Wie funktioniert Verschlüsselung?

FileVault 2 schützt alle Daten mit XTS-AES-128 Datenverschlüsselung auf Laufwerksebene. Der Algorithmus wurde für 512-Byte Blöcke optimiert. Die Konvertierung von Klartext zu Chiffretext und umgekehrt hat kaum Auswirkungen auf das Benutzererlebnis, weil ihr vom System eine entsprechend niedrige Priorität zugewiesen wird.

Arbeitete man früher mit einer Festplattenverschlüsselung, war es notwendig, sich nach dem Start des Computers zweimal zu identifizieren: Einmal, um das verschlüsselte Startvolume zu entsperren (POA), und ein zweites Mal, um sich am Schreibtisch anzumelden.

Das ist jedoch nicht mehr notwendig. Benutzer geben ihr Kennwort bei der Pre-Boot Anmeldung ein und es wird automatisch auch an das Betriebssystem weitergegeben, sobald dieses hochgefahren ist und Anmeldeinformationen benötigt. Durch die Kennwort-Weiterleitung ist es nicht notwendig, dass sich Benutzer nach einem Neustart zweimal anmelden müssen.

Benutzer können ihr Kennwort jederzeit zurücksetzen, ohne dass deshalb eine neuerliche Verschlüsselung notwendig wäre. Der Grund ist ein mehrstufiges Verschlüsselungsschlüssel-System. Die Schlüssel, die dem Benutzer angezeigt werden (z. B. Kennwörter für die Anmeldung oder Recovery-Schlüssel) sind abgeleitete Verschlüsselungsschlüssel und können daher ersetzt werden. Der wirkliche Laufwerksverschlüsselungsschlüssel wird niemals einem Benutzer offengelegt.

Weiter Informationen zu FileVault 2 finden Sie in: Apple Technical White Paper - Best Practices for Deploying FileVault 2 (Aug. 2012). Es kann von der Apple Website heruntergeladen werden.