Ein großer Vorteil des 2017 eingeführten Dateisystems APFS besteht in einer umfangreichen Unterstützung für das Verschlüsseln ganzer Volumes. Auf diese Weise bleiben eigene Dokumente und persönliche Informationen unzugänglich beim Verlust des Macs oder Datenträgers. Unter macOS haben Anwender weitgehende Kontrolle darüber, welche Daten verschlüsselt werden. Zwei Methoden sieht Apples Betriebssystem für die Verschlüsselung vor: FileVault für das Daten-Volume des aktiven Betriebssystems sowie verschlüsselte APFS-Volumes, welche sich im Festplattendienstprogramm anlegen lassen. Howard Oakley beschäftigt sich seit Jahren mit den Eigenheiten von APFS und erläutert, worin die Unterschiede zwischen den beiden Methoden bestehen.


Beide Varianten verwenden ein zweistufiges System für ihre Verschlüsselung: Der Volume Encryption Key (VEK) ist für die eigentliche Ver- und Entschlüsselung der Daten verantwortlich. Dieser VEK wiederum wird selbst „eingewickelt“ (wrapped) in eine zusätzliche Verschlüsselung. Darin fließt das „Geheimnis“ (Secret) ein. Dies ist beispielsweise das Kennwort, was ein Anwender beim Anlegen eines verschlüsselten APFS-Volumes angibt. Ein Vorteil der zweistufigen Verschlüsselung besteht darin, dass der VEK mehrfach unterschiedlich umwickelt werden können, also mehrere Key Encryption Keys (KEK) parallel bestehen: Ein KEK mit einem eigenen Kennwort, einer mit dem Anmeldepasswort und ein Dritter mit einem Wiederherstellungskennwort. Auf diese Weise können vergessene Kennwörter ersetzt werden, ohne die Sicherheit zu gefährden.

Sonderform FileVault
Für die in den Einstellungen unter Datenschutz & Sicherheit aktivierbare Funktion „FileVault“ bestehen einige Sonderregelungen. Diese wirkt sich nur auf das Volume „Data“ der Startpartition aus; in ihm befinden sich alle veränderlichen Bestandteile des Betriebssystems, also beispielsweise Benutzerordner, Voreinstellungen und Programme. Dieses Volume verschlüsseln Macs mit Apple Silicon (oder T2-Koprozessor) schon von vornherein automatisch. Aktiviert ein Mac-Administrator FileVault, wird lediglich der VEK selbst verschlüsselt. Als Secret kommt das Anmeldepasswort zum Einsatz; für eine eventuell notwendige Wiederherstellung kann man zusätzlich entweder einen persönlichen Wiederherstellungsschlüssel erzeugen lassen oder ihn der iCloud anvertrauen. Weil nur der VEK verschlüsselt wird, gelingt das Ein- und Ausschalten von FileVault ohne merkliche Verzögerung. Dies findet bei FIleVault in der Secure Enclave statt; sämtliche Schlüssel verbleiben in diesem speziell abgesicherten Bereich auf dem Chip. Ein aus dem Mac entferntes Startlaufwerk lässt sich also an keinem anderen Rechner entschlüsseln.


APFS-Volume verschlüsseln kann dauern
Beim Verschlüsseln eines APFS-Volumes läuft der Vorgang leicht verändert ab: Sobald man die Verschlüsselung aktiviert, entsteht zunächst der Volume Encryption Key und daraufhin die Key Encryption Keys. Sie landen in einem sogenannten Keybag auf dem APFS-Container. So kann man etwa eine externe SSD an einen anderen Mac anschließen und mit dem „Secret“ (Kennwort oder Wiederherstellungsschlüssel) die Volumes verwenden. Wer ein neues Volume von vornherein als „APFS (verschlüsselt)“ anlegt, muss keine Verzögerung hinnehmen. Beim nachträglichen Aktivieren der Verschlüsselung werden allerdings die Bestandsdaten erstmals verschlüsselt – je mehr Daten bereits vorhanden sind, desto länger dauert dies. Anders als bei FileVault kann man einen Wiederherstellungsschlüssel nicht der iCloud anvertrauen. Über das Kommandozeilenwerkzeug „diskutil apfs unlockVolume -recoverykeychain keychainFile“ lässt es sich dafür mit einem Master-Wiederherstellungsschlüssel einer Organisation entsperren.


FileVault und APFS (verschlüsselt)

Eigenschaft	APFS (verschlüsselt)	FileVault
Bestand verschlüsseln beim Aktivieren	ja	nein
An anderen Macs verwendbar	ja	nein
Schlüsselort	Keybag (APFS-Container)	Secure Enclave
Wiederherstellung	Pers. & inst. Schlüssel	Pers. Schlüssel, iCloud