Daniel Hruška Ako bolo uvedené na domovských stránkach Apple, OS X Lion prichádza s viac ako 200 novými funkciami a vylepšeniami. Úplne od píky by prepracovaný FileVault, ktorý bol takmer bez zmien prítomný v jablčných počítačoch už od OS X Panther (10.3), preto bolo vydanie novej verzie priamo žiaduce.
Čo vlastne onen Trezor súborov robí? Jednoducho povedané - šifruje celý pevný disk, aby každý kto nepozná príslušný kľúč, nebol schopný prečítať žiadne dáta. Šifrovanie celého disku, tak aby bolo použiteľné v praxi, nie je vôbec jednoduchý problém na implementáciu. Musí spĺňať nasledujúce tri kritériá.
- Užívateľ by nemal nič nastavovať. Šifrovanie musí byť transparentné a nezistiteľné počas používania počítača. Inými slovami – používateľ by nemal pocítiť žiadne spomalenie.
- Šifrovanie musí byť odolné voči neautorizovanému prístupu.
- Proces šifrovania by nemal spomaliť alebo obmedziť základné funkcie počítača.
Pôvodný FileVault šifroval iba domovský adresár. FileVault 2 obsiahnutý v OS X Lion však premení celý disk na zašifrovaný zväzok (objem). Pri zapnutí FileVaultu je vygenerovaný dlhý kľúč, ktorý by ste mali uložiť niekam mimo svojho pevného disku. Ako dobrá voľba sa javí poslať si ho mailom, uložiť do . Txt súboru na webové/cloudové úložisko či staromódne opísať na papier a založiť na dôverné miesto. Kedykoľvek svoj Mac vypnete, stane sa z vašich dát len akási nečitateľná spleť bitov. Tie dostanú svoj pravý význam až pri nabootovaní pod autorizovaným účtom.
Práve nutnosť vypínať Mac je jeden z nedostatkov FileVaultu. Ak ho chcete účinne používať, musíte sa svoj Mac naučiť vypínať namiesto uspávania. Akonáhle svoj jablkový počítač nabootujete môže sa k dátam dostať ktokoľvek s fyzickým prístupom. Pri nutnosti vypínania počítača určite príde vhod funkcia Pokračovať, ktorá patrí k hlavným novinkám OS X Lion. Stav vašich aplikácií je uložený a pri nabootovaní systému je všetko pripravené na použitie presne ako pred vypnutím.
Možné problémy so zväzkami
Aj keď je používanie FileVaultu viac než jednoduché, je pred jeho zapnutím urobiť jeden užívateľsky neprívetivý úkon – reštart. FileVault vyžaduje štandardnú konfiguráciu zväzkov. Jeden je viditeľný a používate ho každý deň. Druhý je naopak skrytý a nesie názov Recovery HD. Ak ste s diskom nič nevykonávali, môžete byť s najväčšou pravdepodobnosťou v pokoji. Pokiaľ ste však svoj disk rozdelili na viac oddielov, môžete naraziť na problémy. FileVault síce zapnete, ale váš disk nemusí byť ďalej bootovateľný. Preto by ste mali zvážiť návrat k jedooddielovému zväzku. Aby ste zistili vašu konfiguráciu zväzkov, reštartujete Mac a pri bootovaní držte starý. Mal by sa vám ukázať zoznam všetkých zväzkov. Pokiaľ medzi ne patrí aj Recovery HD, môžete FileVault spustiť. Avšak sú hlásené prípady, keď aj po splnení týchto požiadaviek vznikli isté problémy. Preto ešte pre všetky prípady zálohujte svoje dáta prostredníctvom Time Machine či pomocou aplikácií ako Super duper, Carbon Copy Cloner alebo Disková utilita. Istota je istota.
Zapnutie FileVaultu
Otvorte Predvoľby systému a kliknite na Zabezpečenie a súkromie. V karte FileVault kliknite na tlačidlo zámku v ľavom dolnom rohu. Budete opýtaní na svoje heslo.
- Pokiaľ používate ešte strašiu verziu FileVaultu, vyskočí na vás okno s upozornením, či chcete naďalej šifrovať len svoj domovský adresár alebo celý disk. Ak sa rozhodnete pre druhý variant, môžete ešte vybrať používateľa, ktorým bude umožnené používať Mac chránený FileVaultom. Kliknite na tlačidlo Zapnúť FileVault. Zobrazí sa 24-miestny kľúč, o ktorom bola už reč na začiatku článku. Môžete s ním odomknú FileVaultom zašifrovaný disk, aj keď zabudnete heslo ku všetkým autorizovaným účtov, ktoré majú právo nabootovať systém.
- Ani strata kľúča však nemusí znamenať naveky zašifrovaný disk. V ďalšom okne máte možnosť nechať si na servery Applu uchovať jeho kópiu. V prípade, že by ste naozaj chceli svoj kľúč získať, musíte odpovedať na všetky tri otázky, ktoré ste si zvolili. Všeobecne je odporúčané tieto otázky vyplňovať nepravdivo. Ktokoľvek s trochou snahy by mohol na odpovede ľahko prísť.
- Budete vyzvaní na reštartovanie vášho Macu. Ešte než tak urobíte, uistite sa, že k počítaču nie sú prihlásení ešte ďalší používatelia. Akonáhle kliknete na Reštartovať budú všetci ostatní používatelia nemilosrdne odhlásení bez uloženia zmien v rozpracovaných dokumentoch.
- Po reštarte a prihlásení pod svojim účtom sa ihneď celý disk začne šifrovať. V závislosti od veľkosti údajov môže tento proces trvať až niekoľko hodín. Pri vypnutí počítača pred dokončením šifrovania bude časť dát stále čitateľná. Je samozrejme odporúčané nechať celý proces šifrovania až do jeho dokončenia.
Čo sa po zapnutí FileVaultu zmenilo
Pri bootovaní sa musíte vždy prihlásiť pod svojim užívateľským menom a heslom. Prihlásením priamo na vašu plochu by sa úplne vytratil význam šifrovania celého disku. Prvé prihlásenie po zapnutí Macu musí byť vykonané pod autorizovaným účtom. Až potom sa možno prihlásiť pod ktorýmkoľvek účtom.
S nutnosťou prihlasovania sa tiež rapídne znižuje zneužitie vašich dát pri krádeži. Váš Mac už možno nikdy neuvidíte, ale môžete byť pokojní, že sa nikto nebude preberať vašimi súkromnými dokumentmi. Ak je náhodu nemáte zazálohované, dostanete tvrdú lekciu. V žiadnom prípade nenechávajte dôležité súbory iba na jednom disku!
zdroj: MacWorld.com
Nesúhlasím s tvrdením, že je nutnosťou počítač vypínať.
Keď mac uspím a mám nastavené požadovanie hesla po prebudení, bude po prebudení uzamknutý. Bez hesla sa do neho nikto aj tak nedostane. Pokiaľ sa bude chcieť dostať k dátam, musí disk vybrať av tej chvíli mu je šifrovací kľúč načítaný v RAM už na nič.
Takže by som povedal, že z uspaného Macu rovnako žiadne dáta nedostane…
Toto je pravda v prípade, že zaheslovaný profil nie je možné prelomiť. Tým ste si istý ako veľmi? :-) Ja si myslím, že vo chvíli, keď už počítač beží, tj niekto zadal šifrové heslo, tak už sa ku všetkým dátam skôr alebo neskôr dostanem. Jediný spôsob, ako mať naozaj solídnu istotu, že sa k dátam nikto nedostane, je naozaj daný počítač vypnúť, aby útočník musel lúštiť šifrové heslo, čo pôjde oveľa horšie. Tým sa mi to celé zdá k ničomu, pretože Macy sa bežne nevypínajú a skoro mi príde lepší variant so zašifrovanou domovskou zložkou.
Asi by som aj FileVault alebo niečo podobné používal, ale odrádza ma predstava spomalenia systému. Pri použití klasického HDD vraj nie je efekt taký drastický, pretože procesor je oveľa výkonnejší a vyplní tú priepasť medzi rýchlosťami, ale keďže používam SSD, tak tam by už to spomalenie bolo asi poznať. Keby som naozaj potreboval šifrovať celý disk, tak by som do toho šiel, ale 90% veci šifrovať nepotrebujem – aplikácie, hry, filmy, pesničky... ideálny kompromis by bolo šifrovanie iba vybraných zložiek, popr. vybraného systémového oddielu, kam by som ukladal osobné veci a dôležité dokumenty. Škoda, že FileVault niečo podobné neumožňuje.