การเข้ารหัสดิสก์โวลุ่มด้วย FileVault ใน macOS
คอมพิวเตอร์ Mac มี FileVault ซึ่งเป็นความสามารถของการเข้ารหัสในตัวเพื่อรักษาความปลอดภัยของข้อมูลทั้งหมดในเครื่อง FileVault ใช้อัลกอริทึมการเข้ารหัสข้อมูล AES-XTS เพื่อปกป้องดิสก์โวลุ่มแบบเต็มบนอุปกรณ์จัดเก็บข้อมูลภายในและถอดออกได้
FileVault บน Mac ที่มี Apple Silicon มีการใช้โดยใช้การปกป้องข้อมูลคลาส C ที่มีกุญแจดิสก์โวลุ่ม บน Mac ที่มี Apple Silicon และ Mac ที่มีชิป Apple T2 Security อุปกรณ์จัดเก็บข้อมูลภายในที่เข้ารหัสที่เชื่อมต่อกับ Secure Enclave โดยตรงจะใช้ความสามารถด้านความปลอดภัยของฮาร์ดแวร์ของตัวเอง รวมถึงความสามารถของกลไก AES หลังจากผู้ใช้เปิดใช้ FileVault บน Mac จะต้องใช้ข้อมูลประจำตัวของผู้ใช้ในระหว่างกระบวนการเริ่มต้นระบบ
สำหรับคอมพิวเตอร์ Mac:
ก่อนรุ่นที่จะมีชิป T2
ที่มีพื้นที่จัดเก็บข้อมูลภายในซึ่งเดิมไม่ได้จัดส่งมาพร้อมกับ Mac
ที่มีพื้นที่จัดเก็บข้อมูลภายนอกต่อเชื่อมอยู่
หลังจากเปิดใช้ FileVault ไฟล์ที่มีอยู่ทั้งหมดและข้อมูลเพิ่มเติมที่เขียนจะถูกเข้ารหัส ข้อมูลที่ถูกเพิ่ม แล้วถูกลบก่อนที่จะเปิดใช้ FileVault จะไม่ถูกเข้ารหัสและอาจสามารถกู้คืนได้ด้วยเครื่องมือการกู้คืนข้อมูลทางนิติวิทยาศาสตร์
พื้นที่จัดเก็บข้อมูลภายในที่มี FileVault เปิดใช้อยู่
ในกรณีที่ไม่มีข้อมูลประจำตัวการเข้าสู่ระบบที่ถูกต้องหรือรหัสการกู้คืนแบบเข้ารหัส ดิสก์โวลุ่ม APFS ภายในจะยังคงเข้ารหัสอยู่และได้รับการปกป้องจากการเข้าถึงที่ไม่ได้รับอนุญาต แม้ว่าอุปกรณ์พื้นที่จัดเก็บข้อมูลจะถูกเอาออกและเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น ใน macOS 10.15 สิ่งนี้จะรวมทั้งดิสก์โวลุ่มระบบและดิสก์โวลุ่มข้อมูล ใน macOS 11 ขึ้นไป ดิสก์โวลุ่มระบบจะได้รับการปกป้องโดยคุณสมบัติดิสก์โวลุ่มระบบที่ลงชื่อ (SSV) แต่ดิสก์โวลุ่มข้อมูลจะยังคงได้รับการปกป้องด้วยการเข้ารหัส การเข้ารหัสดิสก์โวลุ่มภายในบน Mac ที่มี Apple Silicon และ Mac ที่มีชิป T2 ถูกปรับใช้โดยการสร้างและจัดการลำดับชั้นของกุญแจ และสร้างบนเทคโนโลยีการเข้ารหัสฮาร์ดแวร์ภายในชิป ลำดับชั้นของกุญแจนี้ออกแบบมาเพื่อให้บรรลุสี่เป้าหมายนี้พร้อมกัน:
ต้องใช้รหัสของผู้ใช้สำหรับการถอดรหัส
ปกป้องระบบจากการโจมตีด้วย Brute-force โดยตรงกับสื่อในพื้นที่จัดเก็บข้อมูลที่เอาออกจาก Mac
มอบวิธีที่รวดเร็วและปลอดภัยสำหรับการลบข้อมูลเนื้อหาผ่านการลบข้อมูลการเข้ารหัสที่จำเป็น
ช่วยให้ผู้ใช้เปลี่ยนรหัสผ่าน (และใช้กุญแจการเข้ารหัสเพื่อปกป้องไฟล์) ได้โดยไม่ต้องเข้ารหัสดิสก์โวลุ่มทั้งหมดอีกครั้ง
บน Mac ที่ใช้ Apple Silicon และ Mac ที่มีชิป T2 การจัดการกุญแจ FileVault ทั้งหมดจะเกิดขึ้นใน Secure Enclave กุญแจการเข้ารหัสไม่เปิดเผยกุญแจไฟล์ให้กับ CPU โดยตรง ดิสก์โวลุ่ม APFS ทั้งหมดสร้างด้วยกุญแจการเข้ารหัสดิสก์โวลุ่มตามค่าเริ่มต้น เนื้อหาของดิสก์โวลุ่มและเมตาดาต้าถูกเข้ารหัสด้วยกุญแจการเข้ารหัสดิสก์โวลุ่มนี้ ซึ่งจะถูกห่อด้วยกุญแจการเข้ารหัสกุญแจ (KEK) KEK ได้รับการปกป้องโดยการรวมรหัสผ่านของผู้ใช้และ UID ฮาร์ดแวร์เข้าด้วยกันเมื่อเปิดใช้ FileVault อยู่
พื้นที่จัดเก็บข้อมูลภายในที่มี FileVault ปิดใช้อยู่
ถ้าไม่ได้เปิดใช้ FileVault อยู่ใน Mac ที่มี Apple Silicon หรือ Mac ที่มีชิป T2 ในระหว่างกระบวนการเริ่มต้นผู้ช่วยตั้งค่า ดิสก์โวลุ่มจะยังคงเข้ารหัสอยู่ แต่กุญแจการเข้ารหัสดิสก์โวลุ่มจะได้รับการปกป้องด้วย UID ฮาร์ดแวร์เท่านั้นใน Secure Enclave
ถ้าเปิดใช้ FileVault ในภายหลัง ซึ่งกระบวนการจะเริ่มขึ้นทันทีเนื่องจากเข้ารหัสข้อมูลอยู่แล้ว กลไกการป้องกันการเล่นซ้ำจะช่วยป้องกันไม่ให้ใช้กุญแจเก่า (ขึ้นอยู่กับ UID ฮาร์ดแวร์เท่านั้น) ถอดรหัสดิสก์โวลุ่ม จากนั้นดิสก์โวลุ่มจะได้รับการปกป้องโดยการรวมรหัสผ่านของผู้ใช้และ UID ฮาร์ดแวร์เข้าด้วยกันดังที่อธิบายไว้ก่อนหน้านี้
การลบดิสก์โวลุ่ม FileVault
เมื่อลบดิสก์โวลุ่ม กุญแจการเข้ารหัสดิสก์โวลุ่มจะถูกลบอย่างปลอดภัยด้วย Secure Enclave ซึ่งจะช่วยป้องกันการเข้าถึงด้วยกุญแจนี้ในอนาคต แม้แต่การเข้าถึงโดย Secure Enclave นอกจากนี้ กุญแจการเข้ารหัสดิสก์โวลุ่มทั้งหมดจะห่อด้วยกุญแจสื่อ กุญแจสื่อนี้จะไม่มีการรักษาความลับของข้อมูลให้เพิ่มเติม แต่กุญแจสื่อนี้ออกแบบมาเพื่อทำให้การลบข้อมูลรวดเร็วและปลอดภัย เพราะหากไม่มีกุญแจสื่อ จะไม่สามารถถอดรหัสได้
บน Mac ที่มี Apple Silicon และ Mac ที่มีชิป T2 กุญแจสื่อจะถูกลบอย่างแน่นอนโดยเทคโนโลยีที่รองรับของ Secure Enclave ตัวอย่างเช่น คำสั่งจัดการอุปกรณ์ระยะไกล การลบกุญแจสื่อในลักษณะนี้จะทำให้ดิสก์โวลุ่มไม่สามารถเข้าถึงได้แบบเข้ารหัส
การกู้คืน FileVault
macOS มีตัวเลือกการกู้คืนรหัสผ่านเพิ่มเติมหากผู้ใช้จำรหัสผ่านบัญชีของตนเองไม่ได้ เมื่อเปิดใช้ FileVault รหัสการกู้คืนจะถูกสร้างขึ้น รหัสการกู้คืนคือตัวเลขและตัวอักษรแบบสุ่ม 24 ตัวต่อเนื่องกัน ซึ่งสามารถดูได้ในการตั้งค่าระบบ ภายใต้ส่วนความเป็นส่วนตัวและความปลอดภัย > FileVault และจัดเก็บอยู่ในพวงกุญแจเพื่อให้สามารถดึงข้อมูลโดยใช้แอปรหัสผ่านได้ ข้อควรพิจารณาเพิ่มเติมเกี่ยวกับรหัสการกู้คืน ได้แก่:
เมื่อใช้พวงกุญแจ iCloud รหัสการกู้คืนจะเชื่อมข้อมูลอย่างปลอดภัยพร้อมกับรหัสผ่านอื่นๆ ของผู้ใช้
เมื่อไม่ได้ใช้ iCloud ผู้ใช้จะได้รับรหัสการกู้คืน FileVault ซึ่งควรจัดเก็บอยู่ในตำแหน่งที่ปลอดภัย
รหัสการกู้คืนสามารถใช้ใน recoveryOS หรือในหน้าต่างเข้าสู่ระบบเมื่อกด Shift-Option-Return แทนการใช้รหัสผ่านผู้ใช้เพื่อปลดล็อค FileVault ได้
บนคอมพิวเตอร์ Mac ที่มีการจัดการ บริการจัดการอุปกรณ์ขององค์กรสามารถเลือกฝากรหัสได้ โปรดดูที่ การจัดการ FileVault ใน macOS สำหรับข้อมูลเพิ่มเติม
อุปกรณ์จัดเก็บข้อมูลแบบถอดออกได้
การเข้ารหัสของอุปกรณ์จัดเก็บข้อมูลแบบถอดออกได้จะไม่ใช้ความสามารถด้านความปลอดภัยของ Secure Enclave และจะดำเนินการในลักษณะเดียวกันกับ Mac ที่ใช้ Intel ที่ไม่มีชิป T2 แทน