Introducere în FileVault
Computerele Mac oferă FileVault, o capacitate integrată de criptare cu rol de securizare a datelor în repaus. FileVault utilizează algoritmul AES-XTS de criptare a datelor pentru a proteja volume integrale de pe dispozitivele de stocare interne și amovibile.
FileVault pe un Mac cu cip Apple este implementat folosind clasa C de protecție a datelor cu o cheie de volum. Pe computerele Mac cu cip Apple și computerele Mac cu cip de securitate Apple T2, dispozitivele de stocare interne criptate, conectate direct la Secure Enclave, beneficiază de capacitățile de securitate hardware ale acestuia, precum și de cele ale motorului AES. După ce un utilizator activează FileVault pe un Mac, acreditările sale sunt solicitate în timpul procesului de inițializare.
Stocarea internă cu FileVault activat
Fără acreditări de login valide sau o cheie de recuperare criptografică, volumele APFS interne rămân criptate și sunt protejate împotriva accesului neautorizat, chiar dacă dispozitivul de stocare fizică este eliminat și conectat la un alt computer. În macOS 10.15, aceasta include atât volumul de sistem, cât și volumul de date. În cu macOS 11 sau ulterior, volumul de sistem este protejat de funcționalitatea volum de sistem semnat (SSV), dar volumul de date rămâne protejat prin criptare. Pe computerele Mac cu cip Apple sau T2, criptarea volumului intern este implementată prin construirea și gestionarea unei ierarhii de chei. De asemenea, criptarea se bazează pe tehnologiile de criptare hardware integrate în cipul respectiv. Această ierarhie de chei este concepută să îndeplinească simultan patru obiective:
Solicitarea parolei utilizatorului pentru decriptare
Protejarea sistemului de un atac prin forță brută îndreptat direct împotriva unui suport de stocare îndepărtat din Mac
Furnizarea unei metode rapide și securizate de ștergere a conținutului prin intermediul ștergerii materialului criptografic necesar
Autorizarea utilizatorilor să-și schimbe parola (prin urmare, cheile criptografice utilizate pentru protejarea fișierelor lor) fără a necesita recriptarea întregului volum
Pe un Mac cu cip Apple și pe cele cu cip T2, gestionarea cheilor FileVault are loc în întregime în Secure Enclave; cheile de criptare nu sunt niciodată expuse direct procesorului Intel. Toate volumele APFS sunt create cu o cheie de criptare a volumului în mod implicit. Conținutul volumelor și al metadatelor este criptat cu această cheie de criptare a volumului, care este împachetată cu cheia de clasă. Cheia de clasă este protejată printr-o combinație formată din parola utilizatorului și UID-ul hardware-ului atunci când este activat FileVault.
Stocarea internă cu FileVault dezactivat
Dacă FileVault nu este activat pe un Mac cu cip Apple sau pe un Mac cu cip T2 în timpul procesului inițial al aplicației Asistent de configurare, volumul este totuși criptat, dar cheia de criptare a volumului este protejată doar de UID‑ul hardware‑ului din Secure Enclave.
Dacă FileVault este activat ulterior (proces care are loc imediat deoarece datele erau deja criptate), un mecanism anti-repetare împiedică utilizarea vechii chei (bazată doar pe UID-ul hardware-ului) cu scopul de a decripta volumul. Volumul este protejat atunci printr-o combinație formată din parola utilizatorului și UID-ul hardware-ului conform descrierii de mai sus.
Ștergerea volumelor FileVault
Când este șters un volum, cheia sa de criptare a volumului este ștearsă în mod securizat de Secure Enclave. Astfel se previne accesul ulterior folosind această cheie chiar și de către Secure Enclave. În plus, toate cheile de criptare a volumului sunt împachetate cu o cheie de suport. Cheia de suport nu asigură o confidențialitate suplimentară a datelor, fiind în schimb concepută pentru a permite ștergerea rapidă și sigură a datelor, deoarece fără ea decriptarea ar fi imposibilă.
Pe un Mac cu cip Apple și pe cele cu cip T2, se garantează ștergerea cheii de suport de către tehnologia compatibilă cu Secure Enclave – de exemplu, prin comenzi MDM de la distanță. În urma unei astfel de ștergeri a cheii de suport, volumul devine inaccesibil criptografic.
Dispozitivele de stocare amovibile
Criptarea dispozitivelor de stocare amovibile nu utilizează capacitățile de securitate ale funcționalității Secure Enclave, iar criptarea acestora este realizată în același mod ca pe computerele Mac cu procesor Intel fără cip T2.