FileVault

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
FileVault в macOS Sierra

FileVault (читается как «файлволт») — система шифрования диска, встроенная в macOS.

В предыдущих версиях (вплоть до Mac OS X Snow Leopard) шифровала только домашнюю папку пользователя, однако начиная с Mac OS X Lion позволяет шифровать весь диск целиком, включая системные файлы.

При шифровании используется алгоритм XTS-AES-128 с длиной ключа 256 бит[1]. Ключ шифрования вырабатывается на основе пароля пользователя (алгоритм PBKDF2, 1000 итераций[2]). Для защиты от утери пароля создается мастер-пароль, который следует записать и хранить в надежном месте. Опционально предлагается разрешить сброс пароля через серверы Apple (для этого потребуется войти в Apple ID).

Начиная с версии Mac OS X Leopard, зашифрованная часть файловой системы хранится как Sparse Bundles (фрагментами по 8 МБ).

FileVault первой версии позволяет шифровать только домашний каталог. Для шифрования отдельных файлов или всего жесткого диска необходимо использовать программное обеспечение сторонних разработчиков.

Ключи шифрования хранятся в ОЗУ во время работы системы и могут быть получены сторонним ПО, физической атакой Cold boot attack, либо при помощи специального оборудования (например, устройство FireWire может скопировать пароль при помощи DMA[3]). Также пароли и ключи могут попадать в swap-файл (если отключена опция «Use secure virtual memory»)[4] или дамп памяти в случае «Safe Sleep» (переход в спящий режим при недостатке заряда батареи)[5].

Mac OS X Lion и последующие версии ОС используют новый стандарт FileVault. Кроме улучшенного алгоритма шифрования (XTS-AES), увеличения быстродействия и поддержки внешних устройств, новая версия может зашифровать весь диск. Также добавлена новая функция — Instant wipe, позволяющая полностью удалить с компьютера ключи шифрования и безопасно стереть всю информацию на внутренних дисках.

Примечания

[править | править код]