Encriptación del volumen con FileVault en macOS
Las computadoras Mac ofrecen FileVault, una funcionalidad de encriptación integrada capaz de dar seguridad a todos los datos que no se estén utilizando. FileVault utiliza el algoritmo de encriptación de datos AES-XTS para proteger volúmenes completos en dispositivos de almacenamiento internos y extraíbles.
FileVault en las computadoras Mac con Apple Chip se implementa utilizando la clase C de protección de datos con una clave de volumen. En computadoras Mac con Apple Chip o con el chip de seguridad T2 de Apple, los dispositivos de almacenamiento interno encriptados directamente y conectados al Secure Enclave aprovechan las funcionalidades de seguridad del hardware, así como las del motor AES. Después de que el usuario activa FileVault en una Mac, deberá proporcionar sus credenciales durante el proceso de arranque.
En computadoras Mac:
Con un chip anterior al T2
Con almacenamiento interno que no venía de fábrica con la Mac
Con almacenamiento externo conectado
después de activar FileVault, los archivos existentes y otros datos escritos se encriptan. Los datos que se agregaron y eliminaron antes de activar FileVault no se encriptan y se podrían recuperar usando herramientas de recuperación de datos forense.
Almacenamiento interno con FileVault activado
Sin las credenciales de acceso válidas o la clave criptográfica de recuperación, los volúmenes APFS internos permanecen encriptados y protegidos del acceso no autorizado, incluso si el dispositivo de almacenamiento se retira físicamente y se conecta a otra computadora. En macOS 10.15, esto incluye tanto el volumen del sistema como el volumen de datos. En macOS 11, y versiones posteriores, el volumen del sistema está protegido mediante la función de volumen del sistema firmado (SSV), pero el volumen de datos permanece protegido mediante encriptación. La encriptación del volumen interno en computadoras Mac con Apple Chip, así como en las que cuentan con el chip T2, se implementa al construir y administrar una jerarquía de claves, y se crea sobre la base de las tecnologías de encriptación de hardware integradas en el chip. Esta jerarquía de claves está diseñada para lograr cuatro metas de forma simultánea:
Requerir la contraseña del usuario para desencriptar.
Proteger el sistema de un ataque de fuerza bruta hecho directamente contra un medio de almacenamiento retirado de la Mac.
Brindar un método rápido y seguro de borrar el contenido mediante la eliminación del material criptográfico necesario.
Permitir a los usuarios cambiar su contraseña (y por lo tanto, las claves criptográficas utilizadas para proteger sus archivos) sin tener que volver a encriptar todo el volumen.
En las computadoras Mac con un Apple Chip o con el chip T2, el manejo completo de las claves de FileVault se realiza en el Secure Enclave; además, las claves de encriptación nunca se exponen directamente al CPU. Todos los volúmenes APFS se crean con una clave de encriptación de volumen de forma predeterminada. El contenido del volumen y de los metadatos se encripta con esta clave de encriptación de volumen, la cual se encapsula con una clave de encriptación de claves (KEK). La KEK está protegida por una combinación de la contraseña del usuario y el UID del hardware cuando se activa FileVault.
Almacenamiento interno con FileVault desactivado
Si durante el proceso inicial del asistente de configuración no se activa FileVault en una Mac con Apple Chip o en una que tiene el chip T2, el volumen seguirá estando encriptado, pero la clave de encriptación del volumen sólo estará protegida por el UID del hardware en el Secure Enclave.
Si FileVault se activa después (un proceso que es inmediato, puesto que los datos ya estaban encriptados), un mecanismo antirreproducción ayuda a evitar que la clave anterior (basada únicamente en el UID del hardware) se pueda utilizar para desencriptar el volumen. El volumen quedará protegido por una combinación de la contraseña del usuario y el UID del hardware, como se describió anteriormente.
Eliminar volúmenes de FileVault
Al eliminar un volumen, el Secure Enclave elimina de forma segura su clave de encriptación del volumen, lo que ayuda a evitar el acceso futuro con esta clave, incluso por parte del Secure Enclave. Además, todas las claves de encriptación se encapsulan con una clave de contenidos. Esta clave de contenidos no brinda confidencialidad adicional a los datos; en lugar de ello, está diseñada para permitir la eliminación rápida y segura de los datos, pues sin ella es imposible desencriptar.
En computadoras Mac con Apple Chip o con el chip T2, se garantiza que la clave de contenidos se borrará mediante la tecnología compatible del Secure Enclave, por ejemplo, mediante comandos remotos de administración de dispositivos. Al borrar la clave de contenidos de esta manera, el volumen queda criptográficamente inaccesible.
Recuperación de FileVault
macOS ofrece una opción adicional de recuperación de contraseña en caso de que el usuario olvide la contraseña de su cuenta. Cuando FileVault está activado, se genera una clave de recuperación. que es una secuencia aleatoria compuesta por 24 números y letras. La clave de recuperación se puede consultar en Configuración del Sistema > Privacidad y seguridad > FileVault, y se almacena en el llavero para que se pueda recuperar mediante la app Contraseñas. Las siguientes son otras consideraciones adicionales sobre la clave de recuperación:
Al usar el llavero de iCloud, la clave de recuperación se sincroniza de forma segura junto con otras contraseñas del usuario.
Cuando no se usa iCloud, se muestra al usuario la clave de recuperación de FileVault, y es su responsabilidad guardarla en una ubicación segura.
La clave de recuperación se puede utilizar en recoveryOS o en la ventana de inicio de sesión al presionar Mayús + Opción + Retorno en lugar de la contraseña de usuario para desbloquear FileVault.
En computadoras Mac administradas, el servicio de administración de dispositivos de la organización puede optar por custodiar la clave. Para obtener más información, consulta Administración de FileVault en macOS.
Dispositivos de almacenamiento extraíbles
La encriptación de dispositivos extraíbles de almacenamiento no utiliza las funcionalidades de seguridad del Secure Enclave; en su lugar, se realiza de la misma forma que en las computadoras Mac basadas en Intel que no tienen el chip T2.