FileVault: tudo sobre a experiência de quem está usando o sistema de criptografia de arquivos do Mac OS X
É difícil de acreditar, mas a Apple implementou o FileVault no Mac OS X (link para nossa vídeo-aula sobre segurança) ainda em sua versão 10.3 Panther. Como qualquer grande novidade, eu digo com convicção que ele só começou a ficar redondo no 10.4 Tiger.
No 10.5 Leopard, conforme comentamos na época do seu lançamento, o recurso ficou ainda melhor e ganhou uma área exclusiva nas Preferências do Sistema (System Preferences). Foi aí que eu comecei a me interessar por ele, mas não pude fazê-lo no meu MacBook Pro anterior por falta de espaço em disco.
E já que citei este ponto, vamos à primeira explicação: o FileVault não ocupa mais espaço em disco quando habilitado, porém ele precisa do mesmo espaço em disco que a sua pasta Home ocupa para ser habilitado. Isso porque todo o conteúdo é duplicado enquanto é criptografado, e somente quando todo o processo é concluído o Mac OS X apaga a pasta antiga, liberando todo o espaço para uso novamente. O mesmo processo, diga-se, ocorre caso você queira desabilitá-lo. Assim, caso queira cancelá-lo no meio ou até sofra com uma queda de energia, por exemplo, nada é perdido.
Posto isso, e já que citei “criptografia”, acho que muitos de vocês não têm ideia do que é o FileVault e pra quê ele serve, correto? A explicação da Wikipedia é boa, mas está em inglês. Felizmente, encontrei um documento de suporte da Apple que já foi traduzido para nós. Confira as partes mais pertinentes:
O Mac OS X inclui o FileVault, que permite criptografar as informações de sua pasta de início. A criptografia reúne os dados em sua pasta de início para que as informações estejam seguras caso seu computador seja roubado ou perdido. O FileVault usa o padrão de criptografia mais recente aprovado pelo governo, o Padrão de Criptografia Avançado (Advanced Encryption Standard) com chaves de 128 bits (AES-128).
[...]
Se as informações do seu computador forem de natureza confidencial, você deveria considerar o uso do FileVault. Por exemplo, se você carrega todos os dados financeiros de sua empresa no PowerBook [sic], a perda do seu PowerBook [será que é antigo?] poderia permitir que outra pessoa acessasse seus dados confidenciais, o que poderia prejudicar os seus negócios. Se estiver desconectado de sua conta ao perder o seu PowerBook [ops! :-P] e o FileVault estiver ativado, suas informações estarão seguras.
[...]
Dito isso tudo, e agora com um MacBook Pro unibody de 17 polegadas novinho em folha — e com um HD de 500GB, contra meus 160GB de antes (uhu!) —, decidi mandar ver e habilitei o FileVault. Ele pode ser encontrado no painel de preferências Segurança (Security), logo na segunda aba:
Lembre-se de definir uma senha mestra, já que ela é indispensável para que você tenha acesso aos seus arquivos (se esquecer, dê adeus a tudo — de verdade!):
Feito isso, ele ainda dá mais um alerta sobre as consequências de ativar o FileVault e afirma que o processo poderá demorar um pouco — tudo depende do peso da sua pasta Home, evidentemente. É importante notar que, com ele ativo, usuários não podem mais se conectar à sua conta para compartilhamento de arquivos ou impressoras via SMB:
E vamos em frente! :-) Selecionando “Turn On FileVault”, o sistema desloga da sua conta e inicia o processo. Na fotografia abaixo (não dá pra tirar screenshots neste momento), bem no comecinho da coisa, ele estimava que no meu caso tudo demoraria cerca de duas horas, mas no final ele levou mais de quatro. Recomendo deixar a máquina trabalhando de noite, enquanto você estiver dormindo.
No dia seguinte, logo cedo iniciei testes diversos na minha máquina pra saber o que tinha mudado do antes para o depois. Minha maior preocupação era que tudo ficasse mais lento, mas a Apple garante que o recurso não traz grandes prejuízos nesse sentido — aliás, hoje em dia ela nem sequer toca no assunto. E de fato, não rodei benchmarks para conferir mudanças nos segundos ou milésimos, mas no geral não senti qualquer mudança por aqui.
Tive, sim, alguns problemas iniciais que quase me fizeram desistir do FileVault. O primeiro deles foi um bug feio em screenshots que só ocorria quando eu selecionava uma área da tela, usando o atalho Command + Shift + 4, clicando e arrastando o mouse. Sempre que eu tirava uma foto desse jeito, a imagem era corrompida:
Curiosamente, tirando foto da tela inteira (Command + Shift + 3) ou selecionando uma janela (Command + Shift + 4, barra de espaço e então um clique na área desejada) o problema não ocorria. Super estranho, porém descobri, mais tarde, que reiniciando o meu Mac o problema foi embora. Ainda bem, menos um.
Quando abri o Finder pela primeira vez, logo dei de cara com a visualização por ícones:
Se o Mac OS X oferece esta opção, é porque tem gente que gosta — e eu os respeito bastante. Mas aqui eu só consigo trabalhar em colunas. O Finder até me deixava trocar de modo de visualização, mas sempre que eu o fechava e abria de novo, os ícones grandes voltavam. Custei um pouquinho, mas lembrei de uma preferência que, por acaso, o FileVault desmarcou quando foi ativado: no Finder, selecione o menu View » Show View Options (ou use o atalho Command + J).
Na janelinha que se abre (acima), basta selecionar a opção “Always open in collumn view”. Ótimo! :-)
E já que estamos falando no Finder, veja que o ícone da pasta Home assume o desenho do FileVault e abandona a casinha tradicional:
O terceiro e último problema foi o mais grave e chato: o Spotlight deixou de funcionar. Reiniciei a máquina, conferi as opções de privacidade do sistema de buscas nas Preferências do Sistema e nada. Foi aí que eu recorri ao Google e, felizmente, encontrei pessoas reclamando da mesma coisa. Curioso: os casos datam de 2007; vai entender por que a Apple ainda não resolveu isso.
Ocorre que, depois de criptografar toda a sua pasta início, o Spotlight precisa reindexar todos os seus conteúdos novamente. Muitos tentam forçá-lo a reindexar o disco rígido inteiro, mas isso não resolve o problema, segundo uma dica publicada no Mac OS X Hints. É preciso, portanto, fazer o sistema reindexar apenas a sua pasta Home. Siga os passos:
- Abra as Preferências do Sistema (System Preferences), selecione Spotlight e então a sua segunda aba, Privacidade (Privacy).
- Clique no ícone do Finder no Dock e arraste a sua pasta Home (
/Users/seu-usuário/) para a área central da janela de Privacidade do Spotlight, ou selecione através do botão com sinal de mais (+). - Aguarde pelo menos cinco minutos, para certificar-se de a definição surtir efeito no sistema. Você pode até fechar as Preferências do Sistema e continuar trabalhando, enquanto isso.
- Agora volte à mesma tela, selecione a sua pasta Home na lista dos itens bloqueados pelo Spotlight e aperte o botão com sinal de menos (-) logo abaixo para removê-la de lá.
- Esta ação forçará o Spotlight a reindexar todo o conteúdo da pasta:
Agora é só aguardar todo o processo terminar — mais uma vez, o tempo varia de acordo com a quantidade pastas e arquivos você possui. O legal é que, neste caso, a máquina toda continua funcional, você só perde a funcionalidade do Spotlight temporariamente.
E assim eu resolvi as três coisinhas que me incomodaram bastante no primeiro dia de uso do FileVault. ;-) Já estou com ele habilitado na minha máquina há uma semana e estou bastante satisfeito com o sistema. É bom ter mais esse nível de proteção para os meus dados, me dá tranquilidade de andar pra cima e pra baixo com o MBP — claro que perdê-lo num roubo seria horrível, mas só de imaginar alguém tendo acesso a todos os meus dados, seria muito pior.
A Apple não fez nenhum anúncio específico sobre o assunto, mas o hotsite sobre o futuro Mac OS X 10.6 Snow Leopard já traz uma página focada em segurança que cita o FileVault. Espero que, no novo sistema operacional, ele fique ainda melhor.
Se você só precisa criar imagens de disco criptografadas, experimente o Exces. Uma outra alternativa ao FileVault é o Espionage, da Tao Effect, que promete uma performance superior porque permite ao usuário criptografar apenas pastas específicas do seu diretório Home e ainda oferece um nível de segurança maior: AES de 256 bits! Será que é preciso tanto? :-P
Muito bom saber, infelizmente aqui falta HD.
Fiquei sabem que o Time Machine tinha problemas para fazer o backup quando o FileVault estava ativa. Testou isso?
aqui também, com 2gb em um hd de 250 fica pra quando eu tiver meu imac com 1TB. xD
Também já li em algum lugar que dava problema com o time machine…. se fosse no windows todo mundo tava metendo pau…. mas olha a quantidade de bugs que os caras deixaram passar quando ativa o filevault….
A Apple não cita nada sobre incompatibilidade com a Time Machine. Estou em viagem agora, meu HD externo ficou em casa, então não posso testar no momento.
Sim, o Time Machine não funciona da maneira tradicional com o FileVault habilitado. Os backups só serão feitos quando vc fizer log out do seu usuário.
Acho essa marca d'agua muito chata. Rafa, não rola colocar um logo do MM lá em baixo, transparente?
Puxa, eu nem percebo a marca d`água!
Pois é, tá tão clarinha que muitos monitores provavelmente não a enxergam. Só precisa estar presente, eu não exagero, vai. :)
Beleza! ;-) Acho certo colocar. Na verdade, não me incomoda, mas eu acho que fica mais "bonitinho" com a marca do MM lá em baixo! ;-)
eu n acho… n atrapalha em nada.
Também tenho essa curiosidade, Rafael, já que uso uma Time Capsule. Se não me falha a memória, parece-me que, quando o FileVault está habilitado, só é possível recuperar o backup inteiro da máquina usando o Time Machine e não das pastas individuais. Poderia confirmar?
Pastas individuais eu não sei. Mas uma vez formatei meu MacBook e tinha um backup feito pelo Time Machine num HD Externo com File Vault ativado, quando fui passar o backup pro MacBook perdi todas as minhas configurações e dados das pastas pessoais, ele não deixava passar e nem pedia a senha
Se vc algum dia tiver que usar o backup desligue o File Vault faça outro backup e aí sim utilize-o!
Eu acho que a dica é válida só por precaução, não custa nada e é melhor não se arriscar. Mas imagino que seu caso tenha sido único, a Apple não brincaria com algo assim. Ela não fala nada sobre esse tipo de incompatibilidade com o FileVault.
Tem mais uma coise que não funciona o compartilhamento web, a opção criar uma outra conta para comparttilha a web.
Ai Rafael, você criou várias dúvidas novas com o seu teste. Agora nós ficaremos de plantão aqui esperando as respostas…
Abraços.
Rafael, eu uso o File Vault já faz no mínimo 6 meses, sim, concordo com você em certos aspectos, porém o problema do seu screenshot é o mesmo que eu tenho com o Dreamweaver.
O FV, ele bloqueia certos tipos de ações que não sejam feitas pelo usuário ( como no caso de salvar um print screen que o processo é feito pelo OS; ou no caso de enviar arquivos pelo DW, feito pelo servidor… e por ai vai.). No começo é chato de mais, porém você vai aprendendo a lidar com ele.
Na questão de compartilhar impressora, tela, arquivos e etc, aqui continua funcionando perfeitamente ( mac to mac – nunca testei no RW ).
O único problema que eu tô tendo ultimamente, após mudar minha senha, é o imac não conseguir entrar no MBP. Tirando isso, está tudo ótimo, mil maravilhas!
Abraços
Uso o FileVault desde que foi implementado.nunca ocorreu nenhum dos problemas citados (to com sorte :P) .
Uso o Time Capsule e recupero qualquer pasta ou arquivo a qualquer moneto normalmente.
oba! vou poder proteger minha pornografia! brincadeira…. aqui falta HD…
Essa é a primeira coisa que vem a tua cabeça… tsc tsc tsc.
Mas venhamos e convenhamos. Se você quer tanto o File Vault, você só pode: querer proteger os documentos da sua mega-empresa avaliada em US$32 BI ou a sua pornografia…
Qual a vantagem do filevault, se você tem acesso aos arquivos com a senha de usuário? Sem a senha de usuário não dá pra acessar os arquivos, mesmo sem o filevault. E o reset de senha não funciona só com a conta de administrador? Então não basta os arquivos no usuário normal, pra proteção integral?
Sem o FileVault você tem acesso aos arquivos sim, meu caro. ;) Basta conectar seu Mac a outro, reiniciá-lo em Target Mode via FireWire e pumba, seus arquivos estão todos montados e acessíveis como um disco rígido externo no outro Mac.
Não se vc colocar uma senha de Firmware.
Ai pra acessar os dados via FireWire vc vai precisar de senha.
http://www.orbicule.com/blog/2007/05/what-you-nee...
O problema, pelo que eu entendi, é que seus dados continuariam ali expostos. Talvez um hack mais pesado pudesse acessar diretamente seus bits. No entanto, com dados criptografados, o espião só enxergaria bits sem sentido algum; precisaria da chave para traduzir.
Senha de usuário não quer dizer proteção aos dados, mas só restrição de acesso à conta por quem está usando o computador.
Se esse é o único recurso de segurança utilizado, basta abrir o laptop, retirar o HD e lê-lo de outra máquina para ter acesso integral aos dados. Digamos que seria um erro elementar para quem pretende proteger dados realmente importantes…
É você não falou nada do time machine, que foi o que me fez desistir do file vault.
Com o File vault ligado o time machine não consegue recuperar só um arquivo, por exemplo. Isso não é bug, o sistema avisa isso quando você vai fazer o primeiro backup com file vault ligado.
se o filevault tiver ativo voce nao pode usar o time machine!
Eu uso o Time Machine normalmente
uhmmm, o que aconteceu deve ter sido o seguinte: o file vault foi ativado quando o computador tinha tiger, entao foi feito update pro leopard, ai quando fui usar o time machi com um time capsule, o time machine mandou desativar o file vault
Outra opção de criptografia aplicadas para imagens ou dispositivos é o TrueCrypt. É possível criar imagens criptografadas com chaves de até 1024 bits!
eu usava o filevault, deixei de usar porque o time machine fazia um backup unico.
na Wikipedia fala disso: Not all features of the Time Machine backup facility work when it is used in conjunction with FileVault in Mac OS 10.5. For example, a single file cannot be restored from the archive using the Time Machine interface; only restoring the entire FileVault is possible. Single files can however be restored manually using the Finder.
No suporte da Apple, não fala diretamente do TimeMachine. Mas fala assim: Como o FileVault cria uma pasta de início criptografada, alguns utilitários de cópia de backup poderão visualizá-la como uma pasta que está sempre mudando e isto pode diminuir a velocidade da cópia de backup.
aqui tem um artigo falando de como usar o filevault e o timemachine – <a href="http://www.macosxhints.com/article.php?story=2007…” target=”_blank”>http://www.macosxhints.com/article.php?story=2007…
mas não fica nada prático.
E voce queria o que??
Eh claro que o Time Machine ira fazer um backup da imagem do disco encriptado!
Se nao fosse assim perderia a seguranca.
Se voce faz a encriptacao, nao quer que ninguem tenha acesso aos seus dados. Se o Time Machine copiasse tudo separado os arquivos, qualquer um poderia ter acesso a eles!
e vc quer o que? que todos sejam videntes?
o OSX tem os dois sistemas e nenhum aviso ou bloqueio de função se determinado recurso está em uso. Fica sabendo no uso diário !
Em meu Mac, tenho arquivos confidenciais, de trabalho, e não ninguém pode ter acesso à eles.
E o FileVault já me salvou uma vez! ;-)
Eu também tenho arquivos privados. Para resolver isso, eu criei uma imagem criptografada pelo Disk Utility.
256 bits e protegida por senha.
É uma excelente dica Alexandre.
Tenho uns arquivos de trabalhos em meu Mac, arquivos extremamente confidenciais. Vou seguir a tua dica. :-)
Tô ficando fanático por segurança… hahaha
É uma excelente dica Alexandre.
Tenho uns arquivos de trabalhos em meu Mac, arquivos extremamente confidenciais. Vou seguir a tua dica. :-)
Tô ficando fanático por segurança… hahaha
Tem a senha do Firmware do Mac pra ligar, a senha do usuário, criptografia nos arquivos… hahahaha
Há quase um ano, escrevi 2 artigos sobre isso:
http://www.mbeinformatica.com.br/blog/2008/08/14/...
Abs
Valeu a dica Rodrigo! :-) Acabei de ler o seu artigo e deixei um comentário por lá. ;-)
[...] em Time Machine, há quem diga que o sistema tem conflito com o FileVault, resenhado pelo Rafael Fischmann há poucos dias aqui no MacMagazine. Segundo o site Mac OS X Hints, o CrashPlan funciona muito bem [...]
[...] algumas semanas, escrevi e publiquei um baita artigo aqui no MacMagazine sobre o FileVault, contando tudo sobre a minha experiência recente com o recurso. Na ocasião, alguns usuários [...]
[...] algumas semanas, escrevi e publiquei um baita artigo aqui no MacMagazine sobre o FileVault, contando tudo sobre a minha experiência recente com o recurso. Na ocasião, alguns usuários [...]
cara, eu fui testar o filevault, liguei ele com 110gb no hd dai deu 4hs de instalação tive que sair e ia ficar mto tempo fora, então resolvi cancelar a operação…liguei hoje, tá tudo funcionando normal, o únibco problema é que to só com 52gb no HD e o filevault tá desligado!!! como eu recupero essa memória?? =o