Introduktion til FileVault
Mac-computere indeholder FileVault, som er en indbygget krypteringsfunktion, der beskytter alle data under opbevaring. FileVault bruger algoritmen AES-XTS til datakryptering til at yde fuld beskyttelse af enheder på interne og udskiftelige lagringsenheder.
FileVault på en Mac med Apple Silicon er implementeret ved hjælp af Databeskyttelsesklasse C med en enhedsnøgle. På Mac-computere med Apple Silicon og Mac-computere med Apple T2-sikkerhedschippen udnytter de krypterede interne lagringsenheder, der er sluttet direkte til Secure Enclave, dens sikkerhedsfunktioner til hardware samt AES-modulets sikkerhedsfunktioner. Når en bruger slår FileVault til på en Mac, skal brugeren indtaste sine godkendelsesoplysninger under starten.
Intern lagringsplads med FileVault slået til
Uden gyldige godkendelsesoplysninger til login eller en kryptografisk gendannelsesnøgle er de interne APFS-enheder krypteret og beskyttet mod uvedkommendes adgang, også selvom den fysiske lagringsenhed fjernes og sluttes til en anden computer. I macOS 10.15 omfatter det både systemenheden og dataenheden. I macOS 11 og nyere versioner beskyttes systemenheden af den signerede systemenhed (SSV), mens dataenheden stadig beskyttes af kryptering. På Mac-computere med enten Apple Silicon eller T2-chips implementeres den interne enhedskryptering ved at oprette og administrere et hierarki med nøgler. Krypteringen bygger også på de teknologier til hardwarekryptering, som er indbygget i chippen. Dette hierarki med nøgler er udviklet til at opnå fire målsætninger på samme tid:
Kræve brugerens adgangskode til dekryptering
Beskytte systemet mod brute force-angreb rettet direkte mod et lagringsmedie, der er fjernet fra Mac
Udgøre en hurtig og sikker metode til sletning af indhold ved at slette nødvendigt kryptografisk materiale
Give brugerne mulighed for at skifte adgangskode (og dermed de kryptografiske nøgler, der bruges til at beskytte deres arkiver), uden at det er nødvendigt at kryptere hele diskenheden igen
På en Mac med Apple Silicon og Mac-computere med T2-chippen finder al håndtering af FileVault-nøglerne sted i Secure Enclave. Krypteringsnøgler vises aldrig direkte til Intel-CPU’en. Alle APFS-enheder oprettes som standard med en enhedskrypteringsnøgle. Indholdet af enhed og metadata krypteres med denne enhedskrypteringsnøgle, som er pakket sammen med klassenøglen. Klassenøglen beskyttes med en kombination af brugerens adgangskode og hardwarens UID, når FileVault slås til.
Intern lagringsplads med FileVault slået fra
Hvis FileVault ikke slås til på en Mac med Apple Silicon eller en Mac med T2-chippen under den første Indstillingsassistent-proces, krypteres diskenheden alligevel, men enhedskrypteringsnøglen beskyttes kun af hardwarens UID i Secure Enclave.
Hvis FileVault slås til senere (processen gennemføres straks, eftersom dataene allerede er krypteret), forhindrer en mekanisme, der modvirker automatisk afspilning, at den gamle nøgle, som kun er baseret på hardwarens UID, bruges til at dekryptere enheden. Enheden beskyttes herefter af en kombination af brugerens adgangskode og hardwarens UID som tidligere beskrevet.
Sletning af FileVault-enheder
Når en enhed slettes, slettes enhedskrypteringsnøglen til den på en sikker måde af Secure Enclave. Det forhindrer, at der senere kan opnås adgang med nøglen, heller ikke af Secure Enclave. Desuden pakkes alle enhedskrypteringsnøgler sammen med en medienøgle. Medienøglen øger ikke datafortroligheden yderligere, men har til formål at gøre det muligt at slette data hurtigt og sikkert, eftersom dekryptering ikke ville være mulig uden medienøglen.
På en Mac med Apple Silicon og på Mac-computere med T2-chip garanteres, at medienøglen slettes af teknologi, der understøttes af Secure Enclave – f.eks. af eksterne MDM-kommandoer. Når medienøglen slettes på denne måde, ophæves al kryptografisk adgang til alle arkiver.
Udskiftelige lagringsenheder
Secure Enclaves sikkerhedsfunktioner bruges ikke til kryptering af udskiftelige lagringsenheder. De krypteres på samme måde som på Intel-baserede Mac-computere uden T2-chippen.