Вступ до FileVault
Комп’ютери Mac мають вбудовану функцію FileVault і можливість шифрування всіх даних, що зберігаються. FileVault використовує алгоритм шифрування даних AES-XTS для повного захисту томів як на внутрішніх, так і на знімних пристроях для збереження даних.
FileVault на Mac із процесором Apple упроваджено з використанням Data Protection Class C (клас захисту даних «C») з ключем тому. На комп’ютерах Mac із процесором Apple silicon і Mac із безпековою мікросхемою Apple T2 зашифровані внутрішні пристрої зберігання, які під’єднані безпосередньо до Secure Enclave, мають перевагу апаратного захисту цією мікросхемою, а також рушієм AES. Якщо користувач вмикає FileVault на Mac, під час завантаження система вимагатиме введення облікових даних.
Внутрішнє сховище з увімкненим FileVault
Без дійсних ідентифікаційних даних або криптографічного ключа відновлення внутрішні томи AFPS залишаться зашифрованими та захищеними від неавторизованого доступу, навіть якщо фізичний пристрій зберігання вийняти й підключити до іншого комп’ютера. У macOS 10.15 це стосується як системного тому, так і тому з даними. У macOS 11 або новіших системний том захищено функцією підпису системного тому (SSV), однак том даних залишається під захистом шифрування. На комп’ютерах Mac із процесором Apple чи мікросхемою T2 шифрування внутрішнього тому відбувається шляхом побудови й контролю ієрархії ключів. Шифрування також ґрунтується на технологіях апаратного шифрування, вбудованих у мікросхему. Ця ієрархія ключів покликана досягати одночасно чотирьох цілей:
Вимагати пароль користувача для розшифрування
Захищати систему від безпосереднього атакування носія, вийнятого з Mac, прямим добором пароля
Забезпечувати швидкий і надійний метод стирання вмісту шляхом видалення необхідного криптографічного матеріалу
Надавати користувачам змогу змінювати свої паролі (а також криптографічні ключі, які захищають їхні файли) без повторного перешифрування всього тому
На комп’ютерах Mac із процесором Apple silicon, а також із мікросхемою T2, опрацювання ключа FileVault відбувається в Secure Enclave, при цьому ключі шифрування ніколи безпосередньо не повідомляються центральним процесорам Intel. Усі томи APFS типово створюються з ключем шифрування тому. Вміст томів і метадані шифруються за допомогою цього ключа шифрування тому, який ізолюється ключем класу. Коли вмикається FileVault, ключ класу отримує захист комбінацією пароля користувача та апаратного UID.
Внутрішнє сховище з вимкненим FileVault
Якщо під час початкового налаштування Mac із процесором Apple silicon або з безпековою мікросхемою Apple T2 не ввімкнути FileVault в асистенті налаштування, том усе одно шифруватиметься, однак ключ шифрування тому буде захищено лише за допомогою апаратного UID в Secure Enclave.
Якщо пізніше ввімкнути FileVault (це відбудеться негайно, оскільки дані вже зашифровано), механізм антиповтору не дасть розшифрувати том за допомогою старого ключа (на основі лише апаратного UID). У результаті том буде захищено комбінацією пароля користувача та апаратного UID, як описано вище.
Видалення томів FileVault
Після видалення тому відповідний ключ шифрування надійно видаляється системою Secure Enclave. Це внеможливлює майбутній доступ із цим ключем навіть для системи Secure Enclave. Крім того, усі ключі шифрування томів ізолюються за допомогою медіаключа. Медіаключ не підвищує конфіденційність даних. Натомість він забезпечує швидке та надійне стирання даних, оскільки без цього ключа розшифрування неможливе.
На комп’ютерах Mac із процесором Apple, а також із мікросхемою T2 гарантується стирання медіаключа технологією підтримки Secure Enclave, наприклад віддаленими командами MDM. Якщо медіаключ стерти в такий спосіб, том стане криптографічно недоступним.
Зйомні накопичувачі
У процесі шифрування знімних пристроїв зберігання даних захисні функції Secure Enclave не використовуються, тому шифрування відбувається так само, як і на комп’ютерах Mac із процесорами Intel без мікросхеми T2.