Taltion salaaminen FileVaultilla macOS:ssä
Mac-tietokoneissa on FileVault, joka on sisäänrakennettu salausratkaisu kaiken levossa olevan datan suojaamiseen. FileVault suojaa AES-XTS-tietojensalausalgoritmilla taltiot kokonaan sisäisillä ja ulkoisilla tallennuslaitteilla.
Applen sirulla varustetun Macin FileVault toteutetaan käyttämällä tietojen suojausluokkaa C taltioavaimella. Applen sirulla tai Apple T2 Security -sirulla varustetussa Macissa suoraan Secure Enclaveen yhteydessä olevat salatut sisäiset tallennuslaitteet käyttävät sen laitteiston ja AES-komponentin suojausominaisuuksia. Kun käyttäjä on laittanut FileVaultin päälle Macissa, käyttäjän kirjautumistietoja tarvitaan käynnistysprosessissa.
Mac-tietokoneissa:
Aiemmat kuin T2-sirun sisältävät mallit
Joiden sisäistä tallennustilaa ei alun perin toimitettu Macin mukana
Joihin on liitetty ulkoinen tallennustila
Kun FileVault on laitettu päälle, kaikki olemassa olevat tiedot ja muut kirjoitetut tiedot salataan. Ennen FileVaultin päälle laittamista lisättyjä ja sen jälkeen poistettuja tietoja ei salata. Ne voivat olla palautettavissa rikosteknisillä tietojen palautustyökaluilla.
Sisäinen tallennustila FileVaultin ollessa päällä
Ilman sisäänkirjautumistietoja tai kryptografista palautusavainta sisäiset APFS-taltiot on salattu ja suojattu luvattomalta käytöltä, vaikka fyysinen tallennuslaite irrotettaisiin ja kiinnitettäisiin toiseen tietokoneeseen. macOS 10.15:ssä tämä pätee sekä järjestelmä- että datataltioon. macOS 11:ssä ja uudemmissa järjestelmätaltio suojataan käyttämällä allekirjoitettua järjestelmätaltiota (Signed System Volume - SSV), mutta datataltio suojataan edelleen salaamalla. Sisäisen taltion salaus Applen sirulla tai T2-sirulla varustetussa Macissa toteutetaan luomalla ja hallitsemalla avainhierarkiaa. Se perustuu laitteiston salausteknologioihin, jotka on sisäänrakennettu siruun. Tämä avainhierarkia on suunniteltu saavuttamaan samanaikaisesti neljä tavoitetta:
käyttäjän salasanan vaatiminen salauksen purkamista varten
järjestelmän suojaaminen suoraan Macista irrotettuun tallennuslaitteeseen kohdistuvalta väsytyshyökkäykseltä
sujuvan ja turvallisen menetelmän tarjoaminen sisällön tyhjentämiseen poistamalla tarvittavat kryptografiset materiaalit
käyttäjien salasanan vaihtomahdollisuus (ja sen kautta myös tiedostojen suojaamiseen käytettyjen salausavaimien) edellyttämättä koko taltion salaamista uudelleen
Applen sirulla tai T2-sirulla varustetussa Macissa kaikki FileVault-avainten käsittely tehdään Secure Enclavessa. Salausavaimia ei koskaan paljasteta suoraan prosessorille. Kaikkiin APFS-taltioihin luodaan oletuksena taltion salausavain. Taltion ja metatietojen sisältö salataan tällä taltion salausavaimella, joka on salattu avaimensalausavaimella (KEK). KEK-avainta suojataan käyttäjän salasanan ja laitteiston UID:n yhdistelmällä, kun FileVault on päällä.
Sisäinen tallennustila FileVaultin ollessa pois päältä
Jos FileVaultia ei laiteta päälle Applen sirulla tai T2-sirulla varustetussa Macissa ensimmäisen käyttöönottoapuriprosessin aikana, taltio salataan silti, mutta taltion salausavainta suojaa vain laitteiston UID Secure Enclavessa.
Jos FileVault laitetaan päälle myöhemmin (välitön prosessi, sillä tiedot on jo salattu), toiston estävä mekanismi auttaa estämään vanhan avaimen (joka perustuu vain laitteiston UID:hen) käytön taltion salauksen purkamiseen. Taltiota suojataan sen jälkeen käyttäjän salasanan ja laitteiston UID:n yhdistelmällä aiemmin kuvatulla tavalla.
FileVault-taltioiden poistaminen
Kun taltio poistetaan, Secure Enclave poistaa turvallisesti taltion salausavaimen. Tämä auttaa estämään avaimen käyttöä jatkossa, myös Secure Enclavelta. Lisäksi kaikki taltion salausavaimet salataan tallennuslaiteavaimella. Tallennuslaiteavain ei tarjoa tiedoille lisäsuojausta, vaan sen sijaan se mahdollistaa tietojen sujuvan ja turvallisen poistamisen, sillä ilman sitä salauksen purkaminen on mahdotonta.
Applen sirulla tai T2-sirulla varustetussa Macissa tallennuslaiteavain poistetaan varmasti Secure Enclaven tukemalla teknologialla, kuten laitehallinnan etäkomennoilla. Tallennuslaiteavaimen poistaminen tällä tavalla tekee taltiosta kryptografisesti mahdottoman käyttää.
FileVault-palautus
macOS tarjoaa salasanan palautukselle lisävaihtoehdon, jos käyttäjä on hukannut tilinsä salasanan. Kun FileVault on päällä, luodaan palautusavain. Palautusavain on 24 satunnaisen numeron ja kirjaimen yhdistelmä. Sitä voidaan tarkastella Järjestelmäasetuksissa kohdassa Tietosuoja ja suojaus > FileVault, ja se on tallennettu avainnippuun, joten se voidaan hakea Salasanat-apilla. Muuta palautusavaimeen liittyvää huomioitavaa:
Kun iCloud-avainnippu on käytössä, palautusavain synkronoidaan turvallisesti käyttäjän muiden salasanojen lisäksi.
Jos käyttäjä ei käytä iCloudia, hänelle annetaan FileVault-palautusavain, joka täytyy tallentaa turvalliseen paikkaan.
Palautusavainta voidaan käyttää recoveryOS:ssä tai sisäänkirjautumisikkunassa, kun painetaan vaihto-optio-rivinvaihto sen sijaan, että annettaisiin käyttäjän salasana FileVaultin lukituksen avaamista varten.
Hallituissa Mac-tietokoneissa organisaation laitehallintapalvelu voi vaihtoehtoisesti tallentaa avaimen. Jos haluat lisätietoja, katso FileVaultin hallinta macOS:ssä.
Irrotettavat tallennuslaitteet
Ulkoisen tallennuslaitteen salaus ei käytä Secure Enclaven suojausominaisuuksia, ja sen sijaan se tehdään samalla tavalla kuin Intel-pohjaisessa Macissa, jossa ei ole T2-sirua.