Thực đơn
trang chủMạng xã hội

FileVault - mã hóa tự động thư mục chính của bạn. Sử dụng FileVault để nhận mã hóa toàn bộ ổ đĩa trên Mac OS X

Rất có thể máy Mac của bạn lưu trữ rất nhiều thông tin có giá trị và thông tin bí mật mà bạn sẽ không thực sự muốn chia sẻ với bất kỳ ai khác. Và điều khá tự nhiên là bạn sẽ muốn bảo vệ thông tin này khỏi mọi người bên ngoài. Tất nhiên, bạn sẽ không thể thoát khỏi chỉ bằng mật khẩu để đăng nhập vào tài khoản của mình. Để giải quyết vấn đề như vậy, cần phải sử dụng mã hóa thông tin. Chúng tôi sẽ dành một loạt bài viết ngắn về mã hóa trên máy Mac, trong đó chúng tôi sẽ xem xét các loại trả phí và giải pháp miễn phí vì mục đích này. Chúng ta sẽ bắt đầu với cơ chế mã hóa tiêu chuẩn nhất—công nghệ FileVault được tích hợp trong Mac OS.

Hãy nói ngay rằng phạm vi ứng dụng của FileVault rất hẹp - bạn có thể mã hóa chỉ một Thư mục chủ người dùng. Được sử dụng để mã hóa Khóa thuật toán AES 128 bit, cung cấp rất cấp độ caođộ tin cậy.

Mọi thứ rất đơn giản: FileVault tạo một thùng chứa đặc biệt ( hình ảnh đĩa được mã hóa), sao chép toàn bộ thư mục người dùng của bạn ở đó rồi xóa bản gốc. Tất cả thông tin chứa trong ảnh đĩa được mã hóa chỉ có thể truy cập được khi người dùng đăng nhập vào tài khoản của bạn. Thời gian còn lại cô hoàn toàn được bảo vệ khỏi những con mắt tò mò.

Điều này dẫn đến kết luận đầu tiên và quan trọng nhất (đối với tất cả mã hóa) - Không bao giờ quên mật khẩu mã hóa , nếu không mọi lợi thế của nó sẽ quay lưng lại với bạn. Để bảo vệ khỏi chứng mất trí nhớ, Mac OS X cung cấp mật khẩu cấp cao, biết được điều đó, bạn có thể đặt lại mật khẩu cho bất kỳ ai tài khoản, bao gồm và từ FileVault được mã hóa. Điều này sẽ giúp bạn tránh bị mất thông tin nếu đột nhiên bạn không thể nhớ được mật khẩu tài khoản của mình. Nhưng nếu bạn quên cả mật khẩu và mật khẩu chính thì bạn có thể yên tâm nói lời tạm biệt một lần và mãi mãi.

Trước khi bật FileVault, hãy nhớ xem xét một số tính năng quan trọng:

1) Đang tiến hành mã hóa chính trong một khoảng thời gian dài- nó có thể kéo dài trong vài giờ. Thời lượng của nó trực tiếp phụ thuộc vào số lượng và kích thước của tệp trong thư mục của người dùng. Vì vậy, trước khi mã hóa, hãy thử di chuyển từ thư mục người dùng tất cả nhạc, tất cả phim, tất cả ảnh và tất cả thông tin không bí mật khác đến bất kỳ vị trí nào khác trên đĩa.

2) Bạn có quen với máy Mac nhanh và hiệu quả không? Hãy thoát khỏi thói quen. FileVault đáng chú ý sẽ làm hỏng hiệu suất ngay cả Macintosh mạnh nhất. Mã hóa tạo thêm tải liên tục cho bộ xử lý và ổ cứng.

3) Nhiều người mới bắt đầu ngạc nhiên tại sao dung lượng ổ đĩa không được giải phóng khi xóa tệp. Sau đó, họ phát hiện ra rằng họ cần dọn sạch Thùng rác. Nếu FileVault được bật, bạn sẽ ngạc nhiên khi thấy rằng sau khi dọn sạch Thùng rác nơi miễn phí không xuất hiện trên đĩa. Như đã đề cập, toàn bộ thư mục người dùng sẽ biến thành một hình ảnh. Và kích thước của nó chỉ tự động thay đổi khi bạn đăng xuất khỏi tài khoản của mình, vì vậy để lấy lại dung lượng trống, bạn sẽ phải kết thúc phiên.

4) Nguy cơ mất toàn bộ hoặc một phần thông tin tăng trưởng theo cấp số nhân. Lúc đầu, điều này có vẻ vô lý - xét cho cùng, mã hóa được thiết kế để bảo vệ thông tin bí mật. Nó thực sự bảo vệ họ - khỏi bị hack, nhưng không phải khỏi lỗi đĩa. Hãy tự suy nghĩ - khi một trong các khu vực đĩa bị hỏng, tệp, một phần được ghi trên khu vực này, sẽ bị hỏng. Toàn bộ thư mục người dùng của bạn đã bật FileVault là một tệp. Hãy tưởng tượng điều gì sẽ xảy ra nếu không gian đĩa mà nó chiếm giữ bị hư hỏng.

5) Đã quen với việc sử dụng nó Cỗ máy thời gian? Sau khi kích hoạt FileVault, khả năng của nó sẽ giảm đi rất nhiều. Ví dụ: bạn sẽ không thể khôi phục thông qua giao diện Time Machine nữa tập tin riêng biệt . Và nếu bạn cố gắng khôi phục toàn bộ hệ thống thì hãy chuẩn bị cho những bất ngờ khó chịu. Các diễn đàn của Apple tràn ngập những lời phàn nàn từ người dùng về việc không thể đăng nhập vào tài khoản của họ sau quy trình này.

6) Bật FileVault thì dễ nhưng tắt lại Nó không phải lúc nào cũng hoạt động. Hệ thống thường hiển thị lỗi khi cố gắng tắt mã hóa. Và thường lỗi này dẫn đến việc bạn không thể đăng nhập vào tài khoản sau này.

Tất nhiên, sáu điểm này không nhằm ngăn cản bạn kích hoạt mã hóa. Nhưng theo định luật Murphy, nếu điều gì xấu có cơ hội xảy ra thì nó sẽ xảy ra vào thời điểm không thích hợp nhất.

FileVault không phải sự lựa chọn tốt nhấtđể mã hóa. Ưu điểm duy nhất của nó là được tích hợp hoàn toàn vào hệ thống.

Vì vậy, nếu bạn đã cân nhắc ưu và nhược điểm thì đây là hướng dẫn bật FileVault.

1) B Cài đặt hệ thống chọn điều khiển từ xa Sự an toàn. Chuyển đến tab Lỗi tệp và nhấn nút Kích hoạt FileVault.

2) Bạn sẽ được yêu cầu nhập mật khẩu quản trị viên. Sau đó, bạn sẽ được nhắc tạo mật khẩu cấp cao(nếu bạn chưa từng làm điều này trước đây). Chúng tôi nhắc nhở bạn một lần nữa - Nếu bạn mất cả mật khẩu chính và mật khẩu tài khoản thì sẽ không thể giải mã được thông tin.

3) Sau đó, bạn sẽ buộc phải nhập lại mật khẩu quản trị viên, sau đó cửa sổ cảnh báo cuối cùng sẽ xuất hiện:

Xin lưu ý các cài đặt có sẵn: Sử dụng tính năng xóa an toàn sẽ tăng thêm thời gian mã hóa và Sử dụng bộ nhớ ảo được bảo vệ sẽ buộc FileVault mã hóa không chỉ của bạn mà còn cả tạm thời tập tin hệ thống, tạm thời được đổ vào đĩa. Thật vô nghĩa khi giải thích điều này sẽ ảnh hưởng như thế nào đến hiệu suất của máy tính.

4) Nếu sau tất cả những câu hỏi và cảnh báo này mà bạn vẫn không thay đổi quyết định, hãy nhấp vào Kích hoạt FileVault. Hệ thống sẽ kết thúc phiên và quá trình mã hóa sẽ bắt đầu, trong thời gian đó tốt hơn hết là bạn không nên làm phiền máy tính (và đặc biệt là không nên tắt máy!). Khi mọi thứ kết thúc, bạn sẽ thấy biểu tượng thư mục người dùng của mình đã thay đổi từ ngôi nhà thông thường thành một chiếc két sắt. Không còn nữa những thay đổi đáng chú ý(tốt, ngoại trừ hệ thống phanh khủng khiếp vì bất kỳ lý do gì;) bạn sẽ không nhận thấy.

Việc tắt FileVault xảy ra theo cách tương tự, thông qua tab FileVault của bảng Bảo mật.

tái bút Hãy lặp lại - chúng tôi khuyên bạn không nên bật FileVault ngay lập tức. Đầu tiên, hãy đọc phần còn lại của loạt bài viết của chúng tôi, phần tiếp theo sẽ được dành cho chương trình miễn phí TrueCrypt.

Số đông Người dùng MacĐể bảo vệ dữ liệu và tập tin của bạn khỏi bị truy cập trái phép, hãy sử dụng mật khẩu để đăng nhập vào hệ thống. Tuy nhiên, liệu nó có an toàn như người ta thường tin? Hóa ra, không hoàn toàn. Có nhiều phương pháp cho phép bạn đặt lại mật khẩu, cung cấp cho bạn khả năng truy cập tất cả thông tin được lưu trữ trên máy Mac. Tuy nhiên, có một giải pháp cho vấn đề này - FileVault. Chúng ta sẽ nói về nó ngày hôm nay.

FileVault là gì

FileVault là hệ thống mã hóa dữ liệu sử dụng thuật toán XTS-AES-128 với độ dài khóa 256 bit, mang lại mức độ bảo mật cực cao. Bản thân khóa mã hóa được tạo dựa trên mật khẩu của người dùng bằng thuật toán PBKDF2. Tất cả thông tin sẽ được lưu trữ trong tương lai dưới dạng các đoạn 8 MB.

Điều kỳ lạ là chức năng này hoạt động khá đơn giản - tất cả dữ liệu được sao chép vào ảnh đĩa được mã hóa và sau đó bị xóa khỏi không gian không được bảo vệ. Sau khi quá trình xử lý dữ liệu ban đầu hoàn tất, các tệp mới sẽ được mã hóa “nhanh chóng” trong lý lịch. Có hỗ trợ Instant Wipe, cho phép bạn xóa tất cả thông tin trên đĩa một cách an toàn mà không có khả năng khôi phục. Ngoài ra, công cụ này còn cung cấp khả năng mã hóa các bản sao lưu Time Machine.

FileVault hoạt động như thế nào

Trong lần thiết lập đầu tiên, khóa khôi phục sẽ được tạo để bảo vệ khỏi mất mật khẩu, bạn phải ghi nhớ điều này vì nếu mất mã, dữ liệu sẽ không được khôi phục. Ngoài ra, bạn có thể thiết lập đặt lại mật khẩu bằng tài khoản của mình ghi âm iCloud.

Khi chúng ta đã kích hoạt FileVault, quá trình khởi động của máy tính sẽ thay đổi để đảm bảo tính bảo mật. Nếu trước đây mật khẩu phải được nhập sau khi tải tài khoản thì bây giờ điều này xảy ra trước đó, điều này thậm chí loại bỏ khả năng đặt lại mật khẩu của người dùng bằng bất kỳ phương pháp nào. phương pháp đã biết(Chế độ một người dùng, khởi động từ phương tiện truyền thông bên ngoài và các phương pháp khác).

Tại sao nên sử dụng FileVault

Mật khẩu người dùng rõ ràng là không đủ để đảm bảo an toàn tuyệt đối và sự riêng tư. Với sự hiện diện của Truy cập vật lý Việc đặt lại mật khẩu máy tính của bạn chỉ là vấn đề thời gian. Trong trường hợp mã hóa, bạn có thể chắc chắn rằng sẽ không có ai có quyền truy cập vào dữ liệu. Ngoài ra, tiện ích này đã được phát triển và tích hợp sẵn trong hệ thống, điều này cho thấy sự tích hợp hoàn toàn với hệ thống.

Một điểm cộng nữa là khối lượng dữ liệu trước và sau khi mã hóa không thay đổi.

Những bất lợi là gì

  • Mã hóa bằng FileVault có tác động đáng kể đến hiệu suất của máy Mac.
  • Bạn không thể khôi phục dữ liệu nếu quên mật khẩu và khóa khôi phục.
  • Nếu ổ đĩa bị lỗi thì dữ liệu cũng sẽ bị mất vĩnh viễn.
  • Đã mã hóa bản sao của Thời gian Máy không cho phép recovery tập tin cụ thể, nhưng chỉ là một bản sao toàn bộ.

Cách thiết lập FileVault


Tất cả những gì còn lại là khởi động lại máy Mac của chúng tôi. Ngay sau đó, quá trình mã hóa nền sẽ diễn ra và máy tính có thể được sử dụng mà không bị hạn chế.

"Chỉ có kẻ hoang tưởng mới sống sót"
- Andrew Grove, cựu CEO của Intel

Dành cho những người dùng lưu trữ trên máy tính của họ tập tin quan trọng, trong Mac OS X có chức năng FileVault cho phép bạn mã hóa toàn bộ nội dung trong thư mục chính của bạn (Macintosh HD -> Users -> Your_Name) với khả năng mã hóa mạnh mẽ. thuật toán AES 128 (Tiêu chuẩn mã hóa nâng cao với độ dài khóa 128 bit, đây là tiêu chuẩn của chính phủ ở Hoa Kỳ).

Không được quên điều đó đấy cài đặt bình thường Mật khẩu đăng nhập không mã hóa dữ liệu nếu muốn, việc truy cập nó khá đơn giản. Vì vậy đối với bảo vệ thực sự chính các tệp đó, sử dụng FileVault hoặc các giải pháp mã hóa khác.

Để kích hoạt FileVault, trong bảng Tùy chọn hệ thống, chọn Bảo mật (như minh họa trong ảnh chụp màn hình), đặt thông số bắt buộc và tạo Mật khẩu chính (nếu nó chưa được tạo), bằng mật khẩu này bạn có thể truy cập dữ liệu của mình nếu bạn quên mật khẩu tài khoản (rất hữu ích quản trị viên hệ thống- có thể truy cập tệp bất kỳ lúc nào, ngay cả khi nhân viên không còn làm việc cho công ty và từ chối cung cấp mật khẩu). Sau khi kích hoạt, hệ thống sẽ khởi động lại và toàn bộ nội dung trong thư mục chính sẽ được mã hóa (quá trình này có thể mất khá nhiều thời gian). thời gian dài- tùy thuộc vào lượng thông tin).

Sau đó, biểu tượng thư mục chính của bạn sẽ được thay đổi và tất cả nội dung của nó sẽ được lưu trữ ở dạng mã hóa - khi truy cập bất kỳ tệp nào, nó sẽ được giải mã trong khi làm việc với tệp đó và tự động mã hóa khi hoàn tất. Apple đã làm tất cả những điều này với sự đơn giản và tiện lợi đặc trưng của mình. Trải nghiệm người dùng khi bật FileVault không làm phức tạp việc sử dụng hệ thống theo bất kỳ cách nào.

Tuy nhiên, bạn có thể gặp phải các tính năng sau:

  1. Tải bổ sung trên bộ xử lý. Việc liên tục mã hóa và giải mã các tập tin một cách nhanh chóng sẽ tạo thêm tải cho bộ xử lý. Trong hầu hết các trường hợp, nó hầu như không được chú ý; bạn sẽ chỉ nhận thấy nó khi làm việc với các tệp lớn đòi hỏi phải làm việc tích cực với nó. ổ cứng(ví dụ: khi làm việc với video). Vì vậy, tốt hơn hết bạn nên lưu trữ các tệp đặc biệt lớn và không bí mật (ví dụ: phim) không phải trong thư mục chính của bạn mà trong một thư mục thông thường trên ổ cứng của bạn (điểm tiếp theo sẽ chỉ xác nhận khuyến nghị này).
  2. Sự cần thiết phải khôi phục miễn phí không gian đĩa. Xóa tệp khỏi thư mục chính của bạn và dọn sạch Thùng rác sẽ không giải phóng dung lượng ổ đĩa. Thực tế là hình ảnh được mã hóa của thư mục của bạn là tập tin lớn, vì lý do mật mã, không thể giảm kích thước nhanh chóng. Khi bạn đăng xuất khỏi tài khoản của mình (hoặc khởi động lại hoàn toàn system), hệ thống sẽ nhắc bạn thực thi Dung lượng ổ đĩa Phục hồi, nghĩa là bạn thực sự có thể giải phóng dung lượng ổ đĩa trống bằng cách sử dụng các tệp đã xóa trước đó. Thao tác này có thể mất hàng chục phút, vì vậy nếu bạn đang sử dụng máy tính xách tay không được kết nối với nguồn điện, hệ thống sẽ không cung cấp cho bạn Disk Space Recovery. Nghĩ khác.
  3. Lỗ hổng trong trường hợp xảy ra lỗi đĩa. Hãy chắc chắn để làm hỗ trợ dữ liệu, vì thư mục được mã hóa là một tệp lớn nên có thể không truy cập được nếu có một cụm bị hỏng. Nếu không sử dụng mã hóa, bạn sẽ gặp rủi ro với một hoặc nhiều tệp và khi FileVault được kích hoạt, toàn bộ thư mục sẽ cùng lúc.
  4. Không thể phục hồi dữ liệu. Đừng quên mật khẩu của bạn. Bạn có thể khôi phục dữ liệu bằng mật khẩu của tài khoản tương ứng hoặc bằng sử dụng Master Mật khẩu. Nếu bạn không nhớ một trong hai thì dữ liệu sẽ bị mất vĩnh viễn.
  5. Mac OS X 10.4 Tiger sắp ra mắt cơ hội mới mã hóa bộ nhớ ảo(tệp hoán đổi). Khi bạn làm việc với các tài liệu, một số tài liệu được lưu trữ trong tệp này và bằng cách truy cập vào ổ cứng, có thể khôi phục một số tài liệu đã được làm việc gần đây. Tất nhiên, việc kích hoạt tính năng này sẽ làm tăng thêm tải cho bộ xử lý.

Bài viết đầu tiên sẽ dành cho việc mã hóa ổ đĩa, giúp bảo vệ chống lại bất kỳ ai quan tâm đến bit và byte của chúng tôi.

Điều đó đã xảy ra khi hầu hết các hướng dẫn hack và pentesting đều được viết dưới góc nhìn của người dùng Linux. Tất nhiên, có những ngoại lệ đối với quy tắc này, nhưng nhìn chung có vẻ như hệ điều hành Linux là hệ thống duy nhất phù hợp với loại này nhiệm vụ. Trên thực tế, ý tưởng này không xa sự thật vì cài đặt đúng hệ thống từ Quả táo cho nhu cầu của một chuyên gia bảo mật - một nhiệm vụ không đơn giản như vậy.

Trước sự xuất hiện của macOS(trở lại khi OS X xuất hiện) việc nghiên cứu bảo mật trên máy Apple hơi buồn cười. Có rất ít công cụ phù hợp và phần cứng được điều chỉnh cho phù hợp với nhu cầu cụ thể. Kết quả là, các nhà phát triển có rất ít động lực để điều chỉnh các sáng tạo của họ, vì OS X chiếm một thị phần nhỏ và ít được sử dụng cho những công việc nghiêm túc. Vào thời điểm đó, Windows và Linux thống trị thị trường.

Nhưng thời thế đã thay đổi và macOS hiện là đối thủ nặng ký thu hút sự chú ý của các chuyên gia bảo mật. TRÊN khoảnh khắc này hệ thống này lần lượt chiếm 7,4 và 13% thị trường trên thế giới và Hoa Kỳ.

Máy Apple chạy phiên bản UNIX OS tương thích với POSIX tiêu chuẩn và phần cứng không khác gì phần cứng máy tính hiện đại, cho phép bạn chạy hầu hết các tiện ích được người kiểm tra thâm nhập sử dụng trên Mac OS. Ngoài ra, máy Apple có thể dễ dàng chạy cả Windows và Linux. Tóm lại, macOS, cũng dễ sử dụng và bảo trì, ít nhất cũng đáng để bạn quan tâm.

Chuỗi bài viết này được thiết kế để giúp bạn vượt qua những trở ngại trong quá trình thiết lập ban đầu. hệ thống macOS. Khi môi trường đã sẵn sàng, sẽ không có khó khăn gì khi làm việc với các tiện ích.
Ngoài ra, sẽ hoàn toàn hữu ích khi nghiên cứu những điều cơ bản soạn thảo văn bản Vim, có chức năng tương tự trên Linux và Mac.

Sau khi đọc và làm theo hướng dẫn trong tất cả các hướng dẫn, bạn sẽ có máy Mac được định cấu hình và sẵn sàng thực hiện các thử nghiệm thâm nhập. Ngoài ra, bạn sẽ hiểu tại sao những điều này lại cực kỳ quan trọng. Nếu như tiện ích cơ bảnđể cấu hình hệ thống có thể khác nhau tùy thuộc vào nền tảng, các khái niệm cơ bản vẫn giống nhau. Bạn sẽ có được kiến ​​​​thức hữu ích không chỉ khi làm việc với macOS mà còn với tất cả các nền tảng khác.
Bắt đầu tường thuật phần đầu tiên, tôi cho rằng bạn có hệ thống sạch với macOS. Nếu không, có thể xảy ra một số khác biệt trong quy trình cài đặt.

Bài viết đầu tiên sẽ dành cho việc mã hóa ổ đĩa, giúp bảo vệ chống lại bất kỳ ai quan tâm đến bit và byte của chúng tôi. Ngoài ra, việc sử dụng mã hóa đã trở thành tiêu chuẩn, bất kể bạn đứng về phía nào, đen hay sáng. Một khi các phương pháp mã hóa đã trở nên phổ biến rộng rãi thì đơn giản là không có lý do gì để hoạt động một cách công khai.

Chúng tôi sẽ sử dụng FileVault (một công cụ được tích hợp trong Mac OS), cho phép bạn mã hóa hoàn toàn ổ đĩa của mình ở chế độ XTS-AES 128 bit. Lược đồ mã hóa này được NIST khuyến nghị, tuân thủ FISA và phù hợp để sử dụng trong các ngành được quản lý như chính phủ và y tế. Đó là, chương trình này khá đáng tin cậy.

Bước 1: Vào TabFileVault

Đi tới Tùy chọn hệ thống và chọn Bảo mật & quyền riêng tư ở hàng đầu tiên. BẰNG Lựa chọn thay thế bạn có thể sử dụng lệnh sau (chỉ cần sao chép lệnh vào terminal và nhấn Enter). Tùy chọn –b (số nhận dạng gói) yêu cầu bạn mở tệp Security.prefPane bằng cài đặt hệ thống.

  • open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane


Hình 1: Bảng cài đặt hệ thống

Tiếp theo, đi đến phần Bảo mật & Quyền riêng tư và chọn tab FileVault. Để thực hiện thay đổi, bạn cần nhấp vào khóa ở phần dưới bên trái của cửa sổ và trong cửa sổ bật lên và nhập các thông số (tên và mật khẩu) của tài khoản quản trị.


Hình 2: Tab thiết lập mã hóa ổ đĩa

Bước 2: Bật nguồnFileVault

Trước khi nhấp vào nút "Bật FileVault", bạn phải đọc cảnh báo hiển thị trên màn hình.

Cảnh báo: Để truy cập dữ liệu của bạn, bạn cần có mật khẩu đăng nhập hoặc khóa khôi phục. Khóa khôi phục được tạo tự động trong quá trình thiết lập. Nếu bạn quên mật khẩu và khóa khôi phục, thông tin của bạn sẽ bị mất.

Đọc lại đoạn trước một lần nữa. Mất mật khẩu và khóa tương đương với việc xóa tất cả thông tin, vì đây chính xác là những gì bạn cần làm để đưa máy Mac của bạn hoạt động trở lại.
Tiếp theo, nhấp vào nút "Bật FileVault".

Tùy thuộc vào việc bạn có đăng nhập qua iCloud hay không (đối với phiên bản Yosemite trở lên), một hộp thoại sẽ xuất hiện hỏi bạn muốn sử dụng tài khoản iCloud hay khóa khôi phục để đặt lại mật khẩu nếu bị mất. Tôi thích giữ một bản sao của khóa ở nơi an toàn vì đám mây về cơ bản là máy tính của ai đó. (Nếu chưa đăng nhập vào iCloud, bạn sẽ thấy khóa khôi phục ngay lập tức.)

Khi bạn đã quyết định cách lưu trữ khóa, hãy nhấp vào Tiếp tục.


Hình 3: Lựa chọn phương pháp mở khóa ổ đĩa

Để giữ chìa khóa an toàn, trước khi tiếp tục, tôi sẽ sao chép văn bản vào một tài liệu, in ra giấy và lưu bản in vào nơi an toàn. Không bao giờ giữ chìa khóa trên xe của bạn. Nếu bạn quên mật khẩu, bạn sẽ không có quyền truy cập vào chìa khóa và không thể mở khóa hệ thống.

Khi khóa được lưu ở nơi an toàn, hãy nhấp vào Tiếp tục lần nữa.


Hình 4: Key khôi phục hệ thống trong trường hợp mất mật khẩu

Nếu có người dùng khác trên hệ thống, một hộp thoại sẽ xuất hiện nơi bạn có thể cấp quyền tới đúng người dùng. Để mở khóa ổ đĩa, người dùng tương ứng phải nhập mật khẩu của họ. Đương nhiên, bạn cần cho phép mở khóa đối với tài khoản quản trị. Những người dùng khác tùy ý bạn. Tiếp theo, nhấp vào nút Tiếp tục một lần nữa.


Hình 5: Quyền mở khóa Drive cho người dùng

Khi thiết lập hoàn tất, thông báo khởi động lại sẽ xuất hiện. Nếu cần, hãy lưu công việc đã thực hiện trước đó của bạn và khởi động lại hệ thống.

Sau khi bắt đầu khởi động lại, FileVault sẽ bắt đầu mã hóa ổ đĩa ở chế độ nền, điều này có thể gây ra tình trạng chậm nghiêm trọng cho đến khi toàn bộ quá trình kết thúc. Thời gian mã hóa phụ thuộc vào kích thước đĩa. Bạn có thể theo dõi tốc độ hoàn thành quá trình trong tab FileVault.


Hình 6: Mã hóa ổ đĩa

Lưu ý: Nếu bạn có hệ thống hiện đại Với SSD, quá trình mã hóa và giải mã sẽ nhanh hơn rất nhiều so với Ổ đĩa cứng. Nếu tốc độ tải xuống là quan trọng đối với bạn thì bạn đang ở mặt tối và phải được mã hóa trong bắt buộc, thì lời khuyên này có thể sẽ hữu ích với bạn.

Bước 4: Xác minh khóa

Bước cuối cùng là kiểm tra key để đảm bảo rằng bạn có thể giải mã ổ đĩa bất cứ lúc nào (chức năng này có sẵn trong các phiên bản Mavericks trở lên). Để kiểm tra, chúng tôi sẽ sử dụng ứng dụng Terminal từ thư mục Tiện ích bên trong thư mục Ứng dụng.


Hình 7: Dòng lệnh trong thiết bị đầu cuối

Trong cửa sổ terminal, nhập lệnh tiếp theo và nhấn Enter:

Sudo fdesetup xác thực phục hồi

Bạn sẽ được nhắc nhập mật khẩu quản trị. Ký tự mật khẩu sẽ không hiển thị khi bạn nhập. Sau khi nhập xong nhấn Enter.

Sau đó, bạn sẽ được yêu cầu nhập khóa khôi phục của mình, khóa này phải ở định dạng xxxx-xxxx-xxxx-xxxx-xxxx-xxxx. Giống như mật khẩu quản trị, bạn không thấy các ký tự chính bạn nhập. Vì vậy, hãy gõ chậm hoặc sao chép vào Dữ liệu văn bản, sau đó dán nó vào terminal và nhấn Enter.

Nếu key đúng thì shell sẽ trả về true.


Hình 8: Kết quả xác minh chính

Có thể có một số lý do khiến việc kiểm tra không thành công: khóa được nhập không chính xác hoặc được sao chép không chính xác hoặc bị hỏng. Nếu bạn chắc chắn rằng khóa đó là chính xác, bạn cần phải đi tới Cài đặt tập tin Vault, hãy tắt tính năng này và lặp lại toàn bộ quá trình bắt đầu từ bước 2.

Ổ đĩa của bạn hiện đã sẵn sàng hoạt động

Khi quá trình hoàn tất, đĩa của bạn hiện đã được mã hóa. Chỉ cần nhớ rằng ổ đĩa chỉ được bảo vệ khi máy tính tắt.

Ross Ulbricht, một trong những người điều hành nổi tiếng của dự án Con đường tơ lụa, đã sử dụng mã hóa ổ đĩa để bảo vệ máy tính xách tay của mình nhưng không tuân thủ các quy tắc bảo mật khác. Các đặc vụ FBI đợi cho đến khi Ross đăng nhập và chiếc đĩa được giải mã trước khi bắt giữ anh ta. Kết quả là Ulbricht nhận bản án chung thân.

Cố gắng không lặp lại những sai lầm kiểu này.

Trong các bài viết sau chúng ta sẽ nói về việc mã hóa ảnh đĩa, sử dụng KeePass, ứng dụng Terminal, v.v.

Giữ liên lạc.

"? Đây là phiên bản cải tiến của "FileVault 1". Cảm ơn Thuyền trưởng Rõ ràng.

Tôi cũng như nhiều người liên quan đến quản trị hệ thống, hơi hoang tưởng. Tôi tin rằng họ muốn đánh cắp dữ liệu của tôi. Mặc dù chúng thực sự không cần thiết bởi bất kỳ ai ngoại trừ tôi ("và rất nhiều kẻ tấn công đang ngủ và xem cách lấy được ảnh của tôi, tuyển tập nhạc và phim, và..." - đây là những lời của nỗi hoang tưởng bên trong tôi), sẽ không có hại gì khi bảo vệ chính bạn.

Điều gì xảy ra nếu máy tính xách tay bị đánh cắp?

Trường hợp đơn giản nhất là kẻ trộm format lại đĩa ngay và cài đặt phiên bản sạch hệ điều hành. Việc còn lại là mua Máy tính xách tay mới, khôi phục từ Time Machine và tiếp tục làm việc một cách bình tĩnh. Tình huống này điển hình đối với một tên trộm thông minh biết về tính năng Find My Mac và hệ thống Pray.

Nhưng có một trường hợp khác - một tên trộm ngu ngốc hoặc tò mò. Nếu ngu ngốc, anh ta sẽ bắt đầu sử dụng máy tính xách tay mà không chạm vào hệ thống. Lịch sử gần đây Việc bắt được một tên trộm như vậy được mô tả trong bài viết “Tại sao bạn không ăn trộm từ hacker”.

Nếu tên trộm tò mò và thông minh sẽ tắt ngay giao diện mạng, do đó, ngay cả khi vô tình, hệ thống không trực tuyến và bắt đầu nghiên cứu những gì nó có thể thu lợi từ đó.

Anh ta sẽ bắt đầu nghiên cứu tài liệu, truy cập khóa, cố gắng truy cập vào Chuỗi khóa, xem lịch sử các lệnh trong shell và có thể tình cờ tìm thấy mật khẩu (theo kinh nghiệm của tôi, đã xảy ra trường hợp một đồng nghiệp nhập mật khẩu quản trị viên rất nhanh vào phiên của một người dùng quá tò mò nhưng không nhập nó vào trường yêu cầu mật khẩu mà chỉ nhập vào shell và mật khẩu quản trị viên kết thúc bằng .history). Trong trường hợp lâm sàng, mật khẩu của hệ thống và cơ sở dữ liệu 1Password có thể giống nhau. Không cần thiết phải tiếp tục. Và sau đó - thâm nhập hoặc tống tiền.

Tôi hy vọng bạn không nghĩ việc yêu cầu mật khẩu khi đăng nhập sẽ ngăn cản bất cứ ai? Mật khẩu phần sụn (ít nhất là trước đó) đã được đặt lại bằng cách tháo một trong số các thẻ nhớ và sau đó xóa PRAM. Sau đó - chế độ một người dùng, một vài lệnh và mật khẩu được thay đổi. Nếu bạn không muốn bận tâm đến Mật khẩu phần sụn, thì đĩa sẽ được lấy ra khỏi máy tính xách tay, được kết nối với một máy tính khác và bạn sẽ có được quyền truy cập vào tất cả dữ liệu.

Để bảo vệ khỏi các tình huống được mô tả, FileVault đã được triển khai. Trong phiên bản đầu tiên, thư mục chính của người dùng được đặt trong một vùng chứa được mã hóa (hình ảnh gói thưa thớt), chìa khóa là mật khẩu của người dùng. Không biết mật khẩu thì không thể mở được container. Không cần loại trừ khả năng đoán được mật khẩu, nhưng nếu mật khẩu phức tạp thì dữ liệu hoàn toàn an toàn.

Bạn phải trả tiền cho sự an toàn. Để làm bản sao lưu dữ liệu trong Time Machine, bạn cần đăng xuất khỏi tài khoản của mình. LÀM phục hồi có chọn lọc Không thể thực hiện được thông qua giao diện Time Machine. Đôi khi mã hóa được bật 50%. Có những khó khăn nhỏ khác.

OS X Lion bao gồm một phiên bản cải tiến - FileVault 2, một hệ thống mã hóa đầy đủ đĩa, sử dụng thuật toán XTS-AES 128.

Trong quá trình nghiên cứu vấn đề, tôi đã tìm đến các bài viết về MacFixIt "Giới thiệu về FileVault 2 trong OS X 10.7 Lion" và ArsTechnica "Những thay đổi về hệ thống tệp trong Lion".

Những người muốn đối phó với mô hình toán học có thể đọc tài liệu "Tiêu chuẩn IEEE P1619TM/D16 để bảo vệ dữ liệu bằng mật mã trên các thiết bị lưu trữ định hướng khối" và "Bạn không quá đáng sợ, XTS-AES".

Phân vùng có EFI vẫn không được mã hóa (tôi giới thiệu những người quan tâm đến quá trình khởi động bình thường đến bài viết " ") và Recovery HD:

$ diskutil list /dev/disk0 #: LOẠI TÊN KÍCH THƯỚC IDENTIFIER 0: GUID_partition_scheme *160.0 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disk0s3

  1. Sau khi khởi tạo phần cứng, EFI tìm Recovery HD và chuyển quyền điều khiển tới bộ nạp khởi động /System/Library/CoreServices/boot.efi nằm trên phân vùng này.
  2. Bộ tải khởi động có hai tùy chọn - khởi chạy EfiLoginUI từ com.apple.boot.x và hiển thị màn hình bắt đầu với yêu cầu mật khẩu đăng nhập hoặc, nếu nhấn tổ hợp Option-R, shell khôi phục hệ thống từ com.apple.recovery.boot.
  3. Các khóa để giải mã ổ đĩa được lưu trữ trong tệp EncryptedRoot.plist.wipekey trong thư mục /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Mật khẩu người dùng giải mã các khóa đĩa nằm trong tệp này. Sau đó, chúng được lưu trữ trong bộ nhớ và nội dung của đĩa sẽ được giải mã nhanh chóng. Mỗi khi bạn thay đổi mật khẩu người dùng, việc thêm người dùng mới và các hoạt động tương tự EncryptedRoot.plist.wipekey được tạo lại.

FileVault cũng hoạt động đối với người dùng đăng nhập thông qua OpenDirectory - thuộc tính truy cập của họ được lưu vào bộ đệm trong trường hợp không có kết nối với máy chủ thư mục.

Theo thử nghiệm của Anandtech, hiệu suất hoạt động của đĩa khi bật FileVault 2 giảm không quá 20-30%, điều này khá chấp nhận được. Tuy nhiên, điều đáng lưu ý là có sự phụ thuộc vào bộ xử lý và đĩa. Mới bộ xử lý Intel sử dụng bộ hướng dẫn AES-NI để tăng tốc Hướng dẫn tiêu chuẩn mã hóa nâng cao AES Intel® (AES-NI) và xử lý mã hóa ổ đĩa tốt hơn các bộ cũ Bộ xử lý lõi 2 đôi. Mọi người đều tự đưa ra quyết định dựa trên phần cứng của riêng mình.

Nếu máy Mac của bạn bị đánh cắp, bạn sẽ gần như không thể truy cập được dữ liệu (với điều kiện là mật khẩu phức tạp và câu trả lời không rõ ràng cho các câu hỏi khôi phục quan trọng từ Apple). Bạn sẽ phải mua nó máy Mac mới và không phải lo lắng quá nhiều về việc mật khẩu bị xâm phạm và dữ liệu bị sử dụng.

Time Machine hiện hoạt động mà không cần phải đăng xuất khỏi tài khoản của bạn. Bây giờ chúng ta cần phải chăm sóc Dữ liệu thời gian Machine, nhưng tốt hơn hết là nên đặt chúng vào một phân vùng được mã hóa (cách thực hiện việc này được mô tả trong bài viết Mac OS X Lion FileVault 2 và Time Machine Internal Drive Encryption).

Trong số các “tính năng” bạn cần nhớ rằng khi khởi động với phím Option được giữ, phần “Recovery HD” sẽ không thể truy cập được; để khởi động từ nó, bạn cần nhấn giữ tổ hợp phím Command-R.

Kích hoạt

Kích hoạt FileVault 2 rất đơn giản. Tùy chọn hệ thống/Bảo mật & quyền riêng tư/FileVault, Nhấp vào khóa để thực hiện thay đổi, Bật FileVault. Điều bắt buộc là bạn phải lưu khóa và câu trả lời cho các câu hỏi khôi phục khóa ở nơi an toàn và được mã hóa (nếu bạn chọn lưu nó vào Apple). Hệ thống sẽ nhắc bạn khởi động lại. Ngay sau khi tải, mật khẩu của bạn sẽ được yêu cầu và sau khi đăng nhập, bạn sẽ có thể làm việc ngay lập tức. Không cần phải đợi hàng giờ để phân vùng được mã hóa; thao tác này được thực hiện ở chế độ nền trong khi bạn đang làm việc hoàn toàn:

Với sự ra mắt của iCloud, tùy chọn “Tìm máy Mac của tôi” sẽ xuất hiện, trong đó, tương tự như “Tìm iPhone/iPad của tôi”, khi máy Mac xuất hiện trên mạng, bạn có thể hiển thị thông báo kèm theo phát lại tín hiệu âm thanh, khóa máy Mac hoặc thậm chí phá hủy nội dung của đĩa được mã hóa (tôi có thể cho rằng các khóa mã hóa đã bị xóa và đĩa trở thành một mảng dữ liệu vô dụng):

Khi nhận được lệnh chặn (ngay khi máy Mac có thể truy cập được qua Internet), máy tính sẽ khởi động lại, sau đó yêu cầu mã gồm 6 chữ số (tôi nhớ [Trojan.Win32.Buzus.hjzy](http://av -school.ru/desc/a -2117.html), làm hỏng MBR và yêu cầu tiền để lấy mã mở khóa):

Thật tiện lợi phải không?

Nếu bạn là người có tổ chức và không muốn giảm năng suất vì mục đích bảo mật, thì việc tạo một hình ảnh gói thưa thớt được mã hóa và lưu trữ dữ liệu bí mật ở đó là đủ. Tôi đã mô tả quá trình này trong bài viết "".