macOS’te FileVault ile disk bölümü şifreleme
Mac bilgisayarları, üzerlerinde bulunan tüm verileri korumaya yönelik yerleşik bir şifreleme özelliği olan FileVault’u sunar. FileVault, dahili ve çıkarılabilir depolama aygıtlarında bulunan disk bölümlerinin tamamını korumak için AES-XTS veri şifreleme algoritmasını kullanır.
Apple Silicon yongalı bir Mac’te FileVault, bir disk bölümü anahtarıyla C Sınıfı Veri Koruma kullanılarak gerçekleştirilir. Apple Silicon yongalı bir Mac’te ve Apple T2 güvenlik yongasına sahip bir Mac’te, Secure Enclave’e doğrudan bağlı şifreli dahili depolama aygıtları donanım güvenliği özelliklerinin yanında AES motorunun güvenlik özelliklerinden de yararlanır. Kullanıcı, Mac’te FileVault’u açtıktan sonra başlatma işlemi sırasında kullanıcının kimlik bilgileri gerekir.
Not: (1) T2 yongalı modellerden önceki, (2) özgün olarak Mac ile birlikte gelmeyen dahili saklama alanına sahip olan ya da (3) ekli harici saklama alanı olan Mac bilgisayarlar için: FileVault açıldıktan sonra, var olan dosyaların tümü ve daha sonra yazılan veriler şifrelenir. Eklenen ve FileVault açılmadan önce silinen veriler şifrelenmez ve adli veri koruma araçlarıyla kurtarılabilir.
FileVault açıkken dahili depolama
Geçerli oturum açma kimlik bilgileri veya şifreli kurtarma anahtarı olmadan dahili APFS disk bölümlerinin tamamı şifreli kalır ve fiziksel depolama aygıtı çıkarılıp başka bir bilgisayara bağlansa bile yetkisiz erişimlere karşı korunur. macOS 10.15’te bu, hem sistem disk bölümü hem de veri disk bölümü için geçerlidir. macOS 11’den itibaren sistem disk bölümü, imzalı sistem disk bölümü (SSV) özelliği ile korunur ama veri disk bölümü şifrelemeyle korunmaya devam eder. Apple Silicon yongalı bir Mac’te ve T2 yongasına sahip olanlarda dahili disk bölümü şifreleme, bir anahtar hiyerarşisi oluşturarak ve bu hiyerarşiyi yöneterek uygulanır ve yongada yerleşik donanım şifreleme teknolojilerinden yararlanır. Bu anahtar hiyerarşisi, aynı anda dört hedefi gerçekleştirmek için tasarlanmıştır:
Şifre çözme için kullanıcının parolasını isteme
Sistemi, doğrudan Mac’ten çıkarılan bir depolama ortamına karşı deneme yanılma saldırısından koruma
Gerekli şifreli malzemeleri silerek içerikleri temizlemenin hızlı ve güvenli bir yöntemini sunma
Disk bölümünün tamamının yeniden şifrelenmesini gerektirmeden kullanıcıların parolalarını (ve dolayısıyla dosyalarını korumak için kullanılan şifreli anahtarları) değiştirmesini sağlama
Apple Silicon yongalı bir Mac’te ve T2 yongalı bir Mac’te FileVault anahtarının işlenmesi tümüyle Secure Enclave’de gerçekleşir ve şifreleme anahtarları Intel CPU tarafından asla doğrudan görülmez. Saptanmış olarak tüm APFS disk bölümleri bir disk bölümü şifreleme anahtarıyla yaratılır. Disk bölümü ve üst veri içerikleri, anahtar şifreleme anahtarıyla (KEK) paketlenen bu disk bölümü şifreleme anahtarıyla şifrelenir. KEK, FileVault açıkken kullanıcı parolası ve donanım UID’sinin bir birleşimiyle korunur.
FileVault kapalıyken dahili depolama
Apple Silicon yongalı bir Mac’te veya T2 yongasına sahip olan bir Mac’te başlangıçtaki Ayarlama Yardımcısı işlemi sırasında FileVault açılmazsa da disk bölümü şifrelenir ama disk bölümü şifreleme anahtarı yalnızca Secure Enclave’deki donanım UID’siyle korunur.
Daha sonra FileVault açılırsa (bu, veriler zaten şifreli olduğu için anında gerçekleştirilen bir işlemdir) disk bölümünün şifresini çözmek için eski anahtarın (yalnızca donanım UID’sini baz alan) kullanılmasını engellemeye yardımcı olan bir yeniden göndermeyi önleme mekanizması vardır. Bundan sonra disk bölümü, daha önce açıklandığı gibi kullanıcı parolası ve donanım UID’sinin bir birleşimiyle korunur.
FileVault disk bölümlerini silme
Disk bölümü silinirken disk bölümü şifreleme anahtarı Secure Enclave tarafından güvenli bir şekilde silinir. Böylece, Secure Enclave tarafından bile olsa gelecekte bu anahtarla erişimi engellemeye yardımcı olunur. Ayrıca tüm disk bölümü şifreleme anahtarları bir ortam anahtarıyla paketlenir. Ortam anahtarı, ek bir veri gizliliği sağlamaz. Bunun yerine verilerin hızlı ve güvenli bir şekilde silinmesini sağlamak için tasarlanmıştır çünkü bu anahtar olmadan şifre çözme mümkün değildir.
Apple Silicon yongalı bir Mac’te ve T2 yongalı bir Mac’te, ortam anahtarının Secure Enclave destekli teknoloji tarafından (örneğin uzaktan MDM komutları ile) silineceği garanti edilir. Ortam anahtarının bu şekilde silinmesi, disk bölümünü şifreyle erişilemez hâle getirir.
Çıkarılabilir depolama aygıtları
Çıkarılabilir depolama aygıtları şifrelenirken Secure Enclave’in güvenlik özellikleri kullanılmaz ve şifreleme işlemi T2 yongasına sahip olmayan Intel tabanlı bir Mac’te olduğu gibi gerçekleştirilir.