Как FileVault и микросхема безопасности T2 работают вместе в новых компьютерах Mac
Новые компьютеры Mac поставляются с чипом безопасности T2 с собственным Secure Enclave, защищенным от несанкционированного доступа элементом кремния, который обеспечивает высокий уровень безопасности, такой как iPhone и iPad. Он используется для включения Touch ID и включения Apple Pay на ноутбуках, но также выполняет ряд других задач, включая полное шифрование диска. (Чип T2 начал появляться на компьютерах Mac вместе с iMac Pro в конце 2017 года — проверьте этот список, чтобы проверить, не уверены ли вы, что у вас один из них.)
В моделях до T2 macOS использует комбинацию шифрования с программным и аппаратным ускорением для шифрования всех данных на вашем диске с помощью FileVault, который можно включать и выключать на вкладке FileVault в настройках безопасности и конфиденциальности. FileVault может занять много времени, чтобы полностью зашифровать диск в первый раз на этих старых компьютерах Mac и перегрузить систему во время ее работы. Впоследствии компьютеры Mac обычно обрабатывают живое чтение и запись почти с той же скоростью, как если бы данные не были зашифрованы.
FileVault предотвращает эффективное извлечение данных с диска в состоянии покоя, который не включен или не подключен. Данные — это просто куча цифрового мусора без доступа к ключу, а ключ невозможно восстановить без пароля одной из учетных записей, связанных с FileVault на Mac, который необходимо ввести во время загрузки, чтобы разблокировать диск. .
Недавно выпущенный 27дюймовый iMac оснащен чипом безопасности T2.
С чипом T2, управляющим шифрованием, что остается делать FileVault на этих моделях? Это довольно тонко.
Если FileVault отключен на Mac с поддержкой T2, если бездельник удалит диск с Mac, содержимое останется недоступным. Это улучшение по сравнению с Mac до T2, где содержимое, не защищенное FileVault, было бы полностью читаемым. Это базовое улучшение безопасности. (В результате, кстати, компьютеры Mac с T2, которые получают команду «Стереть это устройство» через функцию «Найти мое устройство», «стираются» почти мгновенно, точно так же, как Mac без чипа T2 и с включенным FileVault: стирание ключа шифрования приводит к тому, что диск содержит невосстановимое содержимое.)
Однако без включения FileVault Mac просто должен запуститься, чтобы Full Disk Encryption начал работать, даже если вы не вошли в учетную запись автоматически. В то время как шифрование заблокировано аппаратным ключом, управляемым Secure Enclave на чипе T2, дешифрование срабатывает, как только Mac загружается на экран входа в систему. Злоумышленник может нарушить работу macOS или использовать аппаратные методы для доступа к данным на подключенном и работающем диске.
Однако включите FileVault, и Mac с T2 будет вести себя при загрузке так же, как и тот, который обрабатывает шифрование диска в программном обеспечении. Вместо прямой загрузки macOS раздел восстановления загружается в специальном режиме, требующем ввода пароля любой учетной записи, авторизованной для использования FileVault. Пока этот пароль не будет введен, содержимое диска остается зашифрованным, как если бы оно было в состоянии покоя.
Я рекомендую включить FileVault на компьютерах Mac с T2 для дополнительной безопасности и спокойствия. Бонус? Поскольку микросхема T2 уже зашифровала диск, нет дополнительных затрат или задержек — FileVault включается немедленно.
Спросите CompuHoy
Мы составили список наиболее часто задаваемых вопросов вместе с ответами и ссылками на столбцы — прочитайте наш супер FAQ, чтобы узнать, охвачен ли ваш вопрос. Если нет, мы всегда ищем новые проблемы для решения! Пожалуйста, отправьте письмо по адресу [email protected], включая снимки экрана, если это применимо, и если вы хотите, чтобы использовалось ваше полное имя. Не на все вопросы будут даны ответы, мы не отвечаем на электронные письма и не можем дать прямой совет по устранению неполадок.
