Taltion salaaminen FileVaultilla macOS:ssä
Mac-tietokoneissa on FileVault, joka on sisäänrakennettu salausratkaisu kaiken levossa olevan datan suojaamiseen. FileVault suojaa AES-XTS-tietojensalausalgoritmilla taltiot kokonaan sisäisillä ja ulkoisilla tallennuslaitteilla.
Apple siliconilla varustetun Macin FileVault toteutetaan käyttämällä tietojen suojausluokkaa C taltioavaimella. Apple T2 Security -sirulla tai Apple siliconilla varustetussa Macissa suoraan Secure Enclaveen yhteydessä olevat salatut sisäiset tallennuslaitteet käyttävät sen laitteiston ja AES-komponentin suojausominaisuuksia. Kun käyttäjä on laittanut FileVaultin päälle Macissa, käyttäjän kirjautumistietoja tarvitaan käynnistysprosessissa.
Sisäinen tallennustila FileVaultin ollessa päällä
Ilman sisäänkirjautumistietoja tai kryptografista palautusavainta sisäiset APFS-taltiot on salattu ja suojattu luvattomalta käytöltä, vaikka fyysinen tallennuslaite irrotettaisiin ja kiinnitettäisiin toiseen tietokoneeseen. macOS 10.15:ssä tämä pätee sekä järjestelmä- että datataltioon. macOS 11:stä alkaen järjestelmätaltio suojataan käyttämällä allekirjoitettua järjestelmätaltiota (Signed System Volume - SSV), mutta datataltio suojataan edelleen salaamalla. Sisäisen taltion salaus Apple siliconilla tai T2-sirulla varustetussa Macissa toteutetaan luomalla ja hallitsemalla avainhierarkiaa. Se perustuu laitteiston salausteknologioihin, jotka on sisäänrakennettu siruun. Tämä avainhierarkia on suunniteltu saavuttamaan samanaikaisesti neljä tavoitetta:
käyttäjän salasanan vaatiminen salauksen purkamista varten
järjestelmän suojaaminen suoraan Macista irrotettuun tallennuslaitteeseen kohdistuvalta väsytyshyökkäykseltä
sujuvan ja turvallisen menetelmän tarjoaminen sisällön tyhjentämiseen poistamalla tarvittavat kryptografiset materiaalit
käyttäjien salasanan vaihtomahdollisuus (ja sen kautta myös tiedostojen suojaamiseen käytettyjen salausavaimien) edellyttämättä koko taltion salaamista uudelleen
Apple siliconilla varustetussa Macissa sekä Macissa, jossa on T2-siru, kaikki FileVault-avainten käsittely tehdään Secure Enclavessa. Salausavaimia ei koskaan paljasteta suoraan Intel-prosessorille. Kaikkiin APFS-taltioihin luodaan oletuksena taltion salausavain. Taltion ja metatietojen sisältö salataan tällä taltion salausavaimella, joka on salattu luokka-avaimella. Luokka-avainta suojataan käyttäjän salasanan ja laitteiston UID:n yhdistelmällä, kun FileVault on päällä.
Sisäinen tallennustila FileVaultin ollessa pois päältä
Jos FileVaultia ei laiteta päälle Apple siliconilla tai T2-sirulla varustetussa Macissa ensimmäisen käyttöönottoapuriprosessin aikana, taltio salataan silti, mutta taltion salausavainta suojaa vain laitteiston UID Secure Enclavessa.
Jos FileVault laitetaan päälle myöhemmin (välitön prosessi, sillä tiedot on jo salattu), toiston estävä mekanismi auttaa estämään vanhan avaimen (joka perustuu vain laitteiston UID:hen) käytön taltion salauksen purkamiseen. Taltiota suojataan sen jälkeen käyttäjän salasanan ja laitteiston UID:n yhdistelmällä aiemmin kuvatulla tavalla.
FileVault-taltioiden poistaminen
Kun taltio poistetaan, Secure Enclave poistaa turvallisesti taltion salausavaimen. Tämä auttaa estämään avaimen käyttöä jatkossa, myös Secure Enclavelta. Lisäksi kaikki taltion salausavaimet salataan tallennuslaiteavaimella. Tallennuslaiteavain ei tarjoa tiedoille lisäsuojausta, vaan sen sijaan se mahdollistaa tietojen sujuvan ja turvallisen poistamisen, sillä ilman sitä salauksen purkaminen on mahdotonta.
Apple siliconilla tai T2-sirulla varustetussa Macissa tallennuslaiteavain poistetaan varmasti Secure Enclaven tukemalla teknologialla, kuten MDM-etäkomennoilla. Tallennuslaiteavaimen poistaminen tällä tavalla tekee taltiosta kryptografisesti mahdottoman käyttää.
Irrotettavat tallennuslaitteet
Ulkoisen tallennuslaitteen salaus ei käytä Secure Enclaven suojausominaisuuksia, ja sen salaus tehdään samalla tavalla kuin Intel-pohjaisessa Macissa, jossa ei ole T2-sirua.