Mac OS下FileVault encryption 使用原理与简介

1，原理与简介：

原理：

采用全磁盘、XTS-AES 128位高级加密标准 Advanced Encryption Standard进行加密

FileVault 2使用强大形式的分组密码链模式XTS，基于AES算法，XTS-AES-128 加密与 256 位密钥搭配使用，用于帮助防止他人在未经授权的情况下访问您启动磁盘中的信息。

软硬结合：

该功能在具有Apple T2安全芯片的Mac计算机上才支持，利用了芯片的硬件安全功能；Mac唯一ID（UID）和设备组ID（GID）在制造期间通过AES 256位密钥融合（UID）或编译（GID）到Secure Enclave中。没有软件或固件可以直接读取密钥。这些密钥只能由专用于Secure Enclave的AES引擎使用。此专用AES引擎仅提供其执行的加密或解密操作的结果。 UID和GID不能通过JTAG或其他调试接口使用。

发展过程：

Apple的FileVault加密程序最初是在OS X 10.3（Panther）中引入的，它只允许加密用户主文件夹。从OS X 10.7（Lion）开始，Apple重新设计了加密方案，并将其作为FileVault 2发布 - 该程序提供全盘加密以及更新，更强的加密标准。

 

2，特点：

自动直接地对主目录的内容进行加密和解密，后台执行，基本不影响操作；

FileVault加密技术打乱了硬盘驱动器上的数据，加密后可以阻止未授权的物理或者网络访问；

具有管理员权限的用户账户才能使用该加密功能；

除非拥有解密密钥或系统密码，否则数据基本上是不可恢复的。

对备份数据也会进行加密；

加密数据的备份可与Time Machine无缝协作，以创建自动备份集。

 

3，使用场景：

1，如果Mac丢失或被盗，加密Mac的硬盘驱动器可防止未经授权的数据访问——可以阻止拆硬盘后对数据的访问。即将硬盘驱动器取出，通过USB或其他方法将其连接到另一台计算机并读取文件时如果它已加密，则必须拥有“恢复密钥” ，否则数据不可读。

2，加密后可以阻止未授权的物理或者网络访问；

 

4，开启过程：

1，指导文档-https://support.apple.com/zh-cn/HT204837

2，可以通过打开“系统偏好设置”，选择“安全和隐私”，选择“FileVault”选项卡，然后单击“打开FileVault”按钮来启用FileVault，输入密码验证，开启后选择iCloud云存储或者自我备份解锁秘钥，完成后重启电脑，重新登录后可看见FileVault正在工作进行文件系统加密（加密过程约花3~5个小时）。

3，设置完成后并重新启动 Mac ，需要使用管理员帐户密码来解锁您的磁盘并让 Mac 完成启动。每次 Mac 启动时，文件保险箱都会要求管理员登录，并且不允许任何帐户自动登录。

4，终端下状态查看磁盘结构：
 

uliuss-iMac:~bit$ diskutil cs list



CoreStorage logical volume groups (1 found)

|

+-- Logical Volume Group 0CE17916-B724-4878-995C-E51CE7D87656

    =========================================================

    Name:         10.12

    Status:       Online

    Size:         248649048064 B (248.6 GB)

    Free Space:   18964480 B (19.0 MB)

    |

    +-< Physical Volume 06C6B764-87E3-4D0C-B5DF-D967A3AB8CD9

    |   ----------------------------------------------------

    |   Index:    0

    |   Disk:     disk0s4

    |   Status:   Online

    |   Size:     248649048064 B (248.6 GB)

    |

    +-> Logical Volume Family 7736E994-B1A9-410E-98AD-31E316833ED0

        ----------------------------------------------------------

        Encryption Type:         AES-XTS

        Encryption Status:       Unlocked

        Conversion Status:       Complete

        High Level Queries:      Fully Secure

        |                        Passphrase Required

        |                        Accepts New Users

        |                        Has Visible Users

        |                        Has Volume Key

        |

        +-> Logical Volume D741D74E-7D15-4CBB-9C04-09A4CAD11F79

            ---------------------------------------------------

            Disk:                  disk1

            Status:                Online

            Size (Total):          248277762048 B (248.3 GB)

            Revertible:            Yes (unlock and decryption required)

            LV Name:               10.12

            Volume Name:           10.12

            Content Hint:          Apple_HFS









liuss-iMac:~ bit$ diskutil list

/dev/disk0 (internal, physical):

   #:                       TYPE NAME                    SIZE       IDENTIFIER

   0:      GUID_partition_scheme                        *500.1 GB   disk0

   1:                        EFI EFI                     209.7 MB   disk0s1

   2:                  Apple_HFS Macintosh HD            249.9 GB   disk0s2

   3:                 Apple_Boot Recovery HD             650.0 MB   disk0s3

   4:          Apple_CoreStorage 10.12                   248.6 GB   disk0s4

   5:                 Apple_Boot Recovery HD             650.0 MB   disk0s5



/dev/disk1 (internal, virtual):

   #:                       TYPE NAME                    SIZE       IDENTIFIER

   0:                            10.12                  +248.3 GB   disk1

                                 Logical Volume on disk0s4

                                 D741D74E-7D15-4CBB-9C04-09A4CAD11F79

                                 Unlocked Encrypted

 

从获取的信息看，会生成一个内部交换的虚拟磁盘；

 

5，运行响应典型情况：

1，开机启动时，增加了一个解密过程，启动花费时间变长，登录窗口背景图消失，显示为未访问数据前的空白；即要使用FileVault 2加密的磁盘，必须首先获取管理员的授权。

2，设置完成后，本地数据较少的情况下，磁盘空间最少应该会多占用1G左右。

3，管理员登录的情况下，对外拷贝文件，拷贝完成后，该文件在其它设备上仍然可读可写，无加密影响。——个人理解，授权情况下，相当于取出来的内容不是加密的。

4，开启后的Mac使用过程中，没有发现对电脑性能降低有多少；

 

 

多用户：

管理员账户未登陆的情况下，guest账户只能使用有限制的功能（不能访问磁盘，只能使用Safari上网）。

标准账户，可以正常登录和使用，同管理员账户操作响应流程一致。

任何启用了FileVault 2的设备，在被非管理员帐户访问或使用之前必须由管理员对帐户解锁才能继续使用；

 

 

多系统：

多分区系统间相互无影响，不加密分区启动后，只会提示输入密码才能访问加密分区，切换到加密分区时，会要求输入一次密码才能进入启动该分区的流程。

 

外接设备：

1， FileVault支持使用AES-XTS数据加密算法来保护内部和可移动存储设备上的完整卷。——这里的可移动存储的加密，应该是类似系统盘加密一样，需要有个选中和加密处理的过程，直接使用不会自动加密。

2，加密完成后，管理员授权登录状态下，进行内外接磁盘的数据拷贝，外接设备上的存储不是加密状态，插入其它电脑可以直接读取。

 

6，风险与缺点：

由于10.13更新文件系统为APFS，旧版本的FileVault开启后进行系统升级，可能导致异常

FileVault 2本身无法阻止用户攻击系统或以其他方式泄露加密数据

启用FileVault 2会对大约20-30％的现代CPU的I / O性能产生负面影响，并且会显着降低旧处理器硬件的性能；

加密磁盘的加密密码与启用FileVault 2的用户管理密码相同。如果密码泄露，磁盘可能会被加密，数据可能会受到损害。

单个文件，文件夹或任何其他类型的数据无法进行即时加密。只有保存在本地磁盘或FileVault 2加密卷上的数据才可以完整加密。

在硬件故障或忘记帐户密码的情况下临时恢复数据变得有点棘手。如果出现硬件故障并且您丢失或忘记了“恢复密钥”，则数据将永远丢失。

 

7，FileVault 2的替代品：

主要是VeraCrypt，BitLocker，GnuPG，LibreCrypt和EncFS