Taltion salaaminen FileVaultilla macOS:ssä
Mac-tietokoneissa on FileVault, joka on sisäänrakennettu salausratkaisu kaiken levossa olevan datan suojaamiseen. FileVault suojaa AES-XTS-tietojensalausalgoritmilla taltiot kokonaan sisäisillä ja ulkoisilla tallennuslaitteilla.
Apple siliconilla varustetun Macin FileVault toteutetaan käyttämällä tietojen suojausluokkaa C taltioavaimella. Apple siliconilla tai Apple T2 Security -sirulla varustetussa Macissa suoraan Secure Enclaveen yhteydessä olevat salatut sisäiset tallennuslaitteet käyttävät sen laitteiston ja AES-komponentin suojausominaisuuksia. Kun käyttäjä on laittanut FileVaultin päälle Macissa, käyttäjän kirjautumistietoja tarvitaan käynnistysprosessissa.
Huomaa: Mac-tietokoneille (1) ennen T2-sirua tai (2) joissa on sisäinen tallennuslaite, joka ei tullut alun perin Macin mukana, tai (3) joihin on liitetty ulkoinen tallennuslaite: Kun FileVault on laitettu päälle, kaikki olemassa olevat tiedot ja muut kirjoitetut tiedot salataan. Ennen FileVaultin päälle laittamista lisättyjä ja sen jälkeen poistettuja tietoja ei salata. Ne voivat olla palautettavissa rikosteknisillä tietojen palautustyökaluilla.
Sisäinen tallennustila FileVaultin ollessa päällä
Ilman sisäänkirjautumistietoja tai kryptografista palautusavainta sisäiset APFS-taltiot on salattu ja suojattu luvattomalta käytöltä, vaikka fyysinen tallennuslaite irrotettaisiin ja kiinnitettäisiin toiseen tietokoneeseen. macOS 10.15:ssä tämä pätee sekä järjestelmä- että datataltioon. macOS 11:stä alkaen järjestelmätaltio suojataan käyttämällä allekirjoitettua järjestelmätaltiota (Signed System Volume - SSV), mutta datataltio suojataan edelleen salaamalla. Sisäisen taltion salaus Apple siliconilla tai T2-sirulla varustetussa Macissa toteutetaan luomalla ja hallitsemalla avainhierarkiaa. Se perustuu laitteiston salausteknologioihin, jotka on sisäänrakennettu siruun. Tämä avainhierarkia on suunniteltu saavuttamaan samanaikaisesti neljä tavoitetta:
käyttäjän salasanan vaatiminen salauksen purkamista varten
järjestelmän suojaaminen suoraan Macista irrotettuun tallennuslaitteeseen kohdistuvalta väsytyshyökkäykseltä
sujuvan ja turvallisen menetelmän tarjoaminen sisällön tyhjentämiseen poistamalla tarvittavat kryptografiset materiaalit
käyttäjien salasanan vaihtomahdollisuus (ja sen kautta myös tiedostojen suojaamiseen käytettyjen salausavaimien) edellyttämättä koko taltion salaamista uudelleen
Apple siliconilla varustetussa Macissa sekä Macissa, jossa on T2-siru, kaikki FileVault-avainten käsittely tehdään Secure Enclavessa. Salausavaimia ei koskaan paljasteta suoraan Intel-prosessorille. Kaikkiin APFS-taltioihin luodaan oletuksena taltion salausavain. Taltion ja metatietojen sisältö salataan tällä taltion salausavaimella, joka on salattu avaimensalausavaimella (KEK). KEK-avainta suojataan käyttäjän salasanan ja laitteiston UID:n yhdistelmällä, kun FileVault on päällä.
Sisäinen tallennustila FileVaultin ollessa pois päältä
Jos FileVaultia ei laiteta päälle Apple siliconilla tai T2-sirulla varustetussa Macissa ensimmäisen käyttöönottoapuriprosessin aikana, taltio salataan silti, mutta taltion salausavainta suojaa vain laitteiston UID Secure Enclavessa.
Jos FileVault laitetaan päälle myöhemmin (välitön prosessi, sillä tiedot on jo salattu), toiston estävä mekanismi auttaa estämään vanhan avaimen (joka perustuu vain laitteiston UID:hen) käytön taltion salauksen purkamiseen. Taltiota suojataan sen jälkeen käyttäjän salasanan ja laitteiston UID:n yhdistelmällä aiemmin kuvatulla tavalla.
FileVault-taltioiden poistaminen
Kun taltio poistetaan, Secure Enclave poistaa turvallisesti taltion salausavaimen. Tämä auttaa estämään avaimen käyttöä jatkossa, myös Secure Enclavelta. Lisäksi kaikki taltion salausavaimet salataan tallennuslaiteavaimella. Tallennuslaiteavain ei tarjoa tiedoille lisäsuojausta, vaan sen sijaan se mahdollistaa tietojen sujuvan ja turvallisen poistamisen, sillä ilman sitä salauksen purkaminen on mahdotonta.
Apple siliconilla tai T2-sirulla varustetussa Macissa tallennuslaiteavain poistetaan varmasti Secure Enclaven tukemalla teknologialla, kuten MDM-etäkomennoilla. Tallennuslaiteavaimen poistaminen tällä tavalla tekee taltiosta kryptografisesti mahdottoman käyttää.
Irrotettavat tallennuslaitteet
Ulkoisen tallennuslaitteen salaus ei käytä Secure Enclaven suojausominaisuuksia, ja sen salaus tehdään samalla tavalla kuin Intel-pohjaisessa Macissa, jossa ei ole T2-sirua.