在 macOS 中使用「檔案保險箱」進行卷宗加密
Mac 電腦提供「檔案保險箱」(保護所有靜態資料的內建加密功能)。「檔案保險箱」使用 AES-XTS 資料加密演算法來保護內置和可卸除式儲存裝置上的所有卷宗。
在配備 Apple 晶片的 Mac 上,「檔案保險箱」是使用「資料保護」的「類別 C」(採用卷宗密鑰)所導入。在配備 Apple T2 安全晶片的 Mac 以及配備 Apple 晶片的 Mac 上,直接連接「安全隔離區」的加密內置儲存裝置會使用其硬體安全功能以及 AES 引擎的功能。使用者在 Mac 上開啟「檔案保險箱」後,需在開機程序進行期間提供其憑證。
開啟「檔案保險箱」的內部儲存裝置
即使實體儲存裝置已卸除並連接其他電腦,若沒有提供有效的登入憑證資料或加密復原密鑰,內部 APFS 卷宗會維持加密狀態並禁止未經授權的存取。在 macOS 10.15 中,這還包含系統卷宗和資料卷宗。從 macOS 11 開始,系統卷宗藉由簽署系統卷宗(SSV)功能受到保護,但資料卷宗仍以加密保護。在配備 Apple 晶片以及配備 T2 晶片的 Mac 上,內部卷宗加密的實作方式為建構和管理密鑰階層結構,並以晶片上內建的硬體加密技術為基礎來建置。這個密鑰階層結構的設計目的為同時達到四個目標:
要求提供使用者的密碼以進行解密
幫助系統抵禦暴力密碼破解攻擊,以防止從 Mac 卸下的儲存媒體遭到直接攻擊
透過刪除必要加密編譯材料來提供迅速且安全的清除內容方式
讓使用者可更改其密碼(因此也可更改用來保護其檔案的加密編譯密鑰),而不需要重新加密整個卷宗
在配備 Apple 晶片以及配備 T2 晶片的 Mac 上,所有「檔案保險箱」密鑰處理都在「安全隔離區」中發生,絕對不會向 Intel CPU 洩漏加密密鑰。根據預設,所有 APFS 卷宗都是透過卷宗加密密鑰製作。卷宗和後設資料內容是以這個卷宗加密密鑰進行加密,而這個卷宗密鑰會和類別密鑰一起封裝。當「檔案保險箱」開啟時,類別密鑰受到使用者密碼和硬體 UID 組合的保護。
關閉「檔案保險箱」的內部儲存裝置
在配備 Apple 晶片的 Mac 或配備 T2 晶片的 Mac 上,如果初始「設定輔助程式」程序執行期間沒有開啟「檔案保險箱」,卷宗仍會加密,但是卷宗加密密鑰只會受到「安全隔離區」中的硬體 UID 保護。
如果之後開啟「檔案保險箱」(因為資料已加密,此程序會立即生效),反重播機制會協助防止舊的密鑰(僅根據硬體 UID)用來將卷宗解密。卷宗便會如先前所述受到使用者密碼與硬體 UID 組合保護。
刪除「檔案保險箱」卷宗
刪除卷宗時,其卷宗加密密鑰會由「安全隔離區」安全地刪除。這有助於防止未來「安全隔離區」透過此密鑰進行存取。此外,所有卷宗加密密鑰都會以媒體密鑰封裝。媒體密鑰不會提供額外的資料保密性,相反地,而是設計為提供快速且安全的資料刪除方式,因為若沒有這個密鑰,就不可能解密。
在配備 Apple 晶片以及配備 T2 晶片的 Mac 上,保證會透過 「安全隔離區」的支援技術(例如遠端 MDM 指令)來清除媒體密鑰。以此方式清除媒體密鑰,會透過加密編譯的方式讓卷宗無法存取。
可卸除式儲存裝置
可卸除式儲存裝置的加密不會使用「安全隔離區」的安全功能,且其加密的執行方式與採用 Intel 架構且未配備 T2 晶片的 Mac 相同。