تشفير وحدة التخزين باستخدام خزنة الملفات في macOS
توفر أجهزة كمبيوتر Mac ميزة خزنة الملفات، وهي إمكانية تشفير مضمنة لتأمين جميع البيانات غير النشطة. يستخدم خزنة الملفات خوارزمية تشفير البيانات AES-XTS لحماية وحدات التخزين الكاملة على أجهزة التخزين الداخلية والقابلة للإزالة.
يتم تنفيذ خزنة الملفات على أجهزة كمبيوتر Mac المزودة بسيليكون Apple باستخدام حماية البيانات من الفئة C مع مفتاح وحدة تخزين. على Mac مزود بسيليكون Apple وشريحة Apple T2 الأمنية، تعمل أجهزة التخزين الداخلية المشفرة المتصلة مباشرةً بـ Secure Enclave على الاستفادة من الإمكانات الأمنية في المكونات المادية وكذلك الخاصة بمحرك AES. بعد قيام المستخدم بتشغيل خزنة الملفات على Mac، تكون بيانات الاعتماد الخاصة به مطلوبة أثناء عملية التمهيد.
لأجهزة كومبيوتر Mac:
قبل تلك المزودة بشريحة T2
مع وحدة تخزين داخلية لم تكن تأتي مع جهاز Mac في الأصل
مع وحدة تخزين خارجية متصلة
بعد تشغيل خزانة الملفات، تُشفَّر جميع الملفات الموجودة وأي بيانات أخرى مكتوبة. لا تُشفَّر البيانات التي تمت إضافتها ثم حذفها قبل تشغيل خزانة الملفات وقد تكون قابلة للاسترداد باستخدام أدوات استرداد البيانات الجنائية.
تشغيل التخزين الداخلي باستخدام خزنة الملفات
بدون بيانات اعتماد تسجيل دخول صالحة أو مفتاح استرداد تشفير، تظل وحدات تخزين APFS الداخلية مشفرة ومحمية من الوصول غير المصرح به حتى إذا تمت إزالة جهاز التخزين الفعلي وتوصيله بكمبيوتر آخر. في macOS 10.15، يتضمن ذلك كلاً من وحدة تخزين النظام ووحدة تخزين البيانات. في macOS 11 أو أحدث، تتم حماية وحدة تخزين النظام بوحدة تخزين النظام المُوقّعة (SSV)، ولكن تظل وحدة تخزين البيانات محمية بالتشفير. يتم تنفيذ تشفير وحدة التخزين الداخلية على أجهزة كمبيوتر Mac المزودة بسيليكون Apple وكذلك المزودة بشريحة T2 من خلال إنشاء وإدارة تسلسل هرمي للمفاتيح، والبناء على تقنيات تشفير المكونات المادية المضمنة في الشريحة. تم تصميم هذا التسلسل الهرمي للمفاتيح لتحقيق أربعة أهداف في وقت واحد:
طلب كلمة سر المستخدم لفك التشفير
حماية النظام من الهجوم بقوة غاشمة مباشرةً مقابل وسائط التخزين التي تمت إزالتها من الـ Mac
توفير طريقة سريعة وآمنة لمسح المحتوى عن طريق حذف مواد التشفير اللازمة
تمكين المستخدمين من تغيير كلمات السر الخاصة بهم (وبدورها مفاتيح التشفير المستخدمة لحماية ملفاتهم) دون الحاجة إلى إعادة تشفير وحدة التخزين بأكملها
على أجهزة كمبيوتر Mac المزودة بسيليكون Apple وتلك المزودة بشريحة T2، تحدث جميع عمليات معالجة مفاتيح خزنة الملفات في Secure Enclave؛ لا تُكشف أبدًا مفاتيح التشفير لوحدة المعالجة المركزية مباشرة. يتم إنشاء جميع وحدات تخزين APFS باستخدام مفتاح تشفير وحدة التخزين بشكل افتراضي. يتم تشفير محتويات وحدة التخزين وبيانات التعريف باستخدام مفتاح تشفير وحدة التخزين هذا، الذي يتم تغليفه بمفتاح تشفير المفاتيح (KEK). وتتم حماية مفتاح تشفير المفاتيح (KEK) بتركيبة من كلمة سر المستخدم ومعرف UID للمكونات المادية عند تشغيل خزنة الملفات.
إيقاف التخزين الداخلي باستخدام خزنة الملفات
إذا لم يكن خزنة الملفات قيد التشغيل على Mac مزود بسيليكون Apple أو Mac مزود بشريحة T2 أثناء عملية مساعد الإعداد الأولية، تظل وحدة التخزين مشفرةً ولكن مفتاح تشفير وحدة التخزين لا يكون محميًا إلا بواسطة معرف UID للمكونات المادية في Secure Enclave.
إذا تم تشغيل خزنة الملفات لاحقًا—وهي عملية تكون فورية لأنه قد تم تشفير البيانات بالفعل—فإن آلية مكافحة إعادة التشغيل تساعد على منع استخدام المفتاح القديم (استنادًا إلى معرف UID للمكونات المادية فقط) لفك تشفير وحدة التخزين. ومن ثم تتم حماية وحدة التخزين بتركيبة من كلمة سر المستخدم ومعرف UID للمكونات المادية كما هو موضح سابقًا.
حذف وحدات تخزين خزنة الملفات
عند حذف وحدة تخزين، يتم حذف مفتاح تشفير وحدة التخزين الخاص بها بشكل آمن بواسطة Secure Enclave. وهذا يساعد على منع الوصول في المستقبل باستخدام هذا المفتاح حتى بواسطة Secure Enclave. بالإضافة إلى ذلك، يتم تغليف جميع مفاتيح تشفير وحدات التخزين بمفتاح وسائط. لا يوفر مفتاح الوسائط سرية إضافية للبيانات، ولكنه بدلاً من ذلك تم تصميمه لتمكين الحذف السريع والآمن للبيانات لأنه بدونه يكون فك التشفير مستحيلاً.
على أجهزة Mac المزودة بسيليكون Apple وتلك المزودة بشريحة T2، يكون مسح مفتاح الوسائط بواسطة تقنية Secure Enclave المدعومة أمرًا مضمونًا، على سبيل المثال بواسطة أوامر إدارة الجهاز عن بُعد. ويؤدي مسح مفتاح الوسائط بهذه الطريقة إلى جعل وحدة التخزين غير قابلة للوصول إليها بطريقة مشفرة.
استرداد خزنة الملفات
يوفر نظام macOS خيارًا إضافيًا لاستعادة كلمة السر في حالة فقدان المستخدم لكلمة سر حسابه. عند تشغيل خزنة الملفات، يتم إنشاء مفتاح استرداد. مفتاح الاسترداد عبارة عن سلسلة من 24 رقمًا وحرفًا عشوائيًا. يمكن عرضها في إعدادات النظام ضمن الخصوصية والأمان > خزنة الملفات، ويتم تخزينها في سلسلة المفاتيح بحيث يمكن استردادها باستخدام تطبيق كلمات السر. الاعتبارات الإضافية لمفتاح الاسترداد هي:
عند استخدام سلسلة مفاتيح iCloud، تتم مزامنة مفتاح الاسترداد بشكل آمن مع كلمات سر المستخدم الأخرى.
عند عدم استخدام iCloud، يتم تزويد المستخدم بمفتاح استرداد خزنة الملفات الذي يجب تخزينه في مكان آمن.
يمكن استخدام مفتاح الاسترداد في نظام recoveryOS أو عند نافذة تسجيل الدخول عند الضغط على Shift-Option-Return بدلاً من كلمة سر المستخدم لفتح قفل خزنة الملفات.
في أجهزة كمبيوتر Mac المدارة، يمكن لخدمة إدارة الجهاز التابعة للمؤسسة اختيار ضمان المفتاح. لمزيد من المعلومات، انظر إدارة خزنة الملفات في macOS.
أجهزة التخزين القابلة للإزالة
لا يستخدم تشفير أجهزة التخزين القابلة للإزالة الإمكانات الأمنية في Secure Enclave، بل يتم تنفيذها بنفس الطريقة المستخدمة في أجهزة كمبيوتر Mac التي تعمل بمعالج Intel غير المزودة بشريحة T2.