Una trampa estándar de cifrado de disco en Linux es la necesidad / arranque sin cifrar. Específicamente el gestor de arranque y initrd. Cifrar todo el disco significa ponerlos en otro lugar, por ejemplo, en una memoria USB.
editar: ahora he aprendido que grub ahora puede descifrar un sistema de archivos que contiene el kernel en el arranque, por lo que es solo el gestor de arranque el que debe desencriptarse en Linux
Tengo la impresión de que se "sabe" que FileVault implementa el cifrado de disco completo. Ciertamente creía que este era el caso. Esto es un poco difícil de demostrar sin un montón de enlaces a sitios externos. Un par de internos:
por fuerza bruta-a-toda-disco-encriptación y de todo el disco cifrado-with-a-windows-only-bootcamp
Y una pregunta existente que responde esencialmente a esta pregunta es-file-vault-2-whole-disk-encryption-or-Whole-Partition-encryption
Parece bastante claro que la bóveda de archivos funciona con granularidad de partición y que Apple usa una partición de arranque separada. No puedo encontrar ninguna evidencia que sugiera que la bóveda de archivos se pueda usar en la partición de arranque.
No entiendo cómo puede arrancar hasta ofrecer una solicitud de inicio de sesión si todo el disco está encriptado. ¿Qué me estoy perdiendo?
Como referencia, el sistema que me interesa utiliza apfs en lugar de cs y no tiene un chip T2.
fuente
Respuestas:
En el nivel más básico, Apple controla el firmware y almacena la información mínima absoluta necesaria para presentar la ilusión de que un sistema operativo se está ejecutando en la pantalla de inicio de sesión previo al inicio cuando FileVault está habilitado.
Esto está documentado ampliamente por Apple:
Antes del chip T2 que sirve como una especie de módulo de confianza para autenticar si el sistema operativo que se inicia está correctamente firmado / encriptado y / o no manipulado, esta información previa al arranque se puede almacenar en NVRAM, así como en EFI / recovery HD que no se cifran con una clave que necesita una contraseña de usuario / frase de contraseña para desbloquear el almacenamiento principal.
Cuando cambia el fondo o los usuarios que pueden desbloquear FileVault, estos datos almacenados en caché se guardan fuera de la parte cifrada del disco, por lo que se nos presentan los iconos y la pantalla de inicio de sesión gráfica. Cuando veo que Apple dice que el disco de inicio está encriptado, entiendo que solo significa el volumen lógico Macintosh HD que almacena todos los datos del usuario y todo el sistema operativo, pero no el firmware y los datos previos al arranque. (excepto el hardware habilitado para el chip T2, que son casos especiales y todavía no son la norma)
Puede confirmar esto con cualquiera de las recomendaciones a continuación en función de si su sistema operativo admite contenedores APFS y APFS, que es el nuevo estándar para volúmenes y cifrado o contenedores HFS + y Core Storage.
El otro cambio emocionante que está en progreso en relación con el chip T2 en el nuevo MacBook Pro y el iMac Pro es que puede aplicar el cifrado al almacenamiento interno, ya sea que alguien tome o no el segundo paso del cifrado de FileVault. Específicamente, generará una clave de cifrado y comenzará a cifrar todos los datos incluso antes de que se cree la cuenta de usuario. Una SSD de cualquiera de estos no será legible si se lleva a otra computadora, ya sea que la computadora tenga o no un chip T2. Las claves necesarias para descifrar todo el disco se almacenan únicamente en el Enclave seguro.
fuente
La partición de arranque no necesita estar en un dispositivo, también puede estar en la unidad (
Boot OS X
):fuente
disk0s2
ydisk1s2
son parte del volumen lógicodisk2
.