Je Mac versleutelen met FileVault 2 en Disk Utility

Door: | 06 april 2015 13:04

Apple

Je Mac versleutelen kan op verschillende manieren. FileVault 2 is een heel fijne, maar omdat je meteen een volledige schijf versleutelt, is het behoorlijk risicovol. Hier lees je hoe je individuele bestanden kunt versleutelen in plaats van volledige schijven.

FileVault 2

FileVault 2 versleutelt data op het niveau van de harde schijf. Programma's die op je Mac draaien zien de data alsof deze niet versleuteld is. Daarom kun je schijven back-uppen als je bent ingelogd, zelfs wanneer het systeem vergrendeld is. De bestanden die naar bijvoorbeeld Dropbox of een Time Machine-bestemming zijn gekopieerd, zijn echter niet versleuteld, hoewel je een laag van encryptie op al deze opties kunt toepassen. Lees ook: Zo maak je back-ups van je Mac met Time Machine.

FileVault 2 werkt fantastisch, maar bewaar je herstelsleutel op een zeer veilige plaats.

Time Machine en andere lokale drives kunnen versleuteld worden door middel van dezelfde technologie als FileVault 2 door de drive te selecteren en Encrypt [naam van de drive] te kiezen.

Je kunt je herstelsleutel van FileVault 2 veranderen als je deze kwijt bent, zolang je het wachtwoord hebt voor een account dat de rechten heeft om de computer op te starten. Het is een gedoe: Je moet FileVault 2 uitschakelen, wat de volledige drive decodeert, en vervolgens moet je het weer inschakelen. Dit kan dagen duren, dus zorg voor een constante aanvoer van netstroom.

Sommige mensen denken dat FileVault 2 OS X enorm vertraagt. Benchmarks, mijn eigen ervaringen en getuigenissen van anderen geven iets anders aan. Voor nieuwere computers (2012 voor alle modellen, en sommige die uitgebracht zijn in 2010 en 2011), die in de meeste modellen een SSD hebben, worden de prestaties slechts een beetje belemmerd en alleen tijdens activiteiten die belastend voor de schijf zijn.

En nu door naar Disk Utility!

Disk Utility

FileVault 2 is van invloed op je hele schijf en heeft een aantal enge elementen, vooral het feit dat je bestanden onherstelbaar zijn als je ooit je wachtwoord vergeet en de herstelsleutel van je schijf kwijtraakt. Maar je kunt kiezen om - als vervanging of als toevoeging - een virtuele schijf aan te maken die alles wat zich daarop bevindt versleutelt.

Niet lang geleden waren er meerdere opties om bestanden en mappen op een Mac te versleutelen. De ontwikkeling van TrueCrypt, een grotendeels gratis en opensource encryptietool, werd in mei 2014 abrupt stopgezet. Jaren geleden bood PGP Mac tools aan voor het versleutelen van bestanden, maar niet voor mappen of toegang tot virtuele schijven.

Wat overblijft is Disk Utility, onze oude vriend die het repareren van permissies op schijven behandelt, maar die ook schijfimages kan beheren en aanmaken. Als je geen softwareontwikkelaar bent, kan het zijn dat je nog nooit een schijfimage hebt hoeven aanmaken, maar het is simpelweg plat bestand (of OS X-pakket voor één subtype) dat de plaatsing en hiërarchie van bestanden en mappen, bestandspermissies en andere belangrijke data behoudt alsof dit allemaal is opgeslagen op een fysieke interne of verwisselbare schijf. (DropDMG ($24) is een hulpprogramma dat een begrijpelijke interface bovenop de schijfimage-commando's van OS X plaatst, bijvoorbeeld encryptie, terwijl het ook opties biedt voor het beheer ervan.)

Apple biedt een volledige stapsgewijze set instructies aan om een versleutelde schijfimage aan te maken. Ik raad aan om het hogere encryptieniveau 256-bit AES te kiezen. Je kunt een versleutelde schijfimage bovenop FileVault 2 gebruiken; de twee technologieën werken elkaar niet tegen.

Het 'sparse bundle'-formaat is degene die je wil gebruiken.

Ik raad ook aan om het 'sparse bundle image'-formaat te gebruiken, wat alleen zoveel ruimte in beslag neemt als nodig is voor de daadwerkelijke bestanden plus een beetje extra, in plaats van de volledige grootte die je voor de image specificeert. Dat wil zeggen: als je 10GB specificeert en slechts 100MB gebruikt, dan is de image iets groter dan 100MB. Het 'bundle'-gedeelte betekent dat de image op stille wijze verdeeld wordt in een aantal bestanden, wat ervoor zorgt dat delen van de image eenvoudiger geback-upt kunnen worden wanneer de schijf ontkoppeld wordt. Anders kan een versleutelde schijfimage aanzienlijk veranderen op basis van kleine wijzigingen, waardoor tussentijdse updates meer opslagruimte en bandbreedte in beslag nemen.

Je stelt een wachtwoord in voor de encryptie van de schijfimage, wat vereist is voor elke keer dat je hem wilt mounten en gebruiken. Je kunt het wachtwoord in de keychain opslaan tijdens het aanmaken en telkens wanneer je de schijf mount, maar het voegt extra risico toe als je je zorgen maakt dat iemand ooit toegang heeft tot je draaiende, ontgrendelde computer. Als je zeker weet dat jij de enige bent die toegang tot je computer hebt als hij aan staat, haalt het opslaan in de keychain een stap weg - waardoor je hoogstwaarschijnlijk een langer en sterker wachtwoord zal kiezen.

Net als met andere vormen van encryptie zijn je bestanden voor altijd verloren als je je wachtwoord verliest of vergeet (als het niet in de keychain is opgeslagen).