Introdução ao FileVault
Os computadores Mac oferecem o FileVault, uma capacidade de cifragem integrada para proteger todos os dados que não estão a ser utilizados. O FileVault usa o algoritmo de cifragem de dados AES-XTS para proteger volumes inteiros em dispositivos de armazenamento internos e amovíveis.
O FileVault num Mac com Apple Silicon é implementado utilizando proteção de dados de classe C com uma chave de volume. Em computadores Mac com Apple Silicon e computadores Mac com o chip de segurança T2 da Apple, os dispositivos de armazenamento interno cifrados que estejam ligados diretamente ao Secure Enclave potenciam as capacidades de segurança do hardware e do motor AES. Após um utilizador ativar o FileVault num Mac, as respetivas credenciais são pedidas durante o processo de arranque.
Armazenamento interno com o FileVault ativado
Sem credenciais de início de sessão válidas ou uma chave de recuperação criptográfica, os volumes APFS internos mantêm-se cifrados e são protegidos de acesso não autorizado mesmo que o dispositivo de armazenamento físico seja removido e ligado a outro computador. No macOS 10.15, isto incluindo o volume do sistema e o volume de dados. No macOS 11 ou posterior, o volume do sistema é protegido pela funcionalidade de volume do sistema assinado (SSV), mas o volume de dados continua a ser protegido por cifragem. Para computadores Mac com Apple Silicon ou chips T2, a cifragem do volume interno é implementada através da criação e gestão de uma hierarquia de chaves. A cifragem baseia‑se nas tecnologias de cifragem de hardware integradas no chip específico. Esta hierarquia de chaves foi concebida para alcançar quatro objetivos em simultâneo:
Solicitar a palavra‑passe do utilizador para a decifragem.
Proteger o sistema de um ataque de força bruta diretamente contra suportes de armazenamento removidos do Mac.
Proporcionar um método rápido e seguro para apagar conteúdo através da eliminação do material criptográfico necessário.
Permitir que os utilizadores alterem a respetiva palavra‑passe (e, por sua vez, as chaves criptográficas usadas para proteger os ficheiros) sem ser necessário voltar a cifrar todo o volume.
Num Mac com Apple Silicon e em computadores com o chip T2, toda a gestão de chaves do FileVault ocorre no Secure Enclave; as chaves de cifragem nunca são expostas diretamente à CPU. Por predefinição, todos os volumes APFS são criados com uma chave de cifragem do volume. O conteúdo do volume e dos metadados é cifrado com esta chave de cifragem de volume, que é ajustada com a chave de classe. A chave de classe é protegida por uma combinação da palavra‑passe do utilizador e do UID de hardware quando o FileVault está ativado.
Armazenamento interno com o FileVault desativado
Se o FileVault não for ativado num Mac com Apple Silicon ou num Mac com o chip de segurança T2 da Apple durante o processo inicial do Assistente de Configuração, o volume é cifrado, mas a chave de cifragem do volume é protegida apenas pelo UID de hardware no Secure Enclave.
Se o FileVault for ativado mais tarde — um processo que é imediato, uma vez que os dados já estavam cifrados —, um mecanismo antirrepetição impede que a chave antiga (baseada apenas no UID de hardware) seja usada para decifrar o volume. O volume passa a ser protegido por uma combinação da palavra‑passe do utilizador com o UID de hardware, conforme descrito anteriormente.
Apagar volumes do FileVault
Ao apagar um volume é apagado, a respetiva chave de cifragem do volume é apagada em segurança pelo Secure Enclave. Deste modo, impede‑se o acesso futuro com esta chave, incluindo pelo Secure Enclave. Além disso, todas as chaves de cifragem do volume são ajustadas com uma chave de suporte. A chave de suporte não proporciona confidencialidade adicional para os dados, mas foi concebida para permitir um apagamento rápido e seguro dos dados; sem ela, é impossível efetuar a decifragem.
Num Mac com Apple Silicon e em computadores com o chip T2, a chave multimédia é garantidamente apagada pela tecnologia suportada pelo Secure Enclave, por exemplo, através de comandos MDM remotos. Apagar a chave de suporte desta forma torna o dispositivo criptograficamente inacessível.
Dispositivos de armazenamento amovíveis
A cifragem de dispositivos de armazenamento amovíveis não usa as capacidades de segurança do Secure Enclave e a cifragem é efetuada da mesma forma que em computadores Mac baseados em Intel sem o chip T2.