Wat is Mac OS X FileVault en hoe gebruik je het?

U kunt er zeker van zijn dat u een wachtwoord hebt ingesteld op uw Mac OS-computer. Het is alleen nuttig als u uw computer thuis laat, of iets gaat drinken in de bibliotheek, maar iemand met bepaalde kennis en wat tijd toch bij uw gegevens kan.

In werkelijkheid voorkomt een wachtwoord alleen dat iemand probeert in te loggen en toegang te krijgen tot het besturingssysteem, maar uw harde schijf is niet als zodanig gecodeerd. Met een Ubuntu-opstartschijf, of door de harde schijf te verwijderen, heeft iedereen nog steeds toegang tot alle bestanden op uw computer.

Alleen door bestanden op uw harde schijf handmatig te versleutelen, kunt u uw bestanden echt veilig houden. Dat is waar Mac OS X FileVault om de hoek komt kijken.

Mac OS X FileVault 1 en 2

FileVault is technologie die Apple levert om bestanden op harde schijven te coderen. Nadat deze bestanden zijn gecodeerd met een algoritme dat sterk genoeg is, zijn deze bestanden op geen enkele conventionele manier toegankelijk. Mac OS X lanceerde FileVault voor het eerst op Mac OS X Panther (10.3). FileVault codeert vervolgens alleen de thuismappen van de individuele gebruiker in één groot bestand met behulp van de CBC-modus (Encryption Chain). Vanaf Mac OS X Lion (10.7) is FileVault 1 - door Apple nu Legacy FileVault genoemd - vervangen door FileVault 2.

FileVault 2 daarentegen codeert de gehele opstartschijf in talloze kleinere bestanden. Het vervangt ook de huidige onveilige CBC-codering door de XTS-AES 128-modus en gebruikt een opmerkelijker coderingsalgoritme. Kortom, het heeft een groter bereik en is veiliger. Het versleutelen van deze hele schijf heeft enkele extra beveiligingsimplicaties, waarover u hieronder meer kunt lezen.

Oudere FileVault-gebruikers worden op de hoogte gesteld van het verschil als ze het FileVault-voorkeurenvenster openen in Mac OS X Lion of hoger. U kunt overschakelen naar FileVault 2 door het oude FileVault-bestand uit te schakelen. Gebruikers van Mac OS X Lion of latere versies en gebruikers die FileVault beginnen te gebruiken, zullen standaard FileVault 2 gebruiken.

Vermindert de prestaties

Omdat FileVault voortdurend gegevens op de harde schijf decodeert, resulteert het gebruik ervan in prestatieverlies. Jason Discount van The Practice of Code stelt FileVault 2 op de proef wanneer Max OS X Lion voor het eerst wordt gelanceerd.

Deze tests zijn uitgevoerd op een MacBook Air uit 2011 (rond de tijd dat Lion werd gelanceerd). De I/O-prestaties van de harde schijf (SSD) zijn gemiddeld ongeveer 18%. Dit is niet significant, maar SSD-gegevensoverdracht zal nog steeds een stuk sneller zijn dan oudere harde schijven. Als u een gewone harde schijf gebruikt. Deze prestatievermindering zal meer merkbaar zijn. U moet overwegen of de beveiligingsvoordelen het prestatie-offer echt waard zijn.

Volledige schijfversleuteling en enkele ontgrendeling

Zoals hierboven vermeld, codeert FileVault nu de gehele opstartschijf in plaats van de thuismap van de individuele gebruiker. Na het opstarten wordt de gehele schijf ontgrendeld door in te loggen met een geautoriseerd gebruikersaccount. Dit heeft zowel positieve als negatieve gevolgen.

Aan de positieve kant is er geen enkel risico voor incompatibele apps. De gehele schijf wordt ontgrendeld na het inloggen, dus voor applicaties die op de computer draaien, lijkt het erop dat de schijf niet gecodeerd is. De schijf blijft echter ontgrendeld totdat deze wordt uitgeschakeld. Met andere woorden: als een derde partij toegang krijgt tot uw computer nadat de schijf is ontgrendeld, heeft deze in theorie nog steeds toegang tot uw gegevens, zelfs als u bent afgemeld.

Naast het gebruik van FileVault, moet u uw computer met een wachtwoord beveiligen wanneer deze inactief is. Je kunt het Mac OS vertellen In combinatie met Hot Corners, te vinden in Systeemvoorkeuren > Bureaublad en schermbeveiliging > Schermbeveiliging > Hot Corners , kunt u een met een wachtwoord beveiligde schermbeveiliging inschakelen als u even weg wilt van de computer.

Houd er rekening mee dat, hoewel deze extra beveiligingsmaatregel veel indringers voorkomt, de harde schijf niet wordt vergrendeld, maar de computer alleen volledig wordt uitgeschakeld.

Boot Camp en speciale schijfconfiguratie

FileVault 2 vertrouwt op en verwacht de standaard Mac OS X-volumeconfiguratie: een Mac OS X-opstartvolume met een herstelpartitie. Recente Mac OS X-installaties worden geleverd met deze herstelpartitie, maar u kunt dit controleren door te proberen op te starten in herstel. Start uw Mac opnieuw op en houd cmd+R ingedrukt om Recovery onmiddellijk te starten, of houd Alt ingedrukt om de beschikbare opstartopties weer te geven. Als de herstelpartitie om welke reden dan ook niet langer beschikbaar is op uw Mac, moet u FileVault niet proberen te gebruiken. Als u dit wel doet, mislukt dit en zal dit waarschijnlijk leiden tot gegevensverlies.

Andere niet-standaard schijfopstellingen, zoals geavanceerde RAID-configuraties , kampen met hetzelfde probleem. Zelfs als u Boot Camp gebruikt, is compatibiliteit niet gegarandeerd. Sommige mensen hebben succes gemeld als ze Boot Camp hadden geconfigureerd en alle stuurprogramma's hadden geïnstalleerd voordat ze FileVault inschakelden, maar houd er rekening mee dat compatibiliteit niet kan worden gegarandeerd.

Hoe FileVault in te schakelen

Maak voordat u begint een back-up van de bestanden op uw Mac. Het coderen van een volledige schijf is een uitgebreid proces en u weet nooit wanneer er iets misgaat. In ieder geval is een gegevensback-up belangrijk.

Open Systeemvoorkeuren , ga naar de sectie Beveiliging en privacy en selecteer het tabblad FileVault . Voordat u deze instellingen kunt wijzigen, moet u de console ontgrendelen met een gebruikersnaam en wachtwoord. Klik op FileVault inschakelen… om het proces te starten. Houd er rekening mee dat het inschakelen van FileVault enige tijd kan duren, omdat de hele schijf moet worden gecodeerd. Afhankelijk van de grootte en het type rit kan dit variëren van een half uur tot enkele uren.

Als u meerdere gebruikersaccounts op dezelfde computer heeft, kunt u kiezen welke gebruiker de schijf na het opstarten kan ontgrendelen. Geautoriseerde gebruikers moeten de schijf na het opstarten eerst ontgrendelen, voordat ongeautoriseerde gebruikers kunnen inloggen.

Vervolgens ontvangt u een herstelsleutel met een lange reeks cijfers. Schrijf het op (of plaats het in een veilige wachtwoordbeheerder zoals LastPass) en bewaar het op een veilige plaats. Als u uw normale wachtwoord vergeet, dient dit als back-upsleutel. Zonder deze herstelsleutel staat het verliezen van uw wachtwoord gelijk aan het verliezen van al uw gegevens.

U kunt ervoor kiezen uw herstelsleutel bij Apple op te slaan. Als u uw sleutel kwijtraakt, kunt u contact opnemen met Apple Support en de sleutel ophalen met behulp van beveiligingsvragen. U moet het antwoord op uw beveiligingsvraag nog steeds nauwkeurig kunnen reproduceren, anders heeft het ondersteuningspersoneel van Apple ook geen toegang tot uw sleutel. Het ophalen van de sleutel is een extra functie, dus er kunnen kosten aan verbonden zijn.

Dit is controversieel. Tenslotte kun je je sleutels beter zorgvuldig bewaren. Mogelijk hebt u dit vangnet in de toekomst nodig. In ieder geval moet u uw beveiligingsvragen zorgvuldig kiezen, aangezien deze vaak de zwakste schakel in het beveiligingsnetwerk vormen.

Uw Mac zal u vervolgens vragen uw computer opnieuw op te starten. Na het opnieuw opstarten begint Mac OS X met het coderen van alle gegevens op de schijf. U kunt uw Mac in de tussentijd blijven gebruiken, maar houd er rekening mee dat de schijfprestaties hierdoor kunnen worden belemmerd.

Na het opnieuw opstarten kunt u terugkeren naar de FileVault-voorkeuren om het coderingsproces te controleren, samen met de geschatte voltooiingstijd.

Heeft u FileVault of een andere beveiligingsoplossing gebruikt? Laat het ons weten in de reacties hieronder!

Bekijk meer:

• 10 versleutelingstools voor Mac
• Maak gecodeerde schijfkopieën om gevoelige gegevens op de Mac op te slaan
• Beveilig mappen in Mac OS X Lion met een wachtwoord