Quelloffene Tools für Zugriff auf verschlüsslte Macs

Forensiker können mit libfvde Festplatten oder Images entschlüsseln und untersuchen, die mit Lions Komplettverschlüsselung FileVault2 gesichert sind.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge
Von
  • Jürgen Schmidt

Die Open-Source-Bibliotheken und -Tools des Projekts libfvde erlauben es, Volumes zu lesen, die mit der Festplattenverschlüsselung FileVault2 aus Mac OS X Lion verschlüsselt sind. Als Analyse-Plattform kann dabei entweder Mac OS X oder auch ein Linux-System zum Einsatz kommen.

Die Tools nutzen das Filesystem in Userspace (FUSE), um etwa ein Image einer mit FileVault2 verschlüsselten System-Platte eines Macs zu mounten. Dazu extrahieren sie den so genannten Volume Master Key, den der Anwender allerdings nach wie vor durch die Eingabe der Passphrase entsperren muss. Ohne Kenntnis der Passphrase erlaubt also auch libfvde keinen Zugriff auf die verschlüsselten Daten. Eine Wiki-Seite beschreibt die ersten Schritte beim Umgang mit fvdemount und Co.

Erste kurze Tests von heise Security förderten allerdings eine wichtige Einschränkung zu Tage: libfvde funktioniert derzeit nur mit System Volumes. Bei denen legt Mac OS X eine spezielle Recovery Partition an, die eine Datei namens EncryptedRoot.plist.wipekey mit einer Kopie des benötigten, vesrchlüsselten Volume Master Keys enthält. Externe Festplatten oder USB-Sticks kann Lion zwar ebenfalls mit FileVault2 verschlüsseln, aber es legt dabei keine Recovery Partition an. Projekt-Leiter Joachim Metz bestätigte gegenüber heise Security, dass er und seine Team-Mitglieder noch nach einer Möglichkeit suchen, den für die Entschlüsselung benötigten Schlüssel ohne Recovery Partition zu extrahieren. (ju)