FileVault (читается как «файлволт») — система шифрования диска, встроенная в macOS .

В предыдущих версиях (вплоть до Mac OS X Snow Leopard ) шифровала только домашнюю папку пользователя, однако начиная с Mac OS X Lion позволяет шифровать весь диск целиком, включая системные файлы.

При шифровании используется алгоритм XTS-AES-128 с длиной ключа 256 бит . Ключ шифрования вырабатывается на основе пароля пользователя (алгоритм PBKDF2 , 1000 итераций ). Для защиты от утери пароля создается мастер-пароль, который следует записать и хранить в надежном месте. Опционально предлагается разрешить сброс пароля через серверы Apple (для этого потребуется войти в Apple ID ).

Начиная с версии Mac OS X Leopard, зашифрованная часть файловой системы хранится как Sparse Bundles (фрагментами по 8 МБ).

Критика

FileVault первой версии позволяет шифровать только домашний каталог. Для шифрования отдельных файлов или всего жесткого диска необходимо использовать программное обеспечение сторонних разработчиков.

Ключи шифрования хранятся в ОЗУ во время работы системы и могут быть получены сторонним ПО, физической атакой Cold boot attack , либо при помощи специального оборудования (например, устройство FireWire может скопировать пароль при помощи DMA ). Также пароли и ключи могут попадать в swap-файл (если отключена опция «Use secure virtual memory») или дамп памяти в случае «Safe Sleep» (переход в спящий режим при недостатке заряда батареи) .

FileVault 2.0

Mac OS X Lion и последующие версии ОС используют новый стандарт FileVault. Кроме улучшенного алгоритма шифрования (XTS-AES), увеличения быстродействия и поддержки внешних устройств, новая версия может зашифровать весь диск. Также добавлена новая функция — Instant wipe, позволяющая полностью удалить с компьютера ключи шифрования и безопасно стереть всю информацию на внутренних дисках.

Примечания

Ссылки

• — анализ работы FileVault // 23С3;
• — обзор FileVault 2.
• — обзор функций Mac OS X Lion, включая FileVault 2.