Ви можете почувати себе в безпеці, встановивши пароль у своєму обліковому записі Mac OS X, але насправді це швидше формальність; стримуючий фактор для людей з тимчасовим доступом до вашого комп'ютера. Цього буде достатньо, коли ви залишите свій комп'ютер вдома або візьмете напій у бібліотеці, але хтось із необхідними знаннями і невеликою кількістю часу все ж зможе отримати доступ до ваших даних.
По правді кажучи, пароль тільки утримує когось від входу і доступу до операційної системи, але ваш жорсткий диск не зашифрований подібним чином. З завантажувальним диском Ubuntu або встановленням жорсткого диска у зовнішній корпус користувачі, як і раніше, зможуть отримати доступ до всіх файлів на вашому комп'ютері.
Тільки вручну зашифрувавши файли на вашому жорсткому диску, ви зможете по-справжньому зберегти свої файли в безпеці. Ось де Mac OS X FileVault приходить.
Mac OS X FileVault 1 и 2
FileVault - це технологія, яку Apple пропонує для шифрування файлів на жорсткому диску. Після шифрування цих файлів за допомогою досить надійного алгоритму технічно неможливо отримати доступ до них будь-яким звичайним способом. Mac OS X випустила першу ітерацію FileVault з Mac OS X Panther (10.3). Тоді FileVault зашифровував домашні теки окремих користувачів тільки в одному великому файлі (рідкісний образ диска), використовуючи режими шифрування ланцюжка блоків (CBC). Починаючи з Mac OS X Lion (10.7), FileVault 1 - тепер званий Apple Legacy FileVault - був замінений FileVault 2.
FileVault 2, навпаки, шифрує весь завантажувальний диск безліччю файлів меншого розміру (рідкісні образи дисків). Він також замінює небезпечне шифрування CBC на режим XTS-AES 128 з використанням більш безпечного алгоритму шифрування. Таким чином, він має більш широке охоплення і більш безпечний. Це шифрування всього диска має деякі додаткові наслідки для безпеки, про які ви дізнаєтеся нижче.
Користувачі Legacy FileVault будуть повідомлені про різницю, якщо вони коли-небудь відвідають панель налаштувань FileVault в Mac OS X Lion або більш пізньої версії. Ви можете переключитися на FileVault 2, спочатку відключивши Legacy FileVault. Користувачі Mac OS X Lion або пізнішої версії, які почнуть використовувати FileVault, за замовчуванням будуть використовувати FileVault 2.
Штрафи за виконання
Оскільки FileVault постійно розшифровує дані вашого жорсткого диска, його використання призводить до деяких втрат продуктивності. Jason Discount від The Practice of Code перевірив FileVault 2 при першому запуску Max OS X Lion. Ми включили деякі деталі нижче, але ви можете перевірити повний пост для більш глибокого аналізу.
Ці тести виконуються на MacBook Air 2011 року (приблизно з моменту запуску Lion). Продуктивність введення-виведення з твердим статичним диском (SSD) в середньому становить близько 18%. Це не зневажливо мало, але з передачею даних по SSD все одно буде швидко, особливо порівняно зі старими жорсткими дисками. Якщо ви використовуєте звичайний жорсткий диск, це зниження продуктивності буде більш помітним, і ви повинні подумати, чи дійсно виграш у безпеці коштує витраченого на продуктивність.
Шифрування всього диска і поодиноке розблокування
Як вже згадувалося вище, FileVault тепер шифрує весь завантажувальний диск замість домашніх каталогів окремих користувачів. Після запуску весь диск розблокується шляхом входу в систему з авторизованим обліковим записом користувача. Це має як позитивні, так і негативні наслідки.
З іншого боку, немає ризику несумісності додатків. Після входу в систему весь диск розблокується, тому для програм, що працюють на вашому комп'ютері, він ніби взагалі не зашифрований. Тим не менш, диск залишається розблокованим до вимкнення. Іншими словами, якщо третя сторона отримає доступ до вашого комп'ютера після того, як диск буде розблоковано, теоретично вони можуть отримати доступ до ваших даних, навіть якщо ви вже вийшли з системи.
На додаток до використання FileVault рекомендується захистити комп'ютер паролем після бездіяльності. Mac OS X може попросити пароль відразу після сну або після заставки в розділі «Системні параметри» > «Безпека та конфіденційність» > «Загальні». Разом з «гарячими кутами», які можна знайти в «Системних параметрах» > «Робочий стіл і заставка» > «Заставка» > «Гарячі кути», ви можете активувати захищену паролем екранну заставку, якщо вам потрібно ненадовго відійти від комп'ютера.
Зверніть увагу, що хоча ця додаткова міра безпеки тримає багатьох зловмисників у страху, вона не блокує ваш жорсткий диск. Тільки повністю вимкне ваш комп'ютер.
Boot Camp і спеціальні налаштування дисків
FileVault 2 використовує стандартну конфігурацію диска Mac OS X: завантажувальний том Mac OS X з розділом відновлення. Останні параметри Mac OS X повинні поставлятися з цим розділом відновлення, але ви можете перевірити це, спробувавши завантажитися у відновлення. Перезавантажте Mac і утримуйте cmd + R, щоб відразу завантажити Recovery, або утримуйте alt, щоб переглянути список доступних параметрів завантаження. Якщо з якоїсь причини розділ відновлення більше не доступний на вашому Mac, вам не слід намагатися використовувати FileVault. Це може призвести до втрати даних.
Інші нестандартні параметри диска, такі як складніші налаштування RAID, стикаються з такими ж проблемами. Навіть якщо ви використовуєте Boot Camp, сумісність не гарантується. Деякі люди повідомляють про успіх, якщо вони налаштовують Boot Camp і встановлюють всі драйвери до включення FileVault, але майте на увазі, що сумісність не гарантується.
Як увімкнути FileVault
Перш ніж почати, зробіть резервну копію файлів на вашому Mac. Повне шифрування диска - це складний процес, і ви ніколи не знаєте, коли щось піде не так. У будь-якому випадку, дуже важливо мати резервну копію ваших даних. Ознайомтеся з рекомендаціями Джеймса Брюса про рішення для потрійного резервного копіювання в три резервних.
Відкрийте Системні параметри, перейдіть до розділу «Безпека та конфіденційність» та виберіть вкладку FileVault. Перш ніж ви зможете змінити ці параметри, вам потрібно розблокувати панель з вашою назвою користувача і паролем. Натисніть кнопку Увімкнути FileVault, щоб розпочати процес. Зауважте, що включення FileVault може зайняти деякий час, оскільки необхідно зашифрувати весь диск. Залежно від розміру і типу вашого диска це може варіюватися від півгодини до декількох годин.
Якщо на вашому комп'ютері декілька облікових записів, ви можете вибрати, які користувачі зможуть розблокувати диск після запуску. Автоматичний користувач повинен спочатку розблокувати диск після запуску, перш ніж будь-який неавторизований користувач зможе увійти в систему.
Далі ви отримаєте довгий буквено-цифровий ключ відновлення. Запишіть це (або помістіть у надійний менеджер паролів, наприклад LastPass) і міцно тримайтеся за нього, Якщо ви коли-небудь забудете свій звичайний пароль, це буде ключ резервного копіювання. Без цього ключа відновлення втрата пароля рівнозначна втраті всіх ваших даних.
При бажанні ви можете зберегти свій ключ відновлення в Apple. Якщо ви втратите ключ, ви можете зв'язатися зі службою підтримки Apple і отримати ключ, використовуючи свої питання безпеки. Вам все ще потрібно буде точно відтворити відповіді на ваші питання безпеки, інакше співробітники служби підтримки Apple також не зможуть отримати доступ до вашого ключа. Отримання цього ключа є додатковою функцією, тому може стягуватися плата.
Чи це спірно ви повинні прийняти Apple, на його пропозицію. Зрештою, безпечніше зберігати свій ключ при собі, але вам може знадобитися ця захисна сітка в майбутньому. У будь-якому випадку, ви повинні бути дуже обережні при виборі секретних питань секретне питання, секретне питання, тому що вони часто є найслабшою ланкою в мережі безпеки.
Після цього ваш Mac запропонує перезавантажити комп'ютер. Після перезавантаження Mac OS X почне шифрувати всі дані на вашому диску. Тим часом ви можете продовжувати використовувати свій Mac, але пам'ятайте, що продуктивність диска може знизитися.
Все зроблено!
Після перезапуску ви можете повернутися до параметрів FileVault, щоб перевірити процес шифрування, а також приблизний час завершення.
Ви використовували FileVault, або ви використовуєте інше рішення безпеки? Дайте нам знати, як ви захищаєте вашу установку в коментарях нижче!
