Παρουσίαση του FileVault
Οι υπολογιστές Mac διαθέτουν το FileVault, μια ενσωματωμένη δυνατότητα κρυπτογράφησης για διαφύλαξη όλων των αποθηκευμένων δεδομένων. Το FileVault χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης δεδομένων AES-XTS για προστασία ολόκληρων τόμων σε εσωτερικές και αφαιρούμενες συσκευές αποθήκευσης.
Το FileVault σε Mac με Apple Silicon υλοποιείται με χρήση της κλάσης C της Προστασίας δεδομένων με ένα κλειδί τόμου. Σε υπολογιστές Mac με Apple Silicon και υπολογιστές Mac με το chip ασφαλείας Apple T2, οι κρυπτογραφημένες εσωτερικές συσκευές αποθήκευσης που είναι συνδεδεμένες απευθείας στο Secure Enclave αξιοποιούν τις δυνατότητες ασφάλειας λογισμικού του Secure Enclave και της μηχανής AES. Όταν ο χρήστης ενεργοποιήσει το FileVault σε Mac, θα απαιτηθεί εισαγωγή των διαπιστευτηρίων του κατά τη διεργασία εκκίνησης.
Εσωτερικός χώρος αποθήκευσης με ενεργοποιημένο το FileVault
Χωρίς έγκυρα διαπιστευτήρια εισόδου ή κρυπτογραφικό κλειδί ανάκτησης, οι εσωτερικοί τόμοι APFS παραμένουν κρυπτογραφημένοι και προστατεύονται από μη εξουσιοδοτημένη πρόσβαση ακόμη κι αν η φυσική συσκευή αποθήκευσης αφαιρεθεί και συνδεθεί σε άλλον υπολογιστή. Στο macOS 10.15, αυτό περιλαμβάνει τόσο τον τόμο συστήματος όσο και τον τόμο δεδομένων. Στο macOS 11 ή μεταγενέστερες εκδόσεις, ο τόμος συστήματος προστατεύεται από τη δυνατότητα SSV (Υπογεγραμμένος τόμος συστήματος), αλλά ο τόμος δεδομένων παραμένει προστατευμένος μέσω κρυπτογράφησης. Για υπολογιστές Mac με chip Apple Silicon ή chip T2, η κρυπτογράφηση εσωτερικών τόμων υλοποιείται μέσω της κατασκευής και της διαχείρισης μιας ιεραρχίας κλειδιών. Η κρυπτογράφηση συμπληρώνει επίσης τις τεχνολογίες κρυπτογράφησης υλισμικού που είναι ενσωματωμένες στο συγκεκριμένο chip. Αυτή η ιεραρχία κλειδιών έχει σχεδιαστεί για παράλληλη επίτευξη τεσσάρων στόχων:
Απαίτηση του συνθηματικού χρήστη για αποκρυπτογράφηση
Προστασία του συστήματος από επίθεση ωμής βίας απευθείας κατά μέσου αποθήκευσης που αφαιρέθηκε από Mac
Παροχή γρήγορης και ασφαλούς μεθόδου σβησίματος περιεχομένου με διαγραφή του απαραίτητου κρυπτογραφικού υλικού
Παροχή δυνατότητας στους χρήστες για αλλαγή του συνθηματικού τους (και συνεπώς των κρυπτογραφικών κλειδιών που χρησιμοποιούνται για προστασία των αρχείων τους) χωρίς να απαιτείται εκ νέου κρυπτογράφηση ολόκληρου του τόμου
Σε υπολογιστές Mac με Apple Silicon ή chip T2, όλος ο χειρισμός κλειδιών FileVault πραγματοποιείται στο Secure Enclave. Τα κλειδιά κρυπτογράφησης δεν εκτίθενται ποτέ απευθείας στην κεντρική μονάδα επεξεργασίας Intel. Όλοι οι τόμοι APFS δημιουργούνται με ένα κλειδί κρυπτογράφησης τόμου από προεπιλογή. Τα περιεχόμενα τόμων και μεταδεδομένων κρυπτογραφούνται με αυτό το κλειδί κρυπτογράφησης τόμου, το οποίο περιτυλίγεται με το κλειδί κλάσης. Το κλειδί κλάσης προστατεύεται από έναν συνδυασμό του συνθηματικού χρήστη και του UID υλισμικού, όταν είναι ενεργοποιημένο το FileVault.
Εσωτερικός χώρος αποθήκευσης με απενεργοποιημένο το FileVault
Αν το FileVault δεν είναι ενεργοποιημένο σε Mac με Apple Silicon ή chip T2 κατά την αρχική διαδικασία Βοηθού διαμόρφωσης, ο τόμος κρυπτογραφείται ούτως ή άλλως, αλλά το κλειδί κρυπτογράφησης τόμου προστατεύεται μόνο από το UID υλισμικού στο Secure Enclave.
Αν το FileVault ενεργοποιηθεί αργότερα –διαδικασία που είναι άμεση καθώς τα δεδομένα έχουν ήδη κρυπτογραφηθεί–, ένας μηχανισμός κατά της επανάληψης αποτρέπει τη χρήση του παλιού κλειδιού (που βασίζεται μόνο στο UID υλισμικού) για αποκρυπτογράφηση του τόμου. Σε τέτοια περίπτωση, ο τόμος προστατεύεται από έναν συνδυασμό του συνθηματικού χρήστη με το UID υλισμικού, όπως περιγράφηκε σε προηγούμενη ενότητα.
Διαγραφή τόμων FileVault
Όταν διαγραφεί ένας τόμος, το κλειδί κρυπτογράφησης του τόμου διαγράφεται με ασφαλή τρόπο από το Secure Enclave. Αυτό αποτρέπει τη μελλοντική πρόσβαση με αυτό το κλειδί, ακόμη και από το Secure Enclave. Επιπρόσθετα, όλα τα κλειδιά κρυπτογράφησης τόμου περιτυλίγονται με ένα κλειδί μέσου. Το κλειδί μέσου δεν παρέχει επιπρόσθετη εμπιστευτικότητα δεδομένων, αλλά έχει σχεδιαστεί με τρόπο που καθιστά δυνατή τη γρήγορη διαγραφή δεδομένων, διότι δεν είναι δυνατή η αποκρυπτογράφηση χωρίς αυτό.
Σε υπολογιστές Mac με Apple Silicon ή chip T2, το σβήσιμο του κλειδιού μέσου είναι εγγυημένο να συμβεί από τεχνολογία που υποστηρίζεται από το Secure Enclave, π.χ. από απομακρυσμένες εντολές MDM. Το σβήσιμο του κλειδιού μέσου με αυτόν τον τρόπο καθιστά τον τόμο κρυπτογραφικά μη προσβάσιμο.
Αφαιρούμενες συσκευές αποθήκευσης
Η κρυπτογράφηση αφαιρούμενων συσκευών αποθήκευσης δεν χρησιμοποιεί τις δυνατότητες ασφαλείας του Secure Enclave και η κρυπτογράφησή του διεξάγεται με τον ίδιο τρόπο όπως σε υπολογιστές Mac με επεξεργαστή Intel χωρίς το chip T2.