Was ist die APFS-Verschlüsselung?
APFS (Apple File System) ist ein proprietäres Dateisystem der neuen Generation, das von Apple entwickelt wurde. Es wird standardmäßig in ihren modernen Produkten verwendet, einschließlich Mac-Computern mit macOS 10.13 High Sierra und höher. Dieses Format wurde mit dem Hauptaugenmerk auf Sicherheit entwickelt und verfügt über integrierte Unterstützung für Verschlüsselung. Die in einem APFS-verschlüsselten Volumen gespeicherten Daten werden mithilfe hochentwickelter Algorithmen verschlüsselt und können von niemandem gelesen werden, der nicht über die entsprechenden Anmeldeinformationen verfügt. Bei korrekter Angabe eines Kennworts oder Schlüssels wird der Inhalt entschlüsselt und kann wie gewohnt abgerufen werden.
APFS setzt dabei auf das AES-XTS-Schema mit einer Schlüssellänge von 128 Bit oder 256 Bit. Da die Verschlüsselung auf Dateisystemebene erfolgt, muss APFS im Gegensatz zu HFS+, der bisherigen Standardwahl für Macs, nicht in eine zusätzliche Schicht zum Schutz der Daten eingebunden werden. Vor APFS konnte diese Funktion nur über CoreStorage implementiert werden – ein virtuelles Volumen-System, das im Wesentlichen für die Funktionalität von FileVault 2 verantwortlich war.
Die Verschlüsselung kann auf jeden APFS-formatierten Datenträger angewendet werden, vom Mac-Startlaufwerk bis hin zu verschiedenen externen Festplatten oder SSDs und USB-Sticks. Abhängig von der Art des Speichergeräts und dem System, zu dem es gehört, kann es jedoch zwei deutlich unterschiedliche Varianten davon geben:
- Hardware-Verschlüsselung
Diese Variante wird für interne Speicher auf Intel-basierten Macs mit Apple T2-Sicherheitschips und Modellen mit Apple Silicon-Prozessoren verwendet. Unter diesen Umständen wird die Verschlüsselung sofort aktiviert und an eine bestimmte Appliance gebunden. Solche Macs sind mit einem Secure Enclave-Modul ausgestattet, das zum Speichern und Verwalten der mit der Verschlüsselung verbundenen Details, einschließlich verschiedener kryptografischer Schlüssel, verwendet wird. Die darin enthaltenen Informationen werden mithilfe fortschrittlicher Hardwaretechniken geschützt, die es dem Betriebssystem ermöglichen, mit dieser Komponente zu interagieren, aber jeglichen Zugriff auf die eigentlichen Rohdaten verhindern. Derzeit sind keine Methoden zum Abrufen dieser hardwarespezifischen Schlüssel bekannt. Dieser Ansatz macht es auch unmöglich, das verschlüsselte Laufwerk von einem Computer auf einen anderen zu verschieben.
- Softwareverschlüsselung
Die Softwareverschlüsselung wird auf allen externen Speichergeräten sowie auf den internen Laufwerken von Macs eingesetzt, die keine Hardware-Verschlüsselungsunterstützung bieten, meist solche, die vor 2017 veröffentlicht wurden. In diesem Fall werden reine Softwaremechanismen zur Verschlüsselung der Daten verwendet, ohne dass Hardware-generierte Informationen erforderlich ist. Jedes Volumen wird mit seinem individuellen geheimen Schlüssel (Volume Encryption Key oder VEK genannt) verschlüsselt. Dieser Schlüssel wird in einem geschützten Zustand in den Metadaten des APFS-Containers gespeichert und mit einem anderen Schlüssel verschlüsselt, der als Key Encryption Key (KEK) bezeichnet wird. Letzteres wiederum existiert in mehreren Kopien, die jeweils mit einem anderen Schlüssel verschlüsselt sind, der auf einem bestimmten Schutzmechanismus basiert. Dadurch ist es möglich, die Entschlüsselung und damit den Zugriff auf das Volumen über mehrere Methoden zu realisieren:
- Benutzerkennwort – eine Reihe von vom Benutzer definierten Zeichen, die jedes Mal abgefragt werden, wenn er sich beim Mac-Benutzerkonto anmeldet oder auf ein externes, mit APFS verschlüsseltes Gerät zugreift.
- Wiederherstellungsschlüssel – eine Zeichenfolge aus 24 alphanumerischen Zeichen, die automatisch erstellt wird, wenn das Systemlaufwerk mit APFS (verschlüsselt) formatiert wird oder bei der Aktivierung von FileVault. Der Schlüssel sollte notiert oder ausgedruckt und vertraulich aufbewahrt werden, um den Speicher auch dann entschlüsseln zu können, wenn das Benutzerpasswort verloren geht oder nicht mehr funktioniert.
- iCloud-Konto – das mit dem Mac verknüpfte Konto, dessen Startlaufwerk durch FileVault geschützt oder mit APFS (verschlüsselt) formatiert ist. Wenn diese Option während der anfänglichen Verschlüsselungseinrichtung ausgewählt wird, wird der Wiederherstellungsschlüssel an die Kontoinformationen gebunden, sodass die Anmeldung ausreicht, um den Speicher zu entsperren, wenn das Benutzerkennwort nicht vorhanden ist. Der Schlüssel selbst ist dem Benutzer hingegen nicht zugänglich.
- Institutioneller Wiederherstellungsschlüssel – ein optionaler Schlüssel, der vor der Verschlüsselung auf Mac-Computern des Unternehmens installiert wird und den Zugriff auf alle Computer erlaubt, wenn dies mit dem persönlichen Wiederherstellungsschlüssel des Benutzers nicht möglich ist.
Dabei kann die Entschlüsselung in der Regel mithilfe eines Kennworts eines beliebigen gültigen Benutzers oder eines der Wiederherstellungsschlüssel durchgeführt werden. Dennoch werden all diese Details als Geheimtext in den APFS-Metadaten gespeichert. Wenn bestimmte kritische Bereiche des Datenträgers durch Korruption oder einen physischen Defekt beschädigt werden, ist es nicht mehr möglich, die eingegebenen Zugangsinformationen zu überprüfen und die Daten dann lesbar zu machen, auch wenn sie ursprünglich korrekt waren.
Wie wird sie auf einem Gerät aktiviert?
Mit Ausnahme der Fälle der Hardwareverschlüsselung ist das APFS-Format selbst standardmäßig nicht verschlüsselt. Es gibt eine Reihe von Szenarien, in denen die Verschlüsselung stattfindet:
- Der Benutzer kann jedes vorhandene Nicht-Systemlaufwerk über den Finder verschlüsseln oder über die Befehlszeile oder das Festplatten-Dienstprogramm als APFS (verschlüsselt) formatieren.
- Der Benutzer kann jederzeit zu den Einstellungen "Sicherheit und Datenschutz" gehen und FileVault aktivieren, um das Systemstartvolumen zu sperren.
- Das Systemvolumen kann auch während der Erstinstallation von macOS verschlüsselt werden, sofern der Benutzer die entsprechende Option im Setup-Assistenten aktiviert.
- Bei der Migration zu APFS wird ein verschlüsseltes Volumen, das auf HFS+ und der alten CoreStorage-Technologie basiert, automatisch in APFS (verschlüsselt) konvertiert.
Die beschriebene Technologie wird für die Datenwiederherstellung und den Datenzugriff von den folgenden Softwareprodukten unterstützt:
-
UFS Explorer Professional Recovery Volle Unterstützung*
-
Recovery Explorer Professional Volle Unterstützung*
-
UFS Explorer RAID Recovery (ab Version 9.0) Volle Unterstützung*
-
UFS Explorer Network RAID (ab Version 9.0) Volle Unterstützung*
-
UFS Explorer Standard Recovery (ab Version 9.0) Volle Unterstützung*
* Bei der Hardwareverschlüsselung kommen physische Sicherheitsmechanismen zum Einsatz, die nicht programmgesteuert verwaltet werden können. Daher wird diese von der Software nicht unterstützt.