FileVault’a giriş
Mac bilgisayarları, üzerlerinde bulunan tüm verileri korumaya yönelik yerleşik bir şifreleme özelliği olan FileVault’u sunar. FileVault, dahili ve çıkarılabilir depolama aygıtlarında bulunan disk bölümlerinin tamamını korumak için AES-XTS veri şifreleme algoritmasını kullanır.
Apple Silicon çipli bir Mac’teki FileVault, bir disk bölümü anahtarı ile Veri Koruma Sınıfı C kullanılarak uygulanır. Apple Silicon çipli Mac bilgisayarlarında ve Apple T2 Güvenlik Çipi’ne sahip Mac bilgisayarlarında, Secure Enclave’e doğrudan bağlı şifreli dahili depolama aygıtları kendi donanım güvenliği yeteneklerinin yanı sıra AES motorununkilerden de yararlanır. Mac’te kullanıcı FileVault’u açtıktan sonra başlatma işlemi sırasında kullanıcının kimlik bilgileri gerekir.
FileVault açık olan dahili depolama
Geçerli oturum açma kimlik bilgileri veya bir şifreli kurtarma anahtarı olmadan dahili APFS disk bölümleri şifrelenmiş kalır ve fiziksel depolama aygıtı çıkarılıp başka bir bilgisayara bağlansa bile yetkisiz erişimlere karşı korunur. macOS 10.15’te, bu hem sistem disk bölümünü hem de veri disk bölümünü içerir. macOS 11 veya daha yenisinde, sistem disk bölümü imzalı sistem disk bölümü (SSV) özelliği tarafından korunur ancak veri disk bölümü şifreleme tarafından korunmaya devam eder. Apple Silicon veya T2 çiplerine sahip Mac bilgisayarları için dahili disk bölümü şifreleme, bir anahtar hiyerarşisi kurup yöneterek gerçekleştirilir. Bu şifreleme, belirli bir çipte yerleşik donanım şifreleme teknolojilerinden de yararlanır. Bu anahtar hiyerarşisi, aynı anda dört hedefi gerçekleştirmek için tasarlanmıştır:
Şifre çözme için kullanıcının parolasını isteme
Sistemi, doğrudan Mac’ten çıkarılan bir depolama ortamına karşı deneme yanılma saldırısından koruma
Gerekli şifreli malzemeleri silerek içerikleri temizlemenin hızlı ve güvenli bir yöntemini sunma
Disk bölümünün tamamının yeniden şifrelenmesini gerektirmeden kullanıcıların parolalarını (ve dolayısıyla dosyalarını korumak için kullanılan şifreli anahtarları) değiştirmesini sağlama
Apple Silicon çipli bir Mac’te ve T2 çipine sahip olanlarda, tüm FileVault anahtar işlemleri tümüyle Secure Enclave’de gerçekleşir ve şifreleme anahtarları Intel CPU tarafından asla doğrudan görülmez. Tüm APFS disk bölümleri saptanmış olarak bir disk bölümü şifreleme anahtarıyla yaratılır. Disk bölümü ve üst veri içerikleri, sınıf anahtarıyla paketlenen bu disk bölümü şifreleme anahtarıyla şifrelenir. Sınıf anahtarı, FileVault açıkken kullanıcı parolası ve donanım UID’sinin bir birleşimiyle korunur.
FileVault kapalı olan dahili depolama
Apple Silicon çipli bir Mac’te veya T2 güvenlik çipine sahip bir Mac’te başlangıçtaki Ayarlama Yardımcısı işlemi sırasında FileVault açılmazsa da disk bölümü şifrelenir ama disk bölümü şifreleme anahtarı yalnızca Secure Enclave’deki donanım UID’siyle korunur.
Daha sonra FileVault açılırsa (bu, veriler zaten şifreli olduğu için anında gerçekleştirilen bir işlemdir) disk bölümünün şifresini çözmek için eski anahtarın (yalnızca donanım UID’sini taban alan) kullanılmasını engelleyen bir yeniden göndermeyi önleme mekanizması vardır. Bundan sonra disk bölümü, daha önce açıklandığı gibi kullanıcı parolası ile donanım UID’sinin bir birleşimiyle korunur.
FileVault disk bölümlerini silme
Bir disk bölümü silindiğinde ona ait şifreleme anahtarı Secure Enclave tarafından güvenli bir şekilde silinir. Böylece, Secure Enclave tarafından bile olsa gelecekte bu anahtarla erişim engellenir. Ayrıca tüm disk bölümü şifreleme anahtarları bir ortam anahtarıyla paketlenir. Ortam anahtarı, ek bir veri gizliliği sağlamaz. Bunun yerine verilerin hızlı ve güvenli bir şekilde silinmesini sağlamak için tasarlanmıştır çünkü bu anahtar olmadan şifre çözme mümkün değildir.
Apple Silicon ve T2 çipli Mac’lerde, ortam anahtarının Secure Enclave destekli teknoloji tarafından (örneğin uzaktan MDM komutları yoluyla) silinmesi sağlanır. Ortam anahtarının bu şekilde silinmesi, disk bölümünü şifreyle erişilemez hâle getirir.
Silinebilir depolama aygıtları
Çıkarılabilir depolama aygıtları şifrelenirken Secure Enclave’in güvenlik özellikleri kullanılmaz ve şifreleme işlemi T2 çipine sahip olmayan Intel tabanlı Mac bilgisayarlarında olduğu gibi gerçekleştirilir.