeitet, ist für den Dieb der Zugriff auf FileVault-geschützte Benutzerdaten möglich … 
Nachtrag: «8 × Tipps für das sichere Einrichten von FileVault».
Anonym 
DB 
Anonym 
Jan 
Iteranium 
Sam 
[...] zum Glück bin ich es als FileVault-Benutzer gewohnt, meinen Mac nicht ständig laufen lassen zu können, denn auch für diese [...]
[...] meisten aber fürchten sich vor einem FileVault-bedingten Datenverlust oder lassen sich von den zahlreichen bestehenden FileVault-Schwächen [...]
[...] MacMacken » 10 × Schwächen von FileVault (tags: apple computer sicherheit) [...]
[...] auch für den Mac –, war für Januar 2008 angekündigt. Nun verzögert sich gemäss einem Kommentar von «Zoltan» zu einem anderen Blogeintrag bei MacMacken offensichtlich die Veröffentlichung [...]
[...] MacBook (Pro)-Benutzer empfiehlt (Systemeinstellungen / Sicherheit / FileVault) – trotz allen Nachteilen von FileVault, denn ganz ohne Verschlüsselung liegen zum Beispiel bei einem Notebook-Diebstahl alle [...]
[...] von Mac OS X im Gegensatz dazu schützt lediglich das Benutzerverzeichnis und hat zahlreiche Schwächen, die (viel zu) viele Mac-Benutzer auf die dennoch empfehlenswerte FileVault-Nutzung – als [...]
[...] einmal: Don’t panic! Bedauerlicherweise hat FileVault viele Schwächen, aber mangels Alternativen bleibt FileVault weiterhin empfehlenswert für alle Mac-Benutzer, [...]
[...] für FileVault – der Zugangsschutz von FileVault basiert auf dem Benutzerpasswort, so dass FileVault durch dieses Sicherheitsproblem eine neue Schwäche aufweist [...]
[...] zur Verschlüsselung der Benutzerdaten, beispielsweise als Schutz bei einem Diebstahl – allen Schwächen von FileVault zum Trotz [...]
[...] 10 × Schwächen von FileVault [...]
[...] beschreibt Macken bei FileVault. « 53 CSS-Techniques [...]
[...] Die Apple eigene alternative FileVault und ich wurden ja nie so richtig Freunde, aber auch anderer (10 × Schwächen von FileVault) hatten ganz schön Probleme damit. Mich hat bisher die fehlende bzw. eingeschränkte TimeMaschine [...]
[...] provides a replacement for Apple’s FileVault. There are a lot of issues with FileVault. Personally I don’t like any proprietary software for security sensitive [...]