Introducción a FileVault
Las computadoras Mac ofrecen FileVault, una función de encriptación integrada que protege todos los datos en reposo. FileVault usa el algoritmo de encriptación de datos AES-XTS para proteger volúmenes enteros en dispositivos de almacenamiento extraíbles e internos.
En las computadoras Mac con Apple Chip, FileVault se implementa utilizando la protección de datos Clase C con una clave de volumen. En computadoras Mac con Apple Chip y las computadoras Mac con el chip de seguridad T2 de Apple, los dispositivos de almacenamiento interno encriptados conectados directamente a Secure Enclave aprovechan las funcionalidades de seguridad y el motor de AES. Después de que un usuario active FileVault en una Mac, sus credenciales son necesarias durante el proceso de arranque.
Almacenamiento interno con FileVault activado
Sin credenciales de inicio de sesión válidas o sin una clave de recuperación criptográfica, los volúmenes APFS internos permanecen encriptados y protegidos del acceso no autorizado, aunque se quite el dispositivo de almacenamiento físico y se conecte a otra computadora. En macOS 10.15, esto incluye tanto al volumen Sistema como al volumen Datos. En macOS 11 o posterior, el volumen Sistema está protegido por una función de volumen de sistema firmado (SSV); y el volumen Datos aún se protege mediante la encriptación. En las computadoras Mac con Apple Chip o el chip T2 de Apple, la encriptación del volumen interno se implementa construyendo y administrando una jerarquía de claves. La encriptación también se basa en las tecnologías de encriptación por hardware integradas en el chip. Esta jerarquía de claves está diseñada para alcanzar simultáneamente cuatro objetivos:
requerir la contraseña del usuario para su desencriptación;
proteger el sistema de un ataque de fuerza bruta directamente contra los medios de almacenamiento retirados de la Mac;
proporcionar un método rápido y seguro para borrar el contenido al eliminar material criptográfico necesario;
permitir a los usuarios cambiar su contraseña (y a su vez las claves criptográficas utilizadas para proteger sus archivos) sin necesidad de volver a cifrar todo el volumen.
En las computadoras Mac con el Apple Chip y en las computadoras Mac con el chip T2, todo el manejo de las claves de FileVault ocurre en el Secure Enclave; esto significa que las claves de encriptación nunca se exponen directamente al CPU de Intel. De forma predeterminada, todos los volúmenes APFS se crean con una clave de encriptación del volumen. Se encripta el volumen y el contenido de los metadatos con esta clave de encriptación de volumen, la cual se protege con la clave de la clase. Cuando FileVault está activado, la clave de la clase está protegida por una combinación de la contraseña del usuario y el UID del hardware.
Almacenamiento interno con FileVault desactivado
Si FileVault no se enciende en una Mac con el Apple Chip o en una Mac con el chip T2 durante el proceso inicial de Asistente de Configuración, el volumen sigue estando encriptado, pero la clave de encriptación del volumen sólo está protegida por el UID de hardware en Secure Enclave.
Si FileVault se activa más tarde (un proceso inmediato, ya que los datos ya estaban encriptados), un mecanismo antireproducción impide que se utilice la clave antigua (basada sólo en el UID del hardware) para desencriptar el volumen. Luego, se protege el volumen con una combinación compuesta de la contraseña del usuario y el UID del hardware, como se describe anteriormente.
Eliminar volúmenes de FileVault
Cuando se elimina un volumen, Secure Enclave borra de forma segura la clave encriptación del volumen. Esto evita cualquier acceso futuro utilizando esta llave, incluso por parte de Secure Enclave. Además, todas las claves encriptación de volumen se protegen con una clave de contenido. La clave de contenido no proporciona un nivel de confidencialidad adicional de los datos, sino que está diseñada para permitir la eliminación rápida y segura de los datos porque sin ella la desencriptación es imposible.
Tanto en las computadoras Mac con un Apple Chip y como las que tienen el chip de seguridad T2, la tecnología de Secure Enclave se encarga de borrar la clave de contenido, por ejemplo, mediante comandos de MDM remotos. Borrar la clave de contenido de esta manera hace que el volumen sea criptográficamente inaccesible.
Dispositivos de almacenamiento extraíbles
La encriptación de los dispositivos de almacenamiento extraíbles no utiliza las funcionalidades de seguridad del Secure Enclave, y su encriptación se realiza de la misma manera que en las computadoras Mac con procesador de Intel y sin el chip T2.