macOS’te FileVault ile disk bölümü şifreleme
Mac bilgisayarları, üzerlerinde bulunan tüm verileri korumaya yönelik yerleşik bir şifreleme özelliği olan FileVault’u sunar. FileVault, dahili ve çıkarılabilir depolama aygıtlarında bulunan disk bölümlerinin tamamını korumak için AES-XTS veri şifreleme algoritmasını kullanır.
Apple Silicon yongalı bir Mac’te FileVault, bir disk bölümü anahtarıyla C Sınıfı Veri Koruma kullanılarak gerçekleştirilir. Apple Silicon yongalı bir Mac’te ve Apple T2 güvenlik yongasına sahip bir Mac’te, Secure Enclave’e doğrudan bağlı şifreli dahili depolama aygıtları donanım güvenliği özelliklerinin yanında AES Motoru’nun güvenlik özelliklerinden de yararlanır. Kullanıcı, Mac’te FileVault’u açtıktan sonra başlatma işlemi sırasında kullanıcının kimlik bilgileri gerekir.
Mac bilgisayarları için:
T2 yongalı olanlardan önce
Özgün olarak Mac ile birlikte gelmeyen dahili saklama alanı
İlişik harici saklama alanı
FileVault açıldıktan sonra, var olan dosyaların tümü ve daha sonra yazılan veriler şifrelenir. Eklenen ve FileVault açılmadan önce silinen veriler şifrelenmez ve adli veri koruma araçlarıyla kurtarılabilir.
FileVault açıkken dahili depolama
Geçerli oturum açma kimlik bilgileri veya şifreli kurtarma anahtarı olmadan dahili APFS disk bölümlerinin tamamı şifreli kalır ve fiziksel depolama aygıtı çıkarılıp başka bir bilgisayara bağlansa bile yetkisiz erişimlere karşı korunur. macOS 10.15’te bu, hem sistem disk bölümü hem de veri disk bölümü için geçerlidir. macOS 11 veya daha yenisinde sistem disk bölümü, imzalı sistem disk bölümü (SSV) özelliği ile korunur ama veri disk bölümü şifrelemeyle korunmaya devam eder. Apple Silicon yongalı bir Mac’te ve T2 yongasına sahip olanlarda dahili disk bölümü şifreleme, bir anahtar hiyerarşisi oluşturarak ve bu hiyerarşiyi yöneterek uygulanır ve yongada yerleşik donanım şifreleme teknolojilerinden yararlanır. Bu anahtar hiyerarşisi, aynı anda dört hedefi gerçekleştirmek için tasarlanmıştır:
Şifre çözme için kullanıcının parolasını isteme
Sistemi, doğrudan Mac’ten çıkarılan bir depolama ortamına karşı deneme yanılma saldırısından koruma
Gerekli şifreli malzemeleri silerek içerikleri temizlemenin hızlı ve güvenli bir yöntemini sunma
Disk bölümünün tamamının yeniden şifrelenmesini gerektirmeden kullanıcıların parolalarını (ve dolayısıyla dosyalarını korumak için kullanılan şifreli anahtarları) değiştirmesini sağlama
Apple Silicon yongalı bir Mac’te ve T2 yongalı olanlarda FileVault anahtarının işlenmesi tümüyle Secure Enclave’de gerçekleşir ve şifreleme anahtarları CPU tarafından asla doğrudan görülmez. Tüm APFS disk bölümleri saptanmış olarak bir disk bölümü şifreleme anahtarıyla yaratılır. Disk bölümü ve üst veri içerikleri, anahtar şifreleme anahtarıyla (KEK) paketlenen bu disk bölümü şifreleme anahtarıyla şifrelenir. KEK, FileVault açıkken kullanıcı parolası ve donanım UID’sinin bir birleşimiyle korunur.
FileVault kapalıyken dahili depolama
Apple Silicon yongalı bir Mac’te veya T2 yongasına sahip olan bir Mac’te başlangıçtaki Ayarlama Yardımcısı işlemi sırasında FileVault açılmazsa da disk bölümü şifrelenir ama disk bölümü şifreleme anahtarı yalnızca Secure Enclave’deki donanım UID’siyle korunur.
Daha sonra FileVault açılırsa (bu, veriler zaten şifreli olduğu için anında gerçekleştirilen bir işlemdir) disk bölümünün şifresini çözmek için eski anahtarın (yalnızca donanım UID’sini baz alan) kullanılmasını engellemeye yardımcı olan bir yeniden göndermeyi önleme mekanizması vardır. Bundan sonra disk bölümü, daha önce açıklandığı gibi kullanıcı parolası ve donanım UID’sinin bir birleşimiyle korunur.
FileVault disk bölümlerini silme
Disk bölümü silinirken disk bölümü şifreleme anahtarı Secure Enclave tarafından güvenli bir şekilde silinir. Böylece, Secure Enclave tarafından bile olsa gelecekte bu anahtarla erişimi engellemeye yardımcı olunur. Ayrıca tüm disk bölümü şifreleme anahtarları bir ortam anahtarıyla paketlenir. Ortam anahtarı, ek bir veri gizliliği sağlamaz. Bunun yerine verilerin hızlı ve güvenli bir şekilde silinmesini sağlamak için tasarlanmıştır çünkü bu anahtar olmadan şifre çözme mümkün değildir.
Apple Silicon yongalı bir Mac’te ve T2 yongalı bir Mac’te, ortam anahtarının Secure Enclave destekli teknoloji tarafından (örneğin uzaktan aygıt yönetimi komutları ile) silineceği garanti edilir. Ortam anahtarının bu şekilde silinmesi, disk bölümünü şifreyle erişilemez hâle getirir.
FileVault kurtarma
macOS, bir kullanıcı kendi hesap parolasını kaybederse ek bir parola kurtarma seçeneği sunar. FileVault açıldığında kurtarma anahtarı oluşturulur. Kurtarma anahtarı, 24 rasgele sayı ve harften oluşan bir dizidir. Sistem Ayarları’nda Gizlilik ve Güvenlik > FileVault altında görüntülenebilir ve Parolalar uygulaması kullanılarak alınabilmesi için anahtar zincirinde saklanır. Ek kurtarma anahtarı ayrıntıları şunlardır:
iCloud Anahtar Zinciri kullanılırken kurtarma anahtarı diğer kullanıcı parolalarıyla birlikte güvenli bir şekilde eşzamanlanır.
iCloud kullanılmadığında, kullanıcıya güvenli bir konumda saklanması gereken FileVault kurtarma anahtarı sunulur.
Kurtarma anahtarı, FileVault’un kilidini açmak için kullanıcı parolası yerine Shift-Option-Return tuşlarına basıldığında recoveryOS’te veya Oturum Açma Penceresi’nde kullanılabilir.
Yönetilen Mac bilgisayarlarında, kuruluşun aygıt yönetimi servisi isteğe bağlı olarak anahtarı emanet alabilir. Daha fazla bilgi için macOS’te FileVault’u yönetme konusuna bakın.
Çıkarılabilir depolama aygıtları
Çıkarılabilir depolama aygıtları şifrelenirken Secure Enclave’in güvenlik özellikleri kullanılmaz ve bunun yerine T2 yongasına sahip olmayan Intel tabanlı bir Mac’te olduğu gibi gerçekleştirilir.