Firma Apple używa nazwy FileVault do szyfrowania całego dysku (często w skrócie FDE) od czasu wydania systemu Mac OS X 10.7 Lion w 2011 roku. Przez lata FileVault stosował metodę szyfrowania intensywnego odczytu/zapisu, której pierwsze zaszyfrowanie dysku zajmowało dużo czasu, a następnie powodowało niewielkie zmniejszenie wydajności, choć niezbyt zauważalne.
W zamian FileVault zaoferował trzy istotne zabezpieczenia przed fizycznym dostępem do Twojego komputera, aż do kogoś, kto ucieknie z Twoim Macem i będzie miał cały czas na świecie do zyskania dostęp.
Po pierwsze, w stanie spoczynku (po wyłączeniu zasilania) dysk komputera Mac był całkowicie zaszyfrowany. Bez kluczy szyfrujących, które są chronione hasłem do konta, osoba atakująca może spróbować włam się bezpośrednio lub wyjmij dysk twardy (lub później dyski Fusion i dyski SSD), ale zostaną one całkowicie zablokowane na zewnątrz.
Włączenie FileVault zapewnia jeszcze jeden silniejszy poziom ochrony podczas uruchamiania komputera Mac.
Odlewnia
Po drugie, macOS nie odblokuje dysku w celu uzyskania dostępu przy uruchomieniu bez ważnego hasła do konta lub powiązanego klucza odzyskiwania. Jednym z wektorów, który nadal można wykorzystać, jest to, że jeśli skorzystasz z opcji Apple do przechowywania klucza odzyskiwania w depozycie w Twoim Apple ID konto, osoba, która złamie Twoje konto Apple ID, może potencjalnie również uzyskać dostęp do klucza odzyskiwania i odblokować komputer Mac prowadzić. (Technicznie rzecz biorąc, gdy funkcja FileVault jest aktywna, komputer Mac uruchamia się z systemem recoveryOS, małą partycją, która pomaga również w ponownej instalacji systemu macOS lub odzyskaniu sprawności po poważnych problemach.)
[Nie możesz znaleźć klucza odzyskiwania? Widzieć "Jak znaleźć klucz odzyskiwania FileVault w systemie macOS.” Nie masz pewności, czy masz aktualną kopię klucza odzyskiwania? “Czy Twój klucz odzyskiwania FileVault macOS jest aktualny? Oto jak to sprawdzić.”]
Po trzecie, nawet po pomyślnym odblokowaniu dysku i uruchomieniu systemu macOS, ktoś nadal może korzystać z normalnych zabezpieczeń komputera Mac: potrzebuje hasła do konta, aby się zalogować. Chociaż sporadycznie wykrywane są exploity, które pozwalają atakującym ominąć ekran logowania, zazwyczaj tak jest krótkotrwałe — ponieważ są cenne w szarej strefie, a następnie odkryte i załatane przez Apple — i nie można ich uruchomić w każdym razie zdalnie. Ne’er-do-well musi mieć taki exploit, I jesteś zablokowany, ale przed nimi uruchomiłeś komputer z systemem macOS.
Począwszy od komputerów Mac z procesorem Intel wyposażonych w układ zabezpieczający T2, firma Apple wbudowała szyfrowanie na najniższym poziomie systemu macOS: wewnętrzny wolumin startowy to zawsze szyfrowane i nie można go wyłączyć. To samo dotyczy wszystkich silikonowych komputerów Mac Apple z serii M. (Jeśli używasz woluminu zewnętrznego, włączenie FileVault powoduje również szyfrowanie woluminu, co może być dość szybkie w przypadku nowoczesnego dysku SSD).
W przypadku komputerów Mac z procesorem Intel T2 i wszystkich komputerów Mac z serii M funkcja FileVault dodaje ochronę tylko w kroku drugim. Gdy funkcja FileVault jest wyłączona na tych komputerach Mac, po uruchomieniu komputera dysk jest automatycznie odblokowywany i gotowy do użycia po zalogowaniu.
Ludzie mają różne potrzeby w zakresie bezpieczeństwa. Jeśli nigdy nie obawiasz się, że Twój komputer zostanie skradziony przez kogokolwiek, kto mógłby wykorzystać wysokie umiejętności hakerskie – w tym agencję rządową – być może nie musisz włączać FileVault. FileVault zwiększa poziom ryzyka, ponieważ jeśli dane konta zostaną w jakiś sposób uszkodzone w systemie operacyjnym recovery, będziesz musiał mieć klucz odzyskiwania, aby móc ponownie uzyskać dostęp do komputera Mac. (Widzieć "Jak odblokować komputer Mac z aktywnym kluczem odzyskiwania i funkcją FileVault.”) Regularnie otrzymuję e-maile od osób, które nie mogą znaleźć swojego klucza odzyskiwania i nie korzystały z usługi depozytowej Apple iCloud ze względów bezpieczeństwa.
Jeśli jednak masz pewność, że możesz dobrze prowadzić dokumentację (lub ufasz depozytowi iCloud) i chcesz mieć pewność, że skradziony lub Mac, do którego uzyskasz dostęp, nigdy nie zdradzi Twoich prywatnych danych ani innych tajemnic, a funkcja FileVault zapewnia jeszcze jedną warstwę ochrona.
Ten artykuł na temat Mac 911 jest odpowiedzią na pytanie zadane przez Dereka, czytelnika Macworld.
Zapytaj Maca 911
Przygotowaliśmy listę najczęściej zadawanych nam pytań wraz z odpowiedziami i linkami do kolumn: przeczytaj nasze super FAQ aby sprawdzić, czy Twoje pytanie zostało uwzględnione. Jeśli nie, zawsze szukamy nowych problemów do rozwiązania! Wyślij e-mailem na adres [email protected], w tym, w stosownych przypadkach, zrzuty ekranu i czy chcesz, aby używane było Twoje imię i nazwisko. Nie na każde pytanie otrzymamy odpowiedź, nie odpowiadamy na e-maile i nie możemy udzielać bezpośrednich porad dotyczących rozwiązywania problemów.