Mac Geeks

Ich habe mal wieder versucht FileVault zu aktivieren um zu schauen, wie weit die Entwicklung bei Apple in Sachen Verschlüsselung vorangeschritten ist.

FileVault Verschlüsselung kann pro Benutzer auf dem System aktiviert werden. Dabei wird das komplette Home-Verzeichnis des Benutzers verschlüsselt. Dafür wird ein spezielles File-Bundle angelegt, welches das Verschlüsselte Home-Verzeichnis enthält. Ist der Benuzter eingeloggt, so ist diese Bundle im Homeverzeichnis des Benutzers gemounted. Gegenüber MacOS 10.4 (Tiger) welches für FileVault ein “Sparse Image” (eine große Datei) benutzte ist die aktuelle Implementierung schon deutlich effizienter da mehrere kleinere Dateien zur Verschlüsselung benutzt werden.

Allerdings wird man schon bei der Aktivierung der FileVault-Verschlüsselung darauf hingewiesen, daß die Aktivierung Auswirkungen auf die Time Machine Backups haben.

Ist FileVault aktiviert, so kann das Home Verzeichnis des Benutzers nicht mehr gesichert werden, wenn er eingeloggt ist. Es wird nur noch gesichert, wenn der User ausgeloggt und somit sein Home Verzeichnis nicht gemounted ist. Dabei wird dann das komplette verschlüsselte File Bundle gesichert. Einzelne Dateien sind über die normale Time Machine Oberfläche nicht mehr wieder herstellbar.

Für den normalen Laptop-Gebraucht macht FileVault das Time Machine Backup praktisch nutzlos. Die überwiegende Mehrheit der Laptops dürften nur von einem einzigen Benutzer genutzt werden. Dieser Benutzer hat normalerweise keine Veranlassung sich an seinem Rechner auszuloggen und einzuloggen. Apple hat einen ja seit langem damit Verwöhnt, daß man seinen Rechner einfach nur zuklappen muß und dann später an genau der gleichen Stelle weitermachen kann. Mit FileVault müßte man sich nun regelmäßig ausloggen, den Rechner aber eingeschaltet lassen um zu Warten, daß Time Machine ein Backup des verschlüsselten Home Verzeichnisses macht. Was ist das bitte für ein abstruser “Use Case”?

Praktisch ist Time Machine mit FileVault damit nutzlos. Man kann nun zwischen Pest oder Cholera wählen. Entweder kein Backup oder keine Verschlüsselung.

Natürlich gibt es für dieses Problem work arounds (z.B. TrueCrypt). Doch diese sind allenfalls Krücken gegenüber den geschmeidigen Einzelprodukten.

Ich werde erstmal FileVault wieder abschalten und mich nach anderen Verschlüsselungslösungen umschauen.

[Update:]

Jagge hat in den Kommentaren einen guten Hinweis gegeben wie man das FileVault-Problem in den Griff bekommen kann. Wie immer ist etwas “Bastelarbeit” erforderlich, aber es läßt sich zum Glück mit Boardmitteln lösen.

Sehr interessant fand ich auch den Link zu einem Artikel der beschreibt, wie man sein TimeMaschine Backup verschlüsselt ablegen kann. Ebenfalls mit Boardmitteln.