filevault2

neuer1234

New member
Hallo,
bin neu hier. Hab da eine Frage bezüglich filefault2. Ich habe die SSD von meinem mac book air verschlüsselt und habe leider das Passwort vergessen. Nach Kontakt mit Apple Support habe ich die noch verschlüsselte SSD platt gemacht, also gelöscht, formatiert und das Betriebssystem neu installiert. Jetzt meine Frage. Wenn ich meinen Mac Book Air jetzt verkaufen will, gibt es da eine Möglichkeit an die verschlüsselten Daten ran zu kommen, wenn man das Passwort irgendwie rauskriegen sollte (z.B. mit brute force), oder ist das Passwort mit verschlüsselt worden und man hat da keine Chance an die verschlüsselten Daten ran zu kommen?
 

bitmuncher

Senior-Nerd
Das Passwort für eine verschlüsselte Mac-Disk ist per se immer verschlüsselt. Man bräuchte schon das Original im Klartext und sehr gute Forensik-Tools um die Daten zumindest teilweise wiederherzustellen. Denn immerhin wurde ein Teil der Daten ja durch die Neuinstallation bereits überschrieben. Wenn du aber wirklich sicher gehen willst, dass keine Daten wiederherstellbar sind, solltest du den noch freien Speicher einfach einmal überschreiben. Das geht z.B. indem man mit 'dd' eine Datei anlegt, die den kompletten freien Speicher belegt und diese mit Nullen oder Zufallswerten füllt. Danach die Datei wieder löschen um den Speicher wieder freizugeben.
 

neuer1234

New member
Das Passwort für eine verschlüsselte Mac-Disk ist per se immer verschlüsselt. Man bräuchte schon das Original im Klartext und sehr gute Forensik-Tools um die Daten zumindest teilweise wiederherzustellen. Denn immerhin wurde ein Teil der Daten ja durch die Neuinstallation bereits überschrieben. Wenn du aber wirklich sicher gehen willst, dass keine Daten wiederherstellbar sind, solltest du den noch freien Speicher einfach einmal überschreiben. Das geht z.B. indem man mit 'dd' eine Datei anlegt, die den kompletten freien Speicher belegt und diese mit Nullen oder Zufallswerten füllt. Danach die Datei wieder löschen um den Speicher wieder freizugeben.

Danke für die schnelle Antwort.
Heißt das, man müsste das Passwort schon in schriftlicher Form haben, oder könnte man auch durch mehrmaligem ausprobieren, z.B. mit brute Force solange jedes Passwort ausprobieren, bis man das passende Passwort heraus bekommen hat?
Weil das Gerät ist schon leider verkauft:-(
 

bitmuncher

Senior-Nerd
Wenn das Passwort mindestens 8 Zeichen mit Zahlen und Sonderzeichen hat, dürfte ein Bruteforce wohl ein paar Jahre dauern.
 

neuer1234

New member
Nur mal so hypothetisch. Wenn man mit der SSD nach dem oben beschriebene Schema mehrmals vorgegangen, also mit neuem Passwort verschlüsselt und wieder gelöscht, mit neuem Passwort verschlüsselt und wieder gelöscht usw. Am Ende hat man die SSD z.B. 10 Mal mit jeweils anderem Passwort neu verschlüsselt. Wäre das dann auch sicher gewesen, weil man sie doch mehrmals gelöscht hätte?
 

end4win

Member of Honour
Nein, es werden nur die neuangelegten Daten verschlüsselt und diese werden bei der Installation des selben Betriebssystem weitgehend am selben Ort liegen. Nicht genutzte Bereiche werden nicht verschlüsselt, behalten also ihre ursprüngliche Information. Dies ist allerdings auch nicht schlimm, da der Aufwand bei einer verschlüsselten SSD, wie oben beschrieben, an die dort liegenden Informationen zu kommen in keinem Verhältnis zu deren Wert steht und schon gar nicht , wenn diese womöglich erst nach Jahren, wenn überhaupt zur Verfügung stehen. Für ein normales Wiederherstellungstool liegen dort keine Informationen, sondern der selbe Datenmüll, den du mit einer Löschung mit Zufallswerten produziert hättest. Den Unterschied kann der Käufer nicht einmal erkennen. Ein Käufer wird sich also nicht mal die Mühe machen es zu versuchen und jemand der es auf deine Daten abgesehen hat wird versuchen an deinen aktuellen Rechner und das zugehörige Passwort zu kommen.
Gruß
 

neuer1234

New member
Und da würde ein Passwort von den 10 Verschlüsselungen reichen um an die Daten zu gelangen? Oder bräuchte er sozusagen das Passwort von der letzten Verschlüsselung, weil ja mit der letzten Verschlüsselung alle anderen auch mit verschlüsselt wurden?
 

end4win

Member of Honour
OK, dann ganz einfach praktisch ist es unmöglich die Daten wieder herzustellen.
Bei weiteren zweifeln empfehle ich dir dich intensiv damit zu beschäftigen wie filefault2 arbeitet, um dir selbst ein Bild davon zu machen wie aussichtslos eine Wiederherstellung der Daten für einen Angreifer in deinem Fall ist.
Gruß
 

neuer1234

New member
OK, dann ganz einfach praktisch ist es unmöglich die Daten wieder herzustellen.
Bei weiteren zweifeln empfehle ich dir dich intensiv damit zu beschäftigen wie filefault2 arbeitet, um dir selbst ein Bild davon zu machen wie aussichtslos eine Wiederherstellung der Daten für einen Angreifer in deinem Fall ist.
Gruß

Danke für eure Antworten.
Nein, weiß nicht wie filevault arbeitet. Weiß aber dass es sehr sicher ist, wenn das Passwort für die Verschlüsselung sehr sicher ist. Wie ist es aber wenn mehrfach mit jeweils anderem Passwort verschlüsselt wurde und eben nicht jedes Passwort sehr sicher war. Ist es dann so, dass man mit diesem Passwort, welches man mit bruteforce rausbekommen hat, dann Zugang zu den Daten gelangen kann, die man ja jetzt entschlüsseln kann?
Und, ist es nicht so, dass wenn die SSD mit TRIM Befehl arbeitet, dass dann die Daten, auch die dann entschlüsselten Daten, sehr schwer wiederherstellbar sind?
 

neuer1234

New member
TRIM hat damit gar nichts zu tun.

Gruß

Ok, danke
Aber wie ist es mit meiner 1. Frage:
Wie ist es aber wenn mehrfach mit jeweils anderem Passwort verschlüsselt wurde und eben nicht jedes Passwort sehr sicher war. Ist es dann so, dass man mit diesem Passwort, welches man mit bruteforce rausbekommen hat, dann Zugang zu den Daten gelangen kann, die man ja jetzt entschlüsseln kann?
Gruß
 

bitmuncher

Senior-Nerd
Mir ist irgendwie unklar, wie du mehrfach mit verschiedenen Passwörtern beim FileVault verschlüsselt hast. Wenn du dein Passwort änderst, wird der Vault immer mit dem letzten Passwort verschlüsselt.
 

neuer1234

New member
Mir ist irgendwie unklar, wie du mehrfach mit verschiedenen Passwörtern beim FileVault verschlüsselt hast. Wenn du dein Passwort änderst, wird der Vault immer mit dem letzten Passwort verschlüsselt.

Naja, wie gesagt, kaufe den Computer, verschlüssel ihn mit filevault, benutze ihn 6 Monate, lösche die verschlüsselte ssd und verschlüssele die neu formatierte ssd erneut mit einem anderen Passwort. Und das mache ich jetzt - nur hypothetisch - mehrere Male. Dann gilt sozusagen das letzte Passwort nach der letzten Verschlüsselung, oder wie. Und wie ist es, wenn der Käufer jetzt das gleiche macht. Er nimmt die ssd und löscht sie und verschlüsselt sie. Dann hätte er doch nur seine Daten verschlüsselt und hätte Zugang nur zu seinen Daten und nicht mehr zu meinen Daten, die ich zuletzt verschlüsselt habe. Oder wie ist das jetzt?
Gruss
 

Yoko

New member
Einfach mal sehr vereinfacht ausgedrückt und absolut ohne technische Korrektheit:

Deine Feplatte hat 10 Speicherbereiche. Nach dem du macOS installiert und mit FileVault verschlüsselt hast, belegst du deine Festplatte wie folgt:

- Speicherbereich 1-2 für Dokumente
- Speicherbereich 3 für Bilder
- Speicherbereich 4-8 für Musik
- Speicherbereich 9-10 ist ungenutzter Speicher.

Alle Daten sind verschlüsselt. Jetzt formatierst du , installiert macOS neu und verschlüsselst mit FileVault.
Du erzeugst neue Dokumente, die auch wieder Speicherbereich 1-2 belegen. Sonst nichts. Deine vorherigen Dokumente sind nicht mehr rekonstruierbar, da sie bereits mit den neuen Daten überschrieben wurden. Deine Bilder und Musik liegen hingen noch verschlüsselt in den Speichebereichen die von der vorherigen macOS Version verwendet wurden aber noch nicht überschrieben sind. Und genau diesen Zustand hast du immer, egal wer wie oft formatiert und verschlüsselt. Wenn Daten in höheren Speicherbereichen liegen, die von einer vorherigen FileVault Verschlüsselung verschlüsselt, aber durch eine neue Belegung nicht überschrieben wurden, dann liegen sie halt verschlüsselt auf der Platte - so lange bis sie überschrieben wurden.

Um es kurz zu machen - du hast zwei Möglichkeiten:

1. Damit leben dass trotz Neuinstallation noch potentiell verschlüsselte Daten von dir auf der Platte existieren, die aber eben verschlüsselt sind.
2. Nach einer Neuinstallation die Speichbereiche mit "Datenmüll" befüllen um damit sicherzustellen, dass damit deine Verschlüsselten Daten in den Speicherbereichen überschrieben werden. Die Methode dafür hat Bitmuncher oben bereits geschildert.

Durch ständiges Neuinstallieren erhöhst du jedenfalls nicht die Sicherheit deiner Daten. Das ist ungefähr so, als würde ich ständig meine Festplatte mit der Schnellformatierung in ein Anderes Format bringen. Die Daten sind in dem Fall trotzdem noch da, nur gerade nicht lesbar. Nur in deinem Fall wären sie zusätzlich auch noch verschlüsselt. Nicht mehr und nicht weniger.
 
Zuletzt bearbeitet:

neuer1234

New member
Einfach mal sehr vereinfacht ausgedrückt und absolut ohne technische Korrektheit:

Deine Feplatte hat 10 Speicherbereiche. Nach dem du macOS installiert und mit FileVault verschlüsselt hast, belegst du deine Festplatte wie folgt:

- Speicherbereich 1-2 für Dokumente
- Speicherbereich 3 für Bilder
- Speicherbereich 4-8 für Musik
- Speicherbereich 9-10 ist ungenutzter Speicher.

Alle Daten sind verschlüsselt. Jetzt formatierst du , installiert macOS neu und verschlüsselst mit FileVault.
Du erzeugst neue Dokumente, die auch wieder Speicherbereich 1-2 belegen. Sonst nichts. Deine vorherigen Dokumente sind nicht mehr rekonstruierbar, da sie bereits mit den neuen Daten überschrieben wurden. Deine Bilder und Musik liegen hingen noch verschlüsselt in den Speichebereichen die von der vorherigen macOS Version verwendet wurden aber noch nicht überschrieben sind. Und genau diesen Zustand hast du immer, egal wer wie oft formatiert und verschlüsselt. Wenn Daten in höheren Speicherbereichen liegen, die von einer vorherigen FileVault Verschlüsselung verschlüsselt, aber durch eine neue Belegung nicht überschrieben wurden, dann liegen sie halt verschlüsselt auf der Platte - so lange bis sie überschrieben wurden.

Um es kurz zu machen - du hast zwei Möglichkeiten:

1. Damit leben dass trotz Neuinstallation noch potentiell verschlüsselte Daten von dir auf der Platte existieren, die aber eben verschlüsselt sind.
2. Nach einer Neuinstallation die Speichbereiche mit "Datenmüll" befüllen um damit sicherzustellen, dass damit deine Verschlüsselten Daten in den Speicherbereichen überschrieben werden. Die Methode dafür hat Bitmuncher oben bereits geschildert.

Durch ständiges Neuinstallieren erhöhst du jedenfalls nicht die Sicherheit deiner Daten. Das ist ungefähr so, als würde ich ständig meine Festplatte mit der Schnellformatierung in ein Anderes Format bringen. Die Daten sind in dem Fall trotzdem noch da, nur gerade nicht lesbar. Nur in deinem Fall wären sie zusätzlich auch noch verschlüsselt. Nicht mehr und nicht weniger.

Ok, mehrmals formatieren macht’s nicht sicherer, wenn man den freien Speicherplatz nicht Datenmüll vollschreibt. Gut, aber wenn ich die verschlüsselte ssd jetzt gelöscht habe und jetzt mit einem anderen Passwort neu verschlüssel. Dann habe ich jetzt zwei Passwörter. Und wenn ich das mehrere Male gemacht habe, habe ich mehrere Passwörter. Mit welchem Passwort gelange ich zu allen Daten?
 

Yoko

New member
Bei der Vorgehensweise gelangst du mit keinem Passwort zu allen Daten sondern immer nur mit dem jeweiligen Passwort zu den Daten, mit dem sie verschlüsselt wurden und die durch das erneute anlegen und beschreiben eines Vaults noch nicht überschrieben wurden.

Dein Nachfolger kann also deine Daten ohne Angriffsmethoden nicht durch eine Neuinstallation entschlüsseln, falls das deine Frage ist.
 
Zuletzt bearbeitet:

neuer1234

New member
Bei der Vorgehensweise gelangst du mit keinem Passwort zu allen Daten sondern immer nur mit dem jeweiligen Passwort zu den Daten, mit dem sie verschlüsselt wurden und die durch das erneute anlegen und beschreiben eines Vaults noch nicht überschrieben wurden.

Dein Nachfolger kann also deine Daten ohne Angriffsmethoden nicht durch eine Neuinstallation entschlüsseln, falls das deine Frage ist.

Endlich kapiert!
Euch vielen Dank.
 

neuer1234

New member
Noch eine Frage zu TRIM. Ist es nicht so, dass gelöschte Daten, auch wenn sie verschlüsselt sind, TRIM diese gelöschten Daten so verarbeitet, dass neuer Speicherplatz entsteht, und dass diese von TRIM verarbeiteten Daten allenfalls nur teilweise wiederherstellbar sind, weil sie ja nur noch teilweise auf der ssd vorhanden sind - vereinfacht formuliert - ???
 

end4win

Member of Honour
Vereinfacht gesagt kennzeichnet TRIM lediglich einmal benutzten Speicherplatz als wieder beschreibbar, wenn die dort gespeicherte Information nicht mehr benötigt wird. Die Information geht erst mit dem Überschreiben verloren.

Gruß
 
Oben