Apple používá název FileVault k pokrytí šifrování celého disku (často zkráceně FDE) od Mac OS X 10.7 Lion v roce 2011. FileVault po celá léta používal metodu šifrování s intenzivním čtením a zápisem, která nejprve zašifrovala váš disk, a pak to bylo mírné snížení výkonu, i když to nebylo příliš patrné.
Výměnou za to FileVault nabídl tři významné ochrany proti fyzickému přístupu k vašemu počítači, až po někoho, kdo uteče s vaším Macem a bude mít všechen čas na světě, který může získat přístup.
Za prvé, v klidu (při vypnutí) byl disk vašeho Macu zcela zašifrován. Bez šifrovacích klíčů, které jsou chráněny heslem vašeho účtu, by se o to mohl pokusit útočník vloupat se přímo nebo extrahovat pevný disk (nebo novější, Fusion Drive a SSD), ale byly by zcela uzamčeny ven.
Povolení FileVault přidává do vašeho Macu ještě jednu silnou úroveň ochrany.
Slévárna
Za druhé, macOS neodemkne váš disk pro přístup při spuštění bez platného hesla k účtu nebo přidruženého klíče pro obnovení. Jedním z vektorů, který lze stále využít, je to, že pokud použijete možnost společnosti Apple uložit svůj obnovovací klíč do úschovy ve vašem Apple ID někdo, kdo prolomí váš účet Apple ID, může také získat přístup k obnovovacímu klíči a odemknout váš Mac řídit. (Technicky, když je FileVault aktivní, váš Mac se spustí pomocí recoveryOS, malého oddílu, který vám také pomůže přeinstalovat macOS nebo se zotavit z velkých problémů.)
[Nemůžete najít svůj obnovovací klíč? Viz "Jak najít obnovovací klíč FileVault v macOS.“ Nejste si jisti, zda máte aktuální kopii obnovovacího klíče? “Je váš obnovovací klíč macOS FileVault aktuální? Zde je návod, jak zkontrolovat.”]
Zatřetí, i po úspěšném odemknutí disku a nabootování do macOS má někdo stále normální zabezpečení Macu, kterým musí projít: k přihlášení potřebuje heslo k účtu. I když byly příležitostně objeveny exploity, které útočníkům umožňují obejít přihlašovací obrazovku, obvykle jsou krátkodobé – protože jsou cenné na šedém trhu a poté byly objeveny a opraveny společností Apple – a nelze je spustit v každém případě na dálku. Nešťastník musí mít takový exploit, a váš zamčený, ale nabootovaný do počítače macOS před nimi.
Počínaje počítači Intel Mac, které byly vybaveny bezpečnostním čipem T2, Apple zabudoval šifrování na spodní úrovni macOS: váš spouštěcí interní svazek je vždy šifrované a nelze jej vypnout. To je stejné se všemi křemíkovými Macy Apple řady M. (Pokud používáte externí svazek, povolení FileVault také zašifruje svazek, což může být s moderním SSD poměrně rychlé.)
U počítačů Intel Mac vybavených T2 a všech počítačů Mac řady M přidává FileVault ochranu pouze ve druhém kroku. Když je na těchto počítačích Mac deaktivován FileVault, při spuštění počítače se disk automaticky odemkne a je připraven k použití s přihlášením.
Lidé mají různé potřeby zabezpečení. Pokud se nikdy nebojíte, že váš počítač ukradne kdokoli, kdo by mohl využívat nějakou vysokou úroveň hackerských dovedností – včetně vládní agentury – pak možná nebudete muset povolit FileVault. FileVault přidává úroveň rizika, protože pokud jsou data účtu nějakým způsobem poškozena v recoveryOS, musíte mít svůj Recovery Key, abyste se dostali zpět do svého Macu. (Viz „Jak odemknout Mac s aktivním klíčem pro obnovení a FileVault.“) Pravidelně dostávám e-maily od lidí, kteří nemohou najít svůj obnovovací klíč a z bezpečnostních důvodů nepoužili úschovu iCloud společnosti Apple.
Pokud jste si však jisti, že můžete udržovat dobré záznamy (nebo důvěřovat úschově iCloud) a chcete mít jistotu, že odcizené nebo přístupný Mac se nikdy nevzdá vašich soukromých dat a dalších tajemství, povolení FileVault poskytuje jen jednu další vrstvu ochrana.
Tento článek o Mac 911 je odpovědí na otázku, kterou zaslal čtenář Macworld Derek.
Zeptejte se Mac 911
Sestavili jsme seznam otázek, které dostáváme nejčastěji, spolu s odpověďmi a odkazy na sloupce: přečtěte si naše super FAQ abyste zjistili, zda je vaše otázka pokryta. Pokud ne, vždy hledáme nové problémy k řešení! Pošlete svůj e-mail na adresu [email protected], včetně snímků obrazovky podle potřeby a toho, zda chcete používat své celé jméno. Ne na všechny otázky budou zodpovězeny, neodpovídáme na e-maily a nemůžeme přímo poskytovat rady pro řešení problémů.