A FileVault bemutatása
A Macek egy FileVault nevű beépített titkosítási funkciót biztosítanak, amely védelemmel látja el az összes tárolt adatot. A FileVault az AES-XTS adattitkosítási algoritmus segítségével védi a teljes köteteket a belső és hordozható tárolóeszközökön.
Az Apple-chippel rendelkező Maceken található FileVault médiakulccsal rendelkező C Adatvédelmi osztállyal kerülnek megvalósításra. Az Apple-chippel és Apple T2 biztonsági chippel rendelkező Macek esetében a Security Enclave-hez közvetlenül csatlakozó titkosított belső tárolóeszközök kihasználhatják a chip hardverbiztonsággal és AES-motorral kapcsolatos funkcióit. Ha a felhasználó bekapcsolja a FileVaultot egy Macen, akkor a rendszerindítási folyamat során szükség van a bejelentkezési adataira.
Belső tárhely, bekapcsolt FileVaulttal
Érvényes bejelentkezési adatok, illetve titkosított helyreállítási kulcs nélkül a belső APFS-kötetek titkosítva maradnak, és még akkor is védve vannak az illetéktelen hozzáférés elől, ha a fizikai tárolóeszközt eltávolítják, és másik számítógéphez csatlakoztatják őket. A macOS 10.15 rendszer esetén ez a rendszerkötetre és az adatkötetre egyaránt vonatkozik. A macOS 11 vagy újabb rendszerek alatt, a rendszerköteteket az aláírt rendszerkötet (SSV) funkció védi, azonban az adatkötetet továbbra is titkosítás védi. Az Apple-chippel vagy T2 chippel rendelkező Macek esetében a belső kötetek titkosítása kulcshierarchia összeállítása és kezelése által valósul meg. A titkosítás továbbá az adott chipbe épített hardvertitkosítási technológiákra is épül. A kulcshierarchia úgy lett megtervezve, hogy egyszerre négy célt lehessen vele elérni:
Jelszót kérjen a felhasználótól a titkosításhoz
Megvédje a rendszert a találgatásos támadásoktól a Macből eltávolított tárolóeszközök esetében
Gyors és biztonságos tartalomtörlési módszert biztosítson a szükséges kriptográfiai anyagok törlése révén
Lehetővé tegye a felhasználók számára a jelszavuk (és ezzel együtt a fájlok védelméhez használt kriptográfiai kulcsok) módosítását, anélkül hogy a teljes kötetet ismét titkosítani kellene
Az Apple-chippel és a T2 chippel rendelkező Maceken a FileVault-kulcsok kezelése mindig a Secure Enclave-ban történik – a titkosítási kulcsok soha nincsenek közvetlenül felfedve az Intel processzornak. Minden APFS-kötet alapértelmezés szerint egy kötet-titkosítókulccsal jön létre. A kötetek és metaadatok tartalma ezzel a kötet-titkosítókulccsal van titkosítva, amely egy osztálykulccsal van körbefuttatva. Ha a FileVault be van kapcsolva, akkor az osztálykulcsot a felhasználó jelszavának és a hardver egyedi felhasználóazonosítójának kombinációja védi.
Belső tárhely, kikapcsolt FileVaulttal
Ha a Beállítási asszisztenssel végzett kezdeti folyamat közben a FileVault nincs bekapcsolva egy olyan Macen, amely Apple-chippel vagy T2 biztonsági chippel rendelkezik, akkor a kötet ugyan titkosítva lesz, azonban a kötet-titkosítókulcs számára kizárólag a hardver egyedi felhasználóazonosítója fog védelmet nyújtani a Secure Enclave-ban.
Ha a FileVault bekapcsolására később kerül sor – amely egy azonnali folyamat, mivel az adatok korábban már titkosítva lettek –, akkor egy visszajátszás elleni mechanizmus megakadályozza, hogy a régi kulccsal (kizárólag a hardver egyedi felhasználóazonosítója alapján) fel lehessen oldani a kötet titkosítását. A kötet védelméről ezt követően a felhasználó jelszavának és a hardver egyedi felhasználóazonosítójának korábban már említett kombinációja fog gondoskodni.
A FileVault-kötetek törlése
A kötetek törlésekor a Secure Enclave biztonságosan törli az adott kötethez kapcsolódó kötet-titkosítókulcsot. Ez megakadályozza a kulccsal történő későbbi hozzáféréseket, még a Secure Enclave általi hozzáférést is. Ezenkívül az összes kötet-titkosítókulcs egy médiakulccsal van körbefuttatva. A médiakulcs nem biztosít plusz adatvédelmet, hanem úgy lett kialakítva, hogy gyors és biztonságos adattörlést tegyen lehetővé, mivel a kulcs nélkül a titkosítás feloldása nem lehetséges.
Az Apple-chippel és a T2 chippel rendelkező Maceken a médiakulcsot a Secure Enclave által támogatott technológia (például a távoli MDM-parancsok) törli. Ha a médiakulcs ily módon van törölve, a kötet kriptográfiailag hozzáférhetetlenné válik.
Eltávolítható tárolóeszközök
A cserélhető tárolóeszközök titkosítása nem alkalmazza a Secure Enclave biztonsági funkcióit, és a titkosítás ugyanúgy megy végbe, mint a T2 chippel nem rendelkező, Intel-alapú Macek esetében.