FileVault 2 (10.7)

[vrn]

Moi

Yritin asentaa 11" Airiini uutta FileVaultia. Alku menikin ihan mukavasti ja vanhan Legacy version poisto onnistui. Uuden FileVaultin asennus kuitenkin loppui ilmoitukseen: "FileVault can’t be turned on for the disk “Macintosh HD”. Some disk formats don’t support the recovery partition required by encryption. To use encryption, reinstall this version of Mac OS X on a reformatted disk.".

-Torppari

Sama juttu tässä firman 11" ja en ole vieläkään saanut selville mistä kiikastaa. Applen foorumeiden selaaminen on täyttä tuskaa

[spiidi78]

Sama juttu tässä firman 11" ja en ole vieläkään saanut selville mistä kiikastaa. Applen foorumeiden selaaminen on täyttä tuskaa

Googlen ensimmäinen hitti: http://www.deploystudio.com/Forums/view ... ?pid=13865
Voisi vaikka tarkistaa onko sitä Recovery osiota olemassa ja onko osiot oikeassa formaatissa, muuten FV2 ei lähe toimintaan.

[kermit]

Jotkut ovat osioinneet levyn uudelleen ja palauttaneet järjestelmän varmuuskopiolta (Time Machine).

Applella on kyllä aika omituiset ohjeet saman tapaiseen tilanteeseen (vanhemmille koneille). Meinaako ne tosiaan, että ensin otetaan varmuuskopiot, sitten levy tyhjäksi, asennetaan Snow Leopard uusiksi, imetään Lion-jööti uudestaan Applen serveriltä, asennetaan se ja palautetaan tiedostot.
http://support.apple.com/kb/HT4649?viewlocale=fi_FI

[Matti Niemelä]

Jotkut ovat osioinneet levyn uudelleen ja palauttaneet järjestelmän varmuuskopiolta (Time Machine).

Applella on kyllä aika omituiset ohjeet saman tapaiseen tilanteeseen (vanhemmille koneille). Meinaako ne tosiaan, että ensin otetaan varmuuskopiot, sitten levy tyhjäksi, asennetaan Snow Leopard uusiksi, imetään Lion-jööti uudestaan Applen serveriltä, asennetaan se ja palautetaan tiedostot.
http://support.apple.com/kb/HT4649?viewlocale=fi_FI

Lion asentuu kyllä ihan täysin tyhjennetylle kovollekin. Se vaan pitää ensin ladata app storen kautta, ottaa sen ohjelmat kansioon tulevan installerin sisältä se joku JotainESD.dmg talteen ja polttaa levylle tmv.

[tahvoon]

Tulee matkusteltua paljon ja tuo tietoturva puoli alkanut huolettamaan. Koneena on mac book pro ja käyttiksenä uusi Lion. Koneella käytän vain yhtä käyttäjätunnusta jotka on tietenkin salasanan takana.
Nyt alkanut mietityttämään että jos kone varastetaan niin kuinka helposti koneella olevat tiedot on luettavissa ? Olisiko fiksua siirtyä käyttämään tuota file vault 2 suojausta, kokemuksia olisi mukava kuulla tuon toiminnasta ja mahdollisista ongelmista sen suhteen ?

[tahvoon]

Nyt alkoi minuakin tuo filevault 2 kiinnostaa.. Onko tuo niin että jos koneeseen tuon laitan niin pystyn silti tekemään timemachine varmuuskopiot salaamattomina ?

[Matti Niemelä]

Okei, eli jos Filevault 2 ei ole käytössä, eikä arkaluontoset tiedostot ole esimerkiksi TrueCrypt ohjelmalla luodun "containerin" sisällä, tiedostot ovat täysin luettavissa. Kuka tahansa ns. tietokoneista tietävä pystyy kaivamaan tiedot ulos.

Kun otatte Filevault 2:n käyttöön, ja salasananne on tarpeeksi vahva, tietoja ei saa koneesta ulos. Tämä myös huomautuksena teille, että jos ette ota sitä palautusavainta tarkasti talteen minkä se teille antaa kun olette kytkemässä FV2:sta päälle ja onnistutte unohtamaan salasananne, voitte sanoa tiedostoillenne guud bai. (Edit: senhän sai tosiaan muuten tallennettua Applellekin, se sitä siinä prosessin aikana ehdottaa.)

Mutta tietenkin Time Machine varmuuskopiothan on kaikilla. Siellä tiedostot ovat oletusarvoisesti ilman kryptausta.

Vaan on mahdollista Time Machine pref panessa pistää myös täppä "Encrypt Time Machine drive" päälle jolloin sekin on suojattu. Vaan kannattaa senkin salasana ottaa visusti talteen, koska sinnekään ei pääse jos salasana unohtuu.

Ja suosittelen tallentaan noi avaimet jonnekkin muualle kun niille kryptatuille kovoille. Arvaatte varmaan miksi.

[tahvoon]

Kiitoksia vastauksesta. Nyt on filevault 2 asennettu, en juurikaan huomaa etä hidastaisi konetta. Varmuuskopion jätän toistaiseksi vielä salaamatta, se ei matkalla kulje muutenkaan.

[jomppeli]

Kokeilin filevaulta lionissa ja poistin käytöstä. En vain ymmärrä mihin sitä palautus avainta tarvitaan jonka se antaa kun ei tarvinnut sitä antaa kun otin filevaultin pois päältä.?

[skip]

Kokeilin filevaulta lionissa ja poistin käytöstä. En vain ymmärrä mihin sitä palautus avainta tarvitaan jonka se antaa kun ei tarvinnut sitä antaa kun otin filevaultin pois päältä.?

Jos unohdat salasanasi, niin se avain toimii.

[securapple]

Hei!

Valitettavasti filevault 2, kuten mikään kokolevyn kryptaus ei anna täysin täyttä suojaa, olennaista on valita vahva salasana josta salausavainkin johdetaan.

Alla pari hyvää salasanakikkaa :
1. Valitse suomen kielen pitkä sana, lisäätarvittaessa loppuun tai alkuun numero tai kaksi. esim 29Kellopeli
2. Vaihda tämän jälkeen jokin sanassa oleva konsonantti ja muuta sitä niin, että tuloksena oleva sana ei ole suomen sanastossa esim. 29Kellopeli => 29Kellopevi,
3. Vaihda tämän jälkeen muutama kirjain numeroksi käyttämällä jotain seuraavista säännöistä : i=>1, s=>5,o=>0, e=>3 jolloin tuloksena esim : 21Kellopevi => 29Kell0pev1

Hyökkäyksistä alla yleisimmät :

Ulkoisten kryptattujen asemien salasanan murto murtotyökalulla kuten esim. alkeellinen : https://www.georgestarcher.com/?p=343
Firewiren/thuderboltin kautta muistin dumppaus :http://www.frameloss.org/2011/09/18/fir ... ncryption/
Nukkuva laite ei ole suojassa, sillä nukkuessa muistia ei kirjoiteta levylle.

Tehokkain liene tuo cold boot attack jolle ei ole suojaustapaa : http://en.wikipedia.org/wiki/Cold_boot_attack

Summarum : käytä hyvää FV2 -salasanaa, sammuta aina kone jos jätät sen vartioimatta esim.autoon.
Salaus on ainoa tapa suojata SSD-levyillä oleva data käytön jälkeen. SSD:llä tietojen poisto-ohjelmien(wipe) teho on huono, joten ainoa turvallinen poisto käytöstä on joko salaus tai fyysinen tuhoaminen esim. murskaimessa..

-Securapple

[Matti Niemelä]

Ihan hyviä vinkkejä, vaan ei täydellisiä.

Kannattaa lukea tarkkaan tää läpi:
http://xkcd.com/936/

Pointti tuossa on se, että tavallisista sanoista saa enemmän entropiaa brute-force hyökkäystä varten kuin jostain 29Kell0pev1:stä. Tärkeetä on tosin huomata ettei käytä sanoja jotka löytyvät sellaisenaan sanastosta (dictionary-attack). Eil viakka typotaa jokiasen sanan jotnekin tehokaatsi.

[floodi]

No ei se kyllä noin mene. Yksinkertaistettuna:
Isompi merkistö --> enemmän entropiaa samanpituisilla salasanoilla.
Pitempi salasana ---> enemmän entropiaa.

edit: elikkä siis niistä tavallisista sanoista saa enemmän entropiaa jos se salasana on pidempi

[Matti Niemelä]

edit: elikkä siis niistä tavallisista sanoista saa enemmän entropiaa jos se salasana on pidempi

Joo sori tätä nimenomaan yritin sanoa, ja tulihan se tuossa sarjiksessa esille. Kunhan kerroin miten pitkänkin normaaleista sanoista koostuvan passun voi fukkeroida turhaksi.

[securapple]

Hei!

FV2:n tapauksessa salasana joudutaan antamaan kirjautumisessa sekä jokaisen asentamisen yhteydessä. Itse olen nähnyt pisimmän mattimeikäläis-käyttäjän salasanan olevan 13 merkkiä joten en nä ko. menetelmän olevan kovin käytännönläheinen.

Tärkeintä salasanassa olisi päästä juuri tuon sanastohyökkäyksen hybridivaiheen (Tamm1kuu2011, joulu2001,matkamu15t0, mirri111, jne...) ulkopuolelle jolloin
useimmat crackerit aloittavat bruteforce-vaiheen aivan alusta : aaaaaaaa,aaaaaab, jne....

Tällöin murtotyökalun löytäessä sen oikean salasanan, on salana jo (toivottavasti) vaihdettu uuteen.

Tietokoneeseen talletettavien harvoin syöttämistä kaipaavien salasanojen kuten esim wlan SSID:n generointiin voisi hyvin käyttää tuollaista salasalausetta jossa on neljä sanaa peräkkäin.

-Securapple

[Matti Niemelä]

ulkopuolelle jolloin useimmat crackerit aloittavat bruteforce-vaiheen aivan alusta : aaaaaaaa,aaaaaab, jne....

Laitatko vielä lähteesi tähän? Tyypit jotka näitä hommia tekee, tuppaa oleen vähän normaalia fiksumpia, ja tajuavat että aika harvan salasana on aaaaaaaa...

Tällöin murtotyökalun löytäessä sen oikean salasanan, on salana jo (toivottavasti) vaihdettu uuteen.

Miten ihmeessä vaihdat FileVaultin salasanan jos kone on fyysisesti hyökkääjällä?

Tietokoneeseen talletettavien harvoin syöttämistä kaipaavien salasanojen kuten esim wlan SSID:n generointiin voisi hyvin käyttää tuollaista salasalausetta jossa on neljä sanaa peräkkäin.

Salasanajuttuihin aivan paras on 1Password. Itsellä esim kaikissa luottokortillisissa saiteissa joku about 20 merkkiä pitkä täys-random salasana. WLAN on siitä ikävä että sitä ei aina pysty välittämään sähköisesti (kun ei sitä yhteyttä vielä ole!) joten siinä jokin helposti syötettävä on pop.

[securapple]

Matti N. on oikeassa tuon varastamisen suhteen, salasanaa ei voi enää vaihtaa ja voi vain toivoa parasta (että varas vain myy koneen).
En tiedä kuinka nopeasti noit FV2:n salasanoja voidaan käydä läpi verrattuna esin. sha256 operaatioiden suorituskykyyn nykytietokoneissa.

Laskin tuossa, että teoriassa FV2 salasanan pitäisi olla n. 19 merkkiä pitkiä jotta siinä olisi yhtä paljon entropiaa kuin 128 bit AES -salausavaimessa. Kun salasanan pituus alkaa lähestymään tuota 19:sta, ei nykymenetelmin auringosta saatava energia riitää nykytietokoneille tarkastamaan kaikkia vaihtoehtoja.

Tuollainen ei-sanakirjaan/hybridiin kuuluva 13 merkkiä pitkä salasana riittänee suojaamaan kovalevyn kryptauksen ihmisen eliniän ajan mikäli itse AES-algoritmi tai applen tekemä implementaatio ei sisällä heikkouksia ja mooren laki pysyy voimassa.

Sanalistoissa on n. promillen tuhannesosia tuosta koko salasana-avaruudesta,hybridimuunnosten käytön jälkeen voitaneen päästä max. joihinkin promillen kymmenesosiin, joten pääseminen tuohon brute-force -alueelle on todella tärkeää.

Mitä tulee tuohon brute-force -toteamiseen, niin ei siinä mitään lähteitä tarvita. Otat vaan jonkun backtrack -distron, tcpdump päälle ja john/thc hydra laulamaan. winkkari wireshark ja LC5. aaaaaa on ensimmäinenjne... Toki esim. johniin voi ohjelmoida oman logiikaan jolloin voitaneen saada pienehköä optimointia aikaan, mutta mitä jos optimointi ohittaa todellisen salasanan?

Lähdettä : http://reusablesec.blogspot.com/2010/04 ... e-for.html

Kokeilin tuossa kolmisen vuotta sitten dualcore 2.2 ghz:lla ja johnilla suomen kielen sanastolla, sha1 -hashit. 10-merkkisiä salasanoja alkoi paljastumaan kolmen päivän päästä jos muoto oli kuukauden nimi+numero(tammikuu2008,...), kaikki sanakirjassa olleet paljastuivat ensimmäisten minuuttien aikana.

Paras tapa saada FV2 -salasana on kuitenkin usein siis ei-tietotekninen (Kiristys, fyysinen väkivalta, ...) joka on nopeampi ja halvempi kuin ostaa pilvistä kapasiteettia.

-Securapple

[skip]

Saako FileVault 2:n kanssa lisättyä käyttäjän, jonka data olisi kryptaamatonta (ja täten voisi käyttää heikkoa salasanaa, jonka voisi kertoa "kaikille", ns. pseudo guest account)? Muistaakseni kun FileVault 2:n laittoi päälle, niin se kyseli, että mitkä käyttäjät siihen otetaan mukaan. Nyt en kuitenkaan mistään löydä vaihtoehtoa ottaa yhdeltä käyttäjältä kryptaus pois tai luoda uusi käyttäjä, joka olisi kryptaamaton.

[Donza]

Saako FileVault 2:n kanssa lisättyä käyttäjän, jonka data olisi kryptaamatonta (ja täten voisi käyttää heikkoa salasanaa, jonka voisi kertoa "kaikille", ns. pseudo guest account)? Muistaakseni kun FileVault 2:n laittoi päälle, niin se kyseli, että mitkä käyttäjät siihen otetaan mukaan. Nyt en kuitenkaan mistään löydä vaihtoehtoa ottaa yhdeltä käyttäjältä kryptaus pois tai luoda uusi käyttäjä, joka olisi kryptaamaton.

FV2 kryptaa koko levyosion, joten yksittäisiä käyttäjiä ei enää voi jättää tietääkseni kryptauksen ulkopuolelle.

[Thoth]

Itse tein oman vierastunnuksen, jolla on oikeus myös Filevaultiin. Se on toki myös kryptattu.

[skip]

Saako FileVault 2:n kanssa lisättyä käyttäjän, jonka data olisi kryptaamatonta (ja täten voisi käyttää heikkoa salasanaa, jonka voisi kertoa "kaikille", ns. pseudo guest account)? Muistaakseni kun FileVault 2:n laittoi päälle, niin se kyseli, että mitkä käyttäjät siihen otetaan mukaan. Nyt en kuitenkaan mistään löydä vaihtoehtoa ottaa yhdeltä käyttäjältä kryptaus pois tai luoda uusi käyttäjä, joka olisi kryptaamaton.

FV2 kryptaa koko levyosion, joten yksittäisiä käyttäjiä ei enää voi jättää tietääkseni kryptauksen ulkopuolelle.

Harmillista, jos näin on, ettei kovosta voi lohkaista erillistä kryptaamatonta osiota. Mitäköhän tuo sitten meinasin, kun laiton FileVaultin päälle, kun se kyseli mille käyttäjille se enabloidaan. Jos olisin jättänyt jonkun niistä käyttäjistä enabloimatta, niin mitä silloin olisi tapahtunut?

Itse tein oman vierastunnuksen, jolla on oikeus myös Filevaultiin. Se on toki myös kryptattu.

Tälläinen ratkaisu mulla olikin hetken, mutta ymmärrykseni mukaan sillä sisään loggaaminen purkaa koko kovon kryptauksen, joten helpon salasanan laitto sille ja sen kertominen vielä kaikille ei ehkä ole tietoturvan kannalta kovinkaan hyvä ratkaisu.

[Kain]

Itsekkin voisi kryptata koko koko levyn, kun kone on melko usein laukun sisällä.
Lähinnä pelottaa jos hukkaa salasanan jonnekkin.
Sehän saa takaisin kysäisemälle Applelta vai?

[Thoth]

Itsekkin voisi kryptata koko koko levyn, kun kone on melko usein laukun sisällä.
Lähinnä pelottaa jos hukkaa salasanan jonnekkin.
Sehän saa takaisin kysäisemälle Applelta vai?

Applelle voi tosiaan lähettää sen avaus-salasanan (tai mikä onkaan).

Itselläni on 1Password käytössä. Laitoin salasanat sinne.

[Kain]

Itsekkin voisi kryptata koko koko levyn, kun kone on melko usein laukun sisällä.
Lähinnä pelottaa jos hukkaa salasanan jonnekkin.
Sehän saa takaisin kysäisemälle Applelta vai?

Applelle voi tosiaan lähettää sen avaus-salasanan (tai mikä onkaan).

Itselläni on 1Password käytössä. Laitoin salasanat sinne.

Mitä se muka auttaa, jos se salasana on kryptatun levyn sisällä?

[Thoth]

Itsekkin voisi kryptata koko koko levyn, kun kone on melko usein laukun sisällä.
Lähinnä pelottaa jos hukkaa salasanan jonnekkin.
Sehän saa takaisin kysäisemälle Applelta vai?

Applelle voi tosiaan lähettää sen avaus-salasanan (tai mikä onkaan).

Itselläni on 1Password käytössä. Laitoin salasanat sinne.

Mitä se muka auttaa, jos se salasana on kryptatun levyn sisällä?

No se on esimerkiksi iPod Touchissasi myös. Jos maksaa maksaa siitä 1Passwordista tarpeeksi, siis.

Edit: Dropbox-syncillä niihin salasanoihin pääsee toki myös webistä.