1,原理與簡介:
原理:
采用全磁盤、XTS-AES 128位進階加密标準 Advanced Encryption Standard進行加密
FileVault 2使用強大形式的分組密碼鍊模式XTS,基于AES算法,XTS-AES-128 加密與 256 位密鑰搭配使用,用于幫助防止他人在未經授權的情況下通路您啟動磁盤中的資訊。
軟硬結合:
該功能在具有Apple T2安全晶片的Mac計算機上才支援,利用了晶片的硬體安全功能;Mac唯一ID(UID)和裝置組ID(GID)在制造期間通過AES 256位密鑰融合(UID)或編譯(GID)到Secure Enclave中。沒有軟體或固件可以直接讀取密鑰。這些密鑰隻能由專用于Secure Enclave的AES引擎使用。此專用AES引擎僅提供其執行的加密或解密操作的結果。 UID和GID不能通過JTAG或其他調試接口使用。
發展過程:
Apple的FileVault加密程式最初是在OS X 10.3(Panther)中引入的,它隻允許加密使用者主檔案夾。從OS X 10.7(Lion)開始,Apple重新設計了加密方案,并将其作為FileVault 2釋出 - 該程式提供全盤加密以及更新,更強的加密标準。
2,特點:
自動直接地對主目錄的内容進行加密和解密,背景執行,基本不影響操作;
FileVault加密技術打亂了硬碟驅動器上的資料,加密後可以阻止未授權的實體或者網絡通路;
具有管理者權限的使用者賬戶才能使用該加密功能;
除非擁有解密密鑰或系統密碼,否則資料基本上是不可恢複的。
對備份資料也會進行加密;
加密資料的備份可與Time Machine無縫協作,以建立自動備份集。
3,使用場景:
1,如果Mac丢失或被盜,加密Mac的硬碟驅動器可防止未經授權的資料通路——可以阻止拆硬碟後對資料的通路。即将硬碟驅動器取出,通過USB或其他方法将其連接配接到另一台計算機并讀取檔案時如果它已加密,則必須擁有“恢複密鑰” ,否則資料不可讀。
2,加密後可以阻止未授權的實體或者網絡通路;
4,開啟過程:
1,指導文檔-https://support.apple.com/zh-cn/HT204837
2,可以通過打開“系統偏好設定”,選擇“安全和隐私”,選擇“FileVault”頁籤,然後單擊“打開FileVault”按鈕來啟用FileVault,輸入密碼驗證,開啟後選擇iCloud雲存儲或者自我備份解鎖秘鑰,完成後重新開機電腦,重新登入後可看見FileVault正在工作進行檔案系統加密(加密過程約花3~5個小時)。
3,設定完成後并重新啟動 Mac ,需要使用管理者帳戶密碼來解鎖您的磁盤并讓 Mac 完成啟動。每次 Mac 啟動時,檔案保險箱都會要求管理者登入,并且不允許任何帳戶自動登入。
4,終端下狀态檢視磁盤結構:
uliuss-iMac:~bit$ diskutil cs list
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group 0CE17916-B724-4878-995C-E51CE7D87656
=========================================================
Name: 10.12
Status: Online
Size: 248649048064 B (248.6 GB)
Free Space: 18964480 B (19.0 MB)
|
+-< Physical Volume 06C6B764-87E3-4D0C-B5DF-D967A3AB8CD9
| ----------------------------------------------------
| Index: 0
| Disk: disk0s4
| Status: Online
| Size: 248649048064 B (248.6 GB)
|
+-> Logical Volume Family 7736E994-B1A9-410E-98AD-31E316833ED0
----------------------------------------------------------
Encryption Type: AES-XTS
Encryption Status: Unlocked
Conversion Status: Complete
High Level Queries: Fully Secure
| Passphrase Required
| Accepts New Users
| Has Visible Users
| Has Volume Key
|
+-> Logical Volume D741D74E-7D15-4CBB-9C04-09A4CAD11F79
---------------------------------------------------
Disk: disk1
Status: Online
Size (Total): 248277762048 B (248.3 GB)
Revertible: Yes (unlock and decryption required)
LV Name: 10.12
Volume Name: 10.12
Content Hint: Apple_HFS
liuss-iMac:~ bit$ diskutil list
/dev/disk0 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *500.1 GB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_HFS Macintosh HD 249.9 GB disk0s2
3: Apple_Boot Recovery HD 650.0 MB disk0s3
4: Apple_CoreStorage 10.12 248.6 GB disk0s4
5: Apple_Boot Recovery HD 650.0 MB disk0s5
/dev/disk1 (internal, virtual):
#: TYPE NAME SIZE IDENTIFIER
0: 10.12 +248.3 GB disk1
Logical Volume on disk0s4
D741D74E-7D15-4CBB-9C04-09A4CAD11F79
Unlocked Encrypted
從擷取的資訊看,會生成一個内部交換的虛拟磁盤;
5,運作響應典型情況:
1,開機啟動時,增加了一個解密過程,啟動花費時間變長,登入視窗背景圖消失,顯示為未通路資料前的空白;即要使用FileVault 2加密的磁盤,必須首先擷取管理者的授權。
2,設定完成後,本地資料較少的情況下,磁盤空間最少應該會多占用1G左右。
3,管理者登入的情況下,對外拷貝檔案,拷貝完成後,該檔案在其它裝置上仍然可讀可寫,無加密影響。——個人了解,授權情況下,相當于取出來的内容不是加密的。
4,開啟後的Mac使用過程中,沒有發現對電腦性能降低有多少;
多使用者:
管理者賬戶未登陸的情況下,guest賬戶隻能使用有限制的功能(不能通路磁盤,隻能使用Safari上網)。
标準賬戶,可以正常登入和使用,同管理者賬戶操作響應流程一緻。
任何啟用了FileVault 2的裝置,在被非管理者帳戶通路或使用之前必須由管理者對帳戶解鎖才能繼續使用;
多系統:
多分區系統間互相無影響,不加密分區啟動後,隻會提示輸入密碼才能通路加密分區,切換到加密分區時,會要求輸入一次密碼才能進入啟動該分區的流程。
外接裝置:
1, FileVault支援使用AES-XTS資料加密算法來保護内部和可移動儲存設備上的完整卷。——這裡的可移動存儲的加密,應該是類似系統盤加密一樣,需要有個選中和加密處理的過程,直接使用不會自動加密。
2,加密完成後,管理者授權登入狀态下,進行内外接磁盤的資料拷貝,外接裝置上的存儲不是加密狀态,插入其它電腦可以直接讀取。
6,風險與缺點:
由于10.13更新檔案系統為APFS,舊版本的FileVault開啟後進行系統更新,可能導緻異常
FileVault 2本身無法阻止使用者攻擊系統或以其他方式洩露加密資料
啟用FileVault 2會對大約20-30%的現代CPU的I / O性能産生負面影響,并且會顯着降低舊處理器硬體的性能;
加密磁盤的加密密碼與啟用FileVault 2的使用者管理密碼相同。如果密碼洩露,磁盤可能會被加密,資料可能會受到損害。
單個檔案,檔案夾或任何其他類型的資料無法進行即時加密。隻有儲存在本地磁盤或FileVault 2加密卷上的資料才可以完整加密。
在硬體故障或忘記帳戶密碼的情況下臨時恢複資料變得有點棘手。如果出現硬體故障并且您丢失或忘記了“恢複密鑰”,則資料将永遠丢失。