Czym jest szyfrowanie FileVault i czy warto z niego korzystać? Przechowywanie zaszyfrowanych danych w chmurze przy użyciu systemu Mac OS X. Czym jest FileVault
Mac w służbie hakera. Część 1 – Szyfrowanie dysku
Aleksander Antipow
Pierwszy artykuł poświęcony będzie szyfrowaniu dysku, które pomoże chronić przed wszystkimi zainteresowanymi naszymi bitami i bajtami.
Tak się złożyło, że większość poradników dotyczących hackowania i pentestowania została napisana z perspektywy użytkownika Linuksa. Istnieją oczywiście wyjątki od tej reguły, ale ogólnie wydaje się, że system operacyjny Linux jest jedynym systemem, który nadaje się do tego rodzaju zadań. Tak naprawdę pomysł ten nie jest daleki od prawdy, gdyż odpowiednie skonfigurowanie systemów Apple na potrzeby specjalisty ds. bezpieczeństwa nie jest wcale takim łatwym zadaniem.
Przed macOS (kiedy istniał OS X) prowadzenie badań związanych z bezpieczeństwem na maszynach Apple było nieco komiczne. Odpowiednich narzędzi było niewiele, a sprzęt był dostosowany do konkretnych potrzeb. W rezultacie programiści mieli niewielką motywację do dostosowywania swoich dzieł, ponieważ OS X zajmował niewielki udział w rynku i był mało przydatny do poważnej pracy. W tamtym momencie na scenie dominowały systemy Windows i Linux.
Ale czasy się zmieniły i macOS jest obecnie poważnym konkurentem w oczach specjalistów ds. bezpieczeństwa. W tej chwili system ten zajmuje odpowiednio 7,4 i 13% rynku na świecie i w Stanach Zjednoczonych.
Na komputerach Apple działa wersja systemu UNIX OS zgodna ze standardem POSIX, a sprzęt nie różni się od współczesnego komputera, co pozwala na uruchomienie większości narzędzi używanych przez testerów penetracji w systemie Mac OS. Ponadto na komputerach Apple można z łatwością uruchomić zarówno system Windows, jak i Linux. Krótko mówiąc, macOS, który jest również łatwy w obsłudze i utrzymaniu, jest co najmniej warty uwagi.
Ta seria artykułów została zaprojektowana, aby pomóc Ci pokonać początkowe przeszkody związane z konfiguracją systemu macOS. Gdy środowisko będzie gotowe, nie będzie żadnych trudności w pracy z mediami.
Ponadto absolutnie przydatne będzie poznanie podstaw edytora tekstu Vima, którego funkcjonalność jest podobna zarówno w systemie Linux, jak i Mac.
Po przeczytaniu i zastosowaniu się do instrukcji zawartych we wszystkich samouczkach komputer Mac będzie skonfigurowany i gotowy do przeprowadzenia testów penetracyjnych. Ponadto zrozumiesz, dlaczego te rzeczy są niezwykle ważne. Chociaż podstawowe narzędzia konfiguracyjne systemu mogą się różnić w zależności od platformy, podstawowe koncepcje pozostają takie same. Zdobędziesz wiedzę, która przyda się nie tylko podczas pracy z macOS, ale także ze wszystkimi innymi platformami.
Zaczynając historię z pierwszej części zakładam, że masz czysty system z macOS. W przeciwnym razie mogą wystąpić pewne rozbieżności w procedurze ustawiania.
Pierwszy artykuł poświęcony będzie szyfrowaniu dysku, które pomoże chronić przed wszystkimi zainteresowanymi naszymi bitami i bajtami. Poza tym stosowanie szyfrowania stało się już standardem, niezależnie od tego, po której stronie się znajdujesz, ciemnej czy jasnej. Kiedy metody szyfrowania staną się powszechnie dostępne, po prostu nie będzie powodu, aby działać w sposób otwarty.
Będziemy używać FileVault (narzędzie wbudowane w system Mac OS), które pozwala na pełne zaszyfrowanie dysku w 128-bitowym trybie XTS-AES. Ten schemat szyfrowania jest zalecany przez NIST, zgodny z FISA i odpowiedni do stosowania w branżach regulowanych, takich jak rząd i medycyna. Oznacza to, że schemat jest dość niezawodny.
Krok 1: Przejdź do zakładkiFileVault
Przejdź do Preferencji systemowych i wybierz Bezpieczeństwo i prywatność w pierwszym rzędzie. Alternatywnie możesz użyć następującego polecenia (po prostu skopiuj polecenie do terminala i naciśnij Enter). Opcja –b (identyfikator pakietu) nakazuje otwarcie pliku Security.prefPane z ustawieniami systemowymi.
- open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane
Rysunek 1: Panel ustawień systemowych
Następnie przejdź do sekcji Bezpieczeństwo i prywatność i wybierz zakładkę FileVault. Aby dokonać zmian należy kliknąć kłódkę w lewym dolnym rogu okna oraz w wyskakującym oknie i wprowadzić parametry (nazwę i hasło) konta administracyjnego.
Rysunek 2: Zakładka służąca do konfigurowania szyfrowania dysku
Krok 2: WłączFileVault
Przed kliknięciem przycisku „Włącz FileVault” należy zapoznać się z ostrzeżeniem wyświetlanym na ekranie.
Ostrzeżenie: aby uzyskać dostęp do swoich danych, potrzebujesz hasła logowania lub klucza odzyskiwania. Klucz odzyskiwania jest generowany automatycznie podczas konfiguracji. Jeśli zapomnisz hasła i klucza odzyskiwania, Twoje dane zostaną utracone.
Przeczytaj jeszcze raz poprzedni akapit. Utrata hasła i klucza jest równoznaczna z usunięciem wszystkich informacji, ponieważ właśnie to musisz zrobić, aby przywrócić działanie komputera Mac.
Następnie kliknij przycisk „Włącz FileVault”.
W zależności od tego, czy jesteś zalogowany przez iCloud, czy nie (dla wersji Yosemite i nowszych), pojawi się okno dialogowe z pytaniem, czy chcesz użyć konta iCloud lub klucza odzyskiwania, aby zresetować hasło, jeśli je utracisz. Wolę trzymać kopię klucza w bezpiecznym miejscu, ponieważ chmura to w zasadzie czyjś komputer. (Jeśli nie jesteś zalogowany w iCloud, od razu zobaczysz klucz odzyskiwania.)
Kiedy już zdecydujesz, jak przechowywać klucz, kliknij Kontynuuj.
Rysunek 3: Wybór metody odblokowania dysku
Aby zabezpieczyć klucz, przed kontynuowaniem skopiuję tekst do dokumentu, wydrukuję go na papierze i odłożę wydruk w bezpieczne miejsce. Nigdy nie trzymaj kluczyka w samochodzie. Jeśli zapomnisz hasła, nie będziesz mieć dostępu do klucza i nie będziesz mógł odblokować systemu.
Po zapisaniu klucza w bezpiecznym miejscu kliknij ponownie Kontynuuj. 
Rysunek 4: Klucz odzyskiwania systemu w przypadku utraty hasła
Jeśli w systemie są inni użytkownicy, pojawi się okno dialogowe, w którym możesz przyznać uprawnienia wybranym użytkownikom. Aby odblokować dysk, odpowiedni użytkownik musi wprowadzić swoje hasło. Oczywiście musisz zezwolić na odblokowanie konta administracyjnego. Inni użytkownicy są według własnego uznania. Następnie ponownie kliknij przycisk Kontynuuj.
Rysunek 5: Zezwolenie na odblokowanie dysku dla użytkowników
Po zakończeniu konfiguracji pojawi się komunikat o ponownym uruchomieniu. Jeśli to konieczne, zapisz wcześniej wykonaną pracę i zrestartuj system.
Po zainicjowaniu ponownego uruchomienia FileVault rozpocznie szyfrowanie dysku w tle, co może spowodować poważne spowolnienie aż do zakończenia całego procesu. Czas szyfrowania zależy od rozmiaru dysku. Stopień realizacji procesu możesz monitorować w zakładce FileVault.
Rysunek 6: Szyfrowanie dysku
Uwaga: jeśli masz nowoczesny system z dyskiem SSD, proces szyfrowania i deszyfrowania będzie znacznie szybszy w porównaniu z dyskami HDD. Jeśli prędkość pobierania jest dla Ciebie ważna, jesteś po ciemnej stronie i musisz być szyfrowany, to ta rada prawdopodobnie Ci się przyda.
Krok 4: Weryfikacja klucza
Ostatnim krokiem jest sprawdzenie klucza, aby mieć pewność, że w każdej chwili będziesz mógł odszyfrować dysk (ta funkcjonalność jest dostępna w wersjach Mavericks i wyższych). Do testów użyjemy aplikacji Terminal z folderu Utilities znajdującego się w katalogu Applications.
Rysunek 7: Wiersz poleceń w terminalu
W oknie terminala wpisz następujące polecenie i naciśnij Enter:
sudo fdesetup validrecovery
Zostaniesz poproszony o podanie hasła administratora. Znaki hasła nie będą widoczne podczas wprowadzania. Po wejściu naciśnij Enter.
Następnie zostaniesz poproszony o wprowadzenie klucza odzyskiwania, który powinien mieć format xxxx-xxxx-xxxx-xxxx-xxxx-xxxx. Podobnie jak w przypadku hasła administracyjnego, nie widzisz wprowadzanych kluczowych znaków. Dlatego pisz powoli lub skopiuj go do dokumentu tekstowego, a następnie wklej do terminala i naciśnij Enter.
Jeśli klucz jest poprawny, powłoka zwróci wartość true.
Rysunek 8: Kluczowe wyniki weryfikacji
Przyczyn niepowodzenia kontroli może być kilka: albo klucz został wpisany niepoprawnie, albo został błędnie skopiowany, albo jest uszkodzony. Jeśli jesteś pewien, że klucz jest poprawny, musisz przejść do ustawień Sejfu plików, wyłączyć tę funkcję i powtórzyć cały proces zaczynając od kroku 2.
Twój dysk jest teraz gotowy do pracy
Po zakończeniu procesu Twój dysk jest teraz zaszyfrowany. Pamiętaj tylko, że dysk jest chroniony tylko wtedy, gdy komputer jest wyłączony.
Ross Ulbricht, jeden ze znanych operatorów projektu Jedwabny Szlak, do ochrony swojego laptopa stosował szyfrowanie dysku, ale nie przestrzegał innych zasad bezpieczeństwa. Agenci FBI zaczekali, aż Ross się zaloguje i dysk zostanie odszyfrowany, zanim go zatrzymali. W rezultacie Ulbricht otrzymał dożywocie.
Staraj się nie powtarzać tego typu błędów.
W kolejnych artykułach porozmawiamy o szyfrowaniu obrazów dysków za pomocą KeePass, aplikacji terminalowych itp.
Pozostać w kontakcie.
Większość użytkowników komputerów Mac używa hasła, aby chronić swoje dane i pliki przed nieautoryzowanym dostępem. Czy jednak jest to tak bezpieczne, jak się powszechnie uważa? Jak się okazało, nie do końca. Istnieje wiele metod umożliwiających zresetowanie hasła i uzyskanie dostępu do wszystkich informacji przechowywanych na komputerze Mac. Istnieje jednak rozwiązanie tego problemu – FileVault. Porozmawiamy o tym dzisiaj.
Co to jest FileVault
FileVault to system szyfrowania danych wykorzystujący algorytm XTS-AES-128 z kluczem o długości 256 bitów, co zapewnia wyjątkowo wysoki poziom bezpieczeństwa. Sam klucz szyfrujący generowany jest na podstawie hasła użytkownika przy wykorzystaniu algorytmu PBKDF2. Wszystkie informacje będą w przyszłości przechowywane we fragmentach o wielkości 8 MB.
Co ciekawe, funkcja działa po prostu - wszystkie dane są kopiowane na zaszyfrowany obraz dysku, a następnie usuwane z niezabezpieczonej przestrzeni. Po zakończeniu wstępnego przetwarzania danych, nowe pliki będą szyfrowane „w locie” w tle. Obsługiwana jest funkcja Instant Wipe, która pozwala bezpiecznie wyczyścić wszystkie informacje z dysku bez możliwości odzyskania. Dodatkowo narzędzie to umożliwia szyfrowanie kopii zapasowych Time Machine.
Jak działa FileVault
Podczas pierwszej konfiguracji tworzony jest klucz odzyskiwania, aby zabezpieczyć się przed utratą hasła, o czym należy pamiętać, ponieważ w przypadku utraty kodu dane nie zostaną przywrócone. Alternatywnie możesz skonfigurować resetowanie hasła za pomocą konta iCloud.
Po aktywowaniu FileVault proces uruchamiania komputera zmienia się, aby zapewnić bezpieczeństwo. Jeśli wcześniej hasło musiało zostać wprowadzone po załadowaniu konta, teraz dzieje się to wcześniej, co eliminuje nawet potencjalną możliwość zresetowania hasła użytkownika dowolną ze znanych metod (tryb pojedynczego użytkownika, uruchamianie z nośnika zewnętrznego i inne metody).
Dlaczego warto używać FileVault
Hasło użytkownika zdecydowanie nie wystarczy, aby zapewnić pełne bezpieczeństwo i prywatność. Jeśli masz fizyczny dostęp do swojego komputera, zresetowanie hasła jest tylko kwestią czasu. W przypadku szyfrowania masz pewność, że nikt nie uzyska dostępu do danych. Dodatkowo narzędzie zostało opracowane przez firmę Apple i jest już wbudowane w system, co świadczy o pełnej integracji z systemem.
Kolejnym plusem jest to, że ilość danych przed i po szyfrowaniu nie zmienia się.
Jakie są wady
Szyfrowanie za pomocą FileVault ma znaczący wpływ na wydajność komputera Mac.
Nie możesz odzyskać danych, jeśli zapomniałeś hasła i klucza odzyskiwania.
Jeśli dysk ulegnie awarii, dane również zostaną utracone na zawsze.
Niewiele osób wie, że można zaszyfrować komputer za pomocą FileVault2 zapewnienie bezpieczeństwa jest całkowicie niewystarczające – w niektórych przypadkach złamanie szyfrowania zajmie tylko kilka godzin, a atakujący uzyska dostęp do Twoich danych. Aby to zapewnić FileVault2 chroni Cię niezawodnie, musisz wykonać kilka prostych dodatkowych kroków i przestrzegać kilku zasad podczas korzystania z komputera. W jakich przypadkach następuje hackowanie FileVault2 może to zrobić średnio wykwalifikowany specjalista dysponujący odpowiednim oprogramowaniem, ale w jakich przypadkach Twoje dane są bezpiecznie chronione?
Najbardziej oczywisty schemat wyglądałby tak: 
Z tego diagramu wynika, że jeśli Twój Mac znajduje się w trybie uśpienia lub system ładuje się na etapie wyboru użytkownika (niezależnie od tego, czy konto użytkownika zostało już zalogowane, czy nie, najważniejsze jest podanie hasła dostępu do dysku) , atakujący ma możliwość otwarcia Sejf plików2 i uzyskaj dostęp do danych na swoim komputerze.
Aby uchronić się przed takimi problemami, nie zajmie to dużo czasu, wystarczy zmienić tylko trzy parametry.
W rezultacie za każdym razem, gdy wybudzisz urządzenie z trybu uśpienia, będziesz musiał dwukrotnie wprowadzić hasło do konta - aby uzyskać dostęp do dysku i zalogować się, co może wydawać się trochę niewygodne, ale jest bezpieczne.
A skoro mówimy o zwiększeniu poziomu bezpieczeństwa, jeśli na komputerze masz kilku użytkowników, warto zadbać o to, aby tylko ci użytkownicy, którzy tego naprawdę potrzebują, mogli go włączyć (loguj się po włączeniu zasilania lub wybudzaj się po „głęboki” sen). Listę użytkowników, którzy mogą wykonywać tę czynność, możesz sprawdzić za pomocą polecenia sudo fdesetup list
Jeśli chcesz usunąć użytkownika z listy, wpisz
sudo fdesetup usuń -użytkownika Nazwa użytkownika Gdzie Nazwa użytkownika- krótka nazwa użytkownika, którego chcesz usunąć z listy.
Użytkownika możesz dodać otwierając menu Ustawienia systemowe → Bezpieczeństwo → FileVault i klikając przycisk „Włącz użytkowników”. 
Można to również zrobić poprzez Terminal. Aby to zrobić, wpisz polecenie sudo fdesetup add -usertoadd Nazwa użytkownika Gdzie Nazwa użytkownika— krótka nazwa użytkownika, któremu chcesz przyznać dostęp do dysku. Będziesz także musiał wprowadzić hasło do konta użytkownika, które ma już dostęp do dysku (lub klucz szyfrowania, jeśli został utworzony podczas jego włączania). FileVault2), a także hasło użytkownika, którego chcesz dodać.
Aby jeszcze bardziej chronić komputer, możesz także ustawić hasło oprogramowania sprzętowego, które umożliwi uruchomienie systemu wyłącznie z wybranego dysku rozruchowego. Możesz przeczytać więcej o tym, dlaczego to zrobić i jak hasło oprogramowania sprzętowego pomoże Ci chronić dane na komputerze Mac w jednym z naszych.
W rezultacie przy normalnym uruchomieniu komputera Mac wystarczy podać hasło do konta użytkownika, ale jeśli spróbujesz uruchomić system z innego dysku lub w trybie odzyskiwania, proces uruchamiania zostanie przerwany przez ekran z komunikatem ikona kłódki oraz pole do wpisania hasła sprzętowego. 
Jeśli zgubisz hasło do oprogramowania sprzętowego, w większości przypadków odblokowanie komputera Mac będzie możliwe jedynie za pośrednictwem oficjalnego centrum serwisowego Apple, dlatego zaleca się, aby go nie zapomnieć, a raczej zapisać i przechowywać w bezpiecznym miejscu.
Aktualizacja OS X 10.7.2 wyłącza DMA dla Firewire, gdy użytkownik się wylogowuje, zmniejszając ryzyko włamań, ale narażając komputer na ataki, jeśli jest zalogowany. Również na komputerach z architekturą procesorową Ivy Bridge (produkowaną od 2012 roku) i systemem OS X w wersji 10.8.2 i wyższej stosowana jest wirtualizacja sprzętowa VT-D, która skutecznie blokuje bezpośredni dostęp do pamięci, nawet gdy użytkownik jest już zalogowany na koncie.
Jednak według stanu na marzec 2015 roku około 70% używanych urządzeń jest w dalszym ciągu podatnych na tego typu ataki, dlatego aby uniknąć przykrych niespodzianek, warto zadbać o bezpieczeństwo. Ostrożności nigdy za wiele, zwłaszcza jeśli chodzi o ochronę poufnych danych.
Dziękujemy Toddowi Garrisonowi za oryginalny materiał i jego wkład w powstanie tego artykułu.
Ja, podobnie jak wiele osób zajmujących się administracją systemem, popadam w lekką paranoję. Wierzę, że ktoś chce ukraść moje dane. Choć tak naprawdę nie są one potrzebne nikomu poza mną („i wielu napastników, którzy śpią i widzą, jak zdobyć moje zdjęcia, wybór muzyki i filmów i…” – to słowa mojej wewnętrznej paranoiczki), ale nie zaszkodzi się chronić.
Co się stanie, jeśli laptop zostanie skradziony?
Najprostszy przypadek polega na tym, że złodziej natychmiast ponownie formatuje dysk i instaluje czystą wersję systemu operacyjnego. Pozostaje tylko kupić nowy laptop, przywrócić z Time Machine i spokojnie kontynuować pracę. Ten scenariusz jest typowy dla sprytnego złodzieja, który zna funkcję „Znajdź mój Mac” i system Pray.
Ale jest inny przypadek - złodziej jest albo głupi, albo ciekawy. Jeśli jest głupi, zacznie korzystać z laptopa bez dotykania systemu. Najnowszą historię złapania takiego złodzieja opisujemy w artykule „Dlaczego nie kradnie się hakerowi”. Wszystko skończyło się źle dla złodzieja i świetnie dla właściciela laptopa.
Jeśli złodziej jest ciekawy i mądry, natychmiast wyłączy interfejsy sieciowe, aby system nawet przypadkowo nie uzyskał dostępu do Internetu i zacznie badać, na czym może zyskać.
Zacznie studiować dokumenty, uzyska dostęp do kluczy, spróbuje dostać się do Keychaina, przejrzy historię poleceń w powłoce i być może natknie się na hasło (z mojego doświadczenia wynika, że kolega bardzo szybko wpisał hasło administratora w sesji zbyt ciekawskiego użytkownika, ale nie wpisałem go w polu żądania hasła, a jedynie w powłoce, a hasło administratora wylądowało w .history). W przypadku klinicznym hasło może być takie samo dla systemu i bazy danych 1Password. Nie ma potrzeby kontynuowania. A potem - albo penetracja, albo szantaż.
Mam nadzieję, że nie sądzisz, że pytanie o hasło podczas logowania kogokolwiek powstrzyma? Hasło oprogramowania sprzętowego (przynajmniej wcześniej) zostało zresetowane poprzez wyjęcie jednej z kilku kart pamięci, a następnie wyczyszczenie pamięci PRAM. Następnie - tryb pojedynczego użytkownika, kilka poleceń i zmiana hasła. Jeśli nie chcesz zawracać sobie głowy hasłem sprzętowym, dysk zostanie wyjęty z laptopa, podłączony do innego komputera i uzyskany zostanie dostęp do wszystkich danych.
Aby zabezpieczyć się przed opisanymi sytuacjami, wdrożono FileVault. W pierwszej wersji katalog domowy użytkownika umieszczany był w zaszyfrowanym kontenerze (sparse package image), do którego kluczem było hasło użytkownika. Bez znajomości hasła nie można było otworzyć kontenera. Nie ma potrzeby wykluczać możliwości odgadnięcia hasła, ale jeśli hasło było skomplikowane, to dane były całkowicie bezpieczne.
Trzeba zapłacić za bezpieczeństwo. Aby wykonać kopię zapasową danych w Time Machine, konieczne było wylogowanie się ze swojego konta. Nie można było przeprowadzić selektywnego przywracania za pośrednictwem interfejsu Time Machine. Włączenie szyfrowania czasami pogarszało wydajność operacji na plikach o 50%. Były jeszcze inne drobne trudności.
OS X Lion zawiera ulepszoną wersję - FileVault 2, system szyfrowania całego dysku wykorzystujący algorytm XTS-AES 128.
Studiując ten problem, sięgnąłem do artykułów MacFixIt „O FileVault 2 w OS X 10.7 Lion” i ArsTechnica „Zmiany systemu plików w Lion”.
Ci, którzy chcą zrozumieć modele matematyczne, mogą przeczytać dokumenty „IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices” i „Not so Scary, XTS-AES”.
Partycja z EFI i Recovery HD pozostaje niezaszyfrowana:
$ lista discutil /dev/disk0 #: TYP NAZWA ROZMIAR IDENTYFIKATOR 0: schemat_partycji GUID *160,0 GB dysk0 1: EFI 209,7 MB dysk0s1 2: Apple_CoreStorage 159,2 GB dysk0s2 3: Apple_Boot Recovery HD 650,0 MB dysk0s3
- Po zainicjowaniu sprzętu EFI znajduje Recovery HD i przekazuje kontrolę do bootloadera /System/Library/CoreServices/boot.efi znajdującego się na tej partycji.
- Bootloader ma dwie opcje - uruchom EfiLoginUI z com.apple.boot.x i pokaż ekran startowy z prośbą o podanie hasła logowania lub, jeśli naciśnięto kombinację Option-R, powłokę odzyskiwania systemu z com.apple.recovery.boot .
- Klucze do odszyfrowania dysku przechowywane są w pliku EncryptedRoot.plist.wipekey w katalogu /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Hasło użytkownika odszyfrowuje klucze dyskowe znajdujące się w tym pliku. Następnie są one zapisywane w pamięci, a zawartość dysku jest na bieżąco odszyfrowywana. Za każdym razem, gdy zmieniane jest hasło użytkownika, dodawany jest nowy użytkownik i podczas podobnych operacji generowany jest ponownie plik EncryptedRoot.plist.wipekey.
FileVault działa również dla użytkowników logujących się poprzez OpenDirectory - ich atrybuty dostępu są buforowane w przypadku braku połączenia z serwerem katalogowym.
Według testów Anandtech wydajność operacji dyskowych przy włączonym FileVault 2 pogarsza się nie więcej niż o 20-30%, co jest całkiem akceptowalne. Warto jednak wziąć pod uwagę, że istnieje zależność od procesora i dysku. Nowe procesory Intel korzystają z zestawów instrukcji AES-NI, aby przyspieszyć instrukcje AES Intel® Advanced Encryption Standard Orders (AES-NI) i lepiej radzą sobie z szyfrowaniem dysku niż starsze procesory Core 2 Duo. Każdy podejmuje własną decyzję na podstawie własnego sprzętu.
Jeśli Twój Mac zostanie skradziony, dostęp do danych będzie prawie niemożliwy (pod warunkiem podania złożonego hasła i nieoczywistych odpowiedzi na kluczowe pytania Apple dotyczące odzyskiwania). Będziesz musiał po prostu kupić nowy komputer Mac i nie martwić się zbytnio o naruszenie haseł i wykorzystanie danych.
Time Machine działa teraz bez konieczności wylogowywania się z konta. Teraz musisz chronić swoje dane Time Machine i lepiej umieścić je na zaszyfrowanej partycji (jak to zrobić opisano w artykule Mac OS X Lion FileVault 2 i szyfrowanie dysku zewnętrznego Time Machine).
Jedną z „funkcji”, o których należy pamiętać, jest to, że podczas uruchamiania systemu z wciśniętą opcją Option sekcja „Recovery HD” będzie niedostępna; aby z niej uruchomić komputer, należy przytrzymać kombinację klawiszy Command-R.
Aktywacja
Aktywacja FileVault 2 jest prosta. Preferencje systemowe/Bezpieczeństwo i prywatność/FileVault, Kliknij kłódkę, aby wprowadzić zmiany, Włącz FileVault. Koniecznie zapisz klucz i odpowiedzi na pytania dotyczące odzyskiwania klucza w bezpiecznym i zaszyfrowanym miejscu (jeśli zdecydowałeś się zapisać go w Apple). System wyświetli monit o ponowne uruchomienie. Natychmiast po załadowaniu zostaniesz poproszony o podanie hasła, a po zalogowaniu będziesz mógł od razu pracować. Nie ma potrzeby czekania godzinami na zaszyfrowanie partycji, operacja ta jest wykonywana w tle, gdy Ty pracujesz w pełni:
Wraz z uruchomieniem iCloud pojawi się możliwość „Znajdź mój Mac”, dzięki której analogicznie do „Znajdź mój iPhone/iPad”, gdy w sieci pojawi się Mac, możesz wyświetlić komunikat z sygnałem dźwiękowym, zablokować Mac, lub nawet zniszczyć zawartość zaszyfrowanego dysku (mogę założyć, że zostaną usunięte klucze szyfrujące, a dysk stanie się bezużyteczną tablicą danych).
Ponieważ pojemność dysków flash stale rośnie, a ich ceny, wręcz przeciwnie, spadają, zyskują one na popularności. Szczególnie atrakcyjna jest możliwość przenoszenia znacznych ilości danych na przenośne dyski USB. Jednak ich przenośność ma też wadę – bardzo łatwo je zgubić. Ten przepis powie Ci, jak chronić poufne dane przed nieautoryzowanym dostępem w przypadku utraty dysku flash USB.Jest mało prawdopodobne, aby ktokolwiek dzisiaj kwestionował wygodę przesyłania danych z komputera na komputer na przenośnych dyskach flash USB wielokrotnego zapisu. Jednak ta wygoda ma też wadę – ryzyko dla bezpieczeństwa poufnych danych. Pojemność nośników przenośnych rośnie, a one same stają się coraz bardziej miniaturowe. Ale im mniejsze urządzenie, tym łatwiej je zgubić. Jeśli tak się stanie, utracisz nie tylko samo urządzenie i zapisane na nim dane. W rzeczywistości, jeśli te dane są dla Ciebie cenne lub poufne, pozwalasz na ich wyciek.
Prawda jest taka, że jeśli zgubisz pamięć flash USB, w większości przypadków osoba, która znajdzie to cudo, będzie mniej zainteresowana Twoimi danymi, a bardziej samym urządzeniem - aby przechowywać na nim własne dane. I tutaj należy zwrócić uwagę na jeszcze jedną kwestię. Używasz dysku flash USB na komputerze Mac, ale większość użytkowników nadal korzysta z systemu Windows. Jeśli podłączysz dysk USB do komputera z systemem Windows, system Windows natychmiast wyświetli monit o jego sformatowanie, więc użytkownicy systemu Windows raczej nie będą mogli odczytać plików, nawet jeśli będą zainteresowani zawartością utraconych nośników.
Problem jednak w tym, że znalazca rzeczywiście interesuje zawartość Twojego pendrive'a, a jednocześnie ma do dyspozycji Maca. Z drugiej strony jest też szansa, że zostawisz (zapomnisz) swój dysk dosłownie obok Maca – wówczas każdy przypadkowy użytkownik przechodzący będzie mógł podłączyć go do tego Maca i np. nawet zabrać i skopiować swój dane dla siebie. To bardzo nieprzyjemny scenariusz i aby zapobiec takiemu rozwojowi zdarzeń, nie wystarczy po prostu zadbać o swój dysk USB. Wszyscy jesteśmy ludźmi, a ludzi charakteryzuje roztargnienie i zapominanie. Innymi słowy, nie masz gwarancji, że nie stracisz nośnika ze swoimi cennymi danymi. Oczywiście w tym przypadku dane należy zabezpieczyć przed nieuprawnionym dostępem hasłem. Można to zrobić za pomocą aplikacji Narzędzie dyskowe.
Szyfrowanie dysku USB
Pierwszą decyzją, którą musisz podjąć, jest ustalenie, ile miejsca na dysku USB należy przeznaczyć na dane chronione hasłem. Generalnie dobrym rozwiązaniem jest zabezpieczenie wszystkich danych. W takim przypadku utwórz kopię zapasową dysku USB na pulpicie (po prostu przeciągnij i upuść wszystkie zapisane na nim pliki i foldery do osobnego folderu). Kopia zapasowa jest konieczna, ponieważ aby osiągnąć swój cel, będziesz musiał usunąć wszystkie dane z dysku flash.
Po utworzeniu kopii zapasowej uruchom Narzędzie dyskowe (znajdujące się w folderze /Applications/Utilities) i użyj go do ponownego sformatowania dysku USB. Po ponownym sformatowaniu system Mac OS X automatycznie utworzy nowy wolumin i nazwie go Bez tytułu. Możesz pozostawić tę nazwę bez zmian lub nadać jej dowolną inną nazwę według własnego uznania.
Dysk powinien być teraz zaszyfrowany. W tym kroku utworzysz na nim zaszyfrowany plik .dmg, który będzie wyglądał jak dysk przechowywany na dysku (może to wyglądać trochę zniechęcająco). Aby wykonać to zadanie, wróć do okna Narzędzia dyskowego i kliknij przycisk Nowy obraz. Natychmiast po kliknięciu przycisku Nowy obraz pojawi się okno dialogowe umożliwiające ustawienie różnych opcji dla tworzonego pliku .dmg. Pierwszą rzeczą, o którą powinieneś zadbać, jest wybór lokalizacji nowego pliku .dmg. Możesz utworzyć ten plik na pulpicie, a następnie przenieść go na dysk USB, ale możesz także utworzyć go bezpośrednio na dysku docelowym.
Po ustaleniu lokalizacji pliku .dmg możesz ustawić jego rozmiar. Chociaż Narzędzie dyskowe udostępnia szereg opcji tworzenia plików .dmg o predefiniowanych rozmiarach, które pasują do standardowych pojemności typowych nośników (CD, DVD itp.), istnieje duże prawdopodobieństwo, że nie będzie opcji odpowiadającej rozmiarowi swój dysk USB. Dlatego wybierz opcję Niestandardowy z listy rozwijanej Rozmiar woluminu. Oczywiście należy określić mniejszy rozmiar niż rzeczywisty rozmiar dysku fizycznego, ale dodatkowo należy wziąć pod uwagę również narzut związany z formatowaniem dysku. Na przykład na dysku flash USB o pojemności 2 GB maksymalny rozmiar pliku obrazu wynosił 1,7 GB.
Po ustaleniu lokalizacji i rozmiaru pliku .dmg należy określić typ obrazu, który ma zostać utworzony. W takim przypadku obraz musi nadawać się zarówno do odczytu, jak i zapisu, a jednocześnie być zaszyfrowany. Przykład ustawień opcji tworzenia zaszyfrowanego obrazu pokazano na rys. 3.41.
UNIKNĄĆ NIEPOROZUMIEŃ: Tworząc zaszyfrowany obraz, najpierw upewnij się, że po kliknięciu przycisku Nowy obraz żaden z dysków nie jest podświetlony (tj. nie jest wybrany). Jeśli wybrany zostanie którykolwiek z dysków, Narzędzie dyskowe spróbuje utworzyć obraz wybranego dysku zamiast tworzyć nowy, niezmieniony obraz. Jeśli jednak popełnisz ten błąd, nic strasznego się nie stanie – z wyjątkiem tego, że możesz otrzymać komunikat o błędzie Zasób zajęty.
Kliknij przycisk Utwórz, a Twoje zadanie będzie prawie gotowe. Mac OS X wyświetli monit o wprowadzenie i potwierdzenie hasła, po czym na dysku USB zostanie utworzony nowy zaszyfrowany obraz dysku.
ZALEŻY NA MAC OS X, ABY TWORZYĆ SWOJE HASŁA: Mac OS X zawiera wygodne narzędzie do generowania haseł - Asystent haseł (ryc. 3.42). Mac OS X może nie tylko ocenić wprowadzone hasło, ale także wygenerować dla Ciebie hasła o różnym poziomie odporności na pęknięcia. Kliknij przycisk klucza po prawej stronie pola Hasło, a system Mac OS X sprawdzi Twoje hasło. Kliknij przycisk z obrazem dwóch trójkątnych strzałek po prawej stronie pola Typ. Otworzy się lista opcji, z których możesz wybrać typ hasła.
Korzystanie z nowego obrazu
Zatem wszystkie prace przygotowawcze zostały już wykonane i pozostaje Ci tylko zacząć korzystać z nowego zaszyfrowanego dysku USB. Twój plik .dmg jest osadzony w napędzie USB niczym lalka lęgowa, ale na pulpicie pojawiają się jako dwa oddzielne woluminy. Aby umieścić plik na zaszyfrowanym obszarze dysku, przeciągnij go tam myszką, po czym możesz łatwo podróżować w dowolne miejsce z zaszyfrowanymi danymi. Gdy zajdzie potrzeba skopiowania danych z zaszyfrowanego dysku, podłącz dysk USB do komputera, otwórz załączony plik .dmg, wprowadź hasło (rys. 3.43), a będziesz mógł pracować z zaszyfrowanymi plikami.
