Насколько защищен ваш Mac без включенного FileVault?
Apple использовала имя FileVault для обозначения полнодискового шифрования (часто сокращенно FDE) начиная с Mac OS X 10.7 Lion еще в 2011 году. В течение многих лет FileVault использовал метод шифрования с интенсивным чтением/записью, который требовал много времени для первого шифрования вашего диска и последующего шифрования. после этого было небольшое снижение производительности, хотя и не очень заметное.
Взамен FileVault предложил три важные меры защиты от физического доступа к вашему компьютеру, вплоть до того, что кто-то сбежал с вашим Mac и имел все время в мире, чтобы получить доступ.
Во-первых, в состоянии покоя (при выключении питания) диск вашего Mac был полностью зашифрован. Не имея ключей шифрования, которые защищены паролем вашей учетной записи, злоумышленник может попытаться взломать напрямую или извлечь жесткий диск (или позже Fusion Drives и SSD), но они будут полностью заблокированы.
Включение FileVault добавляет еще один высокий уровень защиты при запуске вашего Mac.
Литейный завод
Во-вторых, macOS не разблокирует ваш диск для доступа при запуске без действующего пароля учетной записи или связанного с ним ключа восстановления. Одним из векторов, который все еще можно использовать, является то, что если вы используете опцию Apple для хранения вашего ключа восстановления на условном депонировании в вашей учетной записи Apple ID, кто-то, кто взломает вашу учетную запись Apple ID, потенциально также может получить доступ к ключу восстановления и разблокировать диск вашего Mac. (Технически, когда FileVault активен, ваш Mac запускается с использованием RecoveryOS, небольшого раздела, который также помогает вам переустановить macOS или восстановиться после серьезных проблем.)
[Can’t find your Recovery Key? See “How to find your FileVault recovery key in macOS.” Not sure if you have a current copy of the Recovery Key? “Is your macOS FileVault Recovery Key current? Here’s how to check.”]
В-третьих, даже после успешной разблокировки диска и загрузки macOS у кого-то все еще есть нормальная безопасность Mac, чтобы пройти: для входа в систему ему нужен пароль учетной записи. Хотя время от времени обнаруживаются эксплойты, которые позволяют злоумышленникам обойти экран входа в систему, они обычно недолговечны — потому что они ценны на сером рынке, а затем обнаруживаются и исправляются Apple — и в любом случае не могут быть запущены удаленно. У бездельника должен быть такой подвиг, и перед ними заблокированный, но загруженный компьютер с macOS.
Начиная с компьютеров Intel Mac, оснащенных чипом безопасности T2, Apple встроила шифрование на нижнем уровне macOS: ваш загрузочный внутренний том всегда зашифровано, и вы не можете его отключить. То же самое происходит со всеми силиконовыми компьютерами Mac Apple серии M. (Если вы используете внешний том, включение FileVault также шифрует том, что может быть довольно быстро с современным SSD.)
Для компьютеров Intel Mac с T2 и всех компьютеров Mac серии M FileVault добавляет защиту только на втором этапе. Если FileVault отключен на этих компьютерах Mac, при запуске компьютера диск автоматически разблокируется и готов к использованию при входе в систему.
У людей разные потребности в безопасности. Если вы никогда не опасаетесь, что ваш компьютер будет украден кем-либо, кто может использовать высокий уровень хакерских навыков, в том числе правительственным учреждением, то, возможно, вам не нужно включать FileVault. FileVault добавляет уровень риска, поскольку если данные учетной записи каким-либо образом повреждены в RecoveryOS, вам понадобится ключ восстановления, чтобы вернуться на свой Mac. (См. «Как разблокировать ваш Mac с активным ключом восстановления и FileVault».) Я регулярно получаю электронные письма от людей, которые не могут найти свой ключ восстановления и не использовали условное депонирование Apple iCloud по соображениям безопасности.
Однако, если вы уверены, что можете вести хорошие записи (или доверяете условному депонированию iCloud) и хотите быть уверены, что украденный или полученный доступ к Mac никогда не выдаст ваши личные данные и другие секреты, включение FileVault обеспечивает еще один уровень защиты.
Эта статья о Mac 911 является ответом на вопрос, заданный читателем Macworld Дереком.
Спросите Мак 911
Мы составили список вопросов, которые нам задают чаще всего, а также ответы и ссылки на колонки: прочитайте наш суперчасто задаваемые вопросы, чтобы узнать, раскрыт ли ваш вопрос. Если нет, то мы всегда ищем новые проблемы для решения! Отправьте свое письмо по адресу mac911@macworld.com, включая снимки экрана, если это необходимо, и укажите, хотите ли вы использовать свое полное имя. Не на каждый вопрос будет дан ответ, мы не отвечаем на электронную почту и не можем дать прямые рекомендации по устранению неполадок.
