Основы системы защиты FileVault 2

Система FileVault 2 защищает весь системный диск путем его преобразования в формат Mac OS Extended (журнальный, зашифрованный), который использует шифрование по стандарту XTS-AES 128. Этот переход к схеме шифрования всего диска устраняет все ограничения старой версии FileVault, поскольку шифрование происходит на уровне драйвера файловой системы. Другими словами, большинство процессов и приложений даже «не знают», что диск зашифрован, поэтому работают как обычно. Раньше при использовании старой версии FileVault система и приложения не могли обращаться к содержимому зашифрованной домашней папки пользователя, когда тот выходил из системы. Также очевидно, что система FileVault 2, шифруя весь системный диск, обеспечивает лучшую защиту, чем старая версия. Более того, поскольку система FileVault 2 полностью поддерживается компанией Apple, изменения, вносимые в аппаратное и программное обеспечения, больше не будут приводить к проблемам совместимости.

Решение FileVault 2 компании Apple - это больше, чем просто новый формат диска; это система из новых технологий, которая позволяет компьютеру Mac перейти от стандартного системного диска к защищенному. Полное описание всех изменений, проводимых системой FileVault 2, выходит за рамки этой книги, отметим лишь основные технологии FileVault 2: бесшовное преобразование форматов томов, синхронизацию паролей учетных записей пользователей, защищенное хранилище ключей на серверах Apple для восстановления утерянных паролей, Lion Recovery для начального запуска системы и новое окно ввода пароля прошивки.

Со многими этими особенностями читатель встретится при загрузке с зашифрованного системного диска. Раньше процесс загрузки системы был традиционно прямолинейной задачей. Теперь же все переходит на новый уровень сложности, когда не удается напрямую прочитать системный загрузочный диск. Поэтому в компании Apple придумали способ проходить проверку подлинности и дешифровать защищенный системный диск при загрузке. В этом случае Mac на самом деле сначала загружается с раздела Lion Recovery HD и отображает пользователю окно входа в систему. Пользователь вводит пароль своей учетной записи, который затем используется для доступа к ключу расшифровки, с помощью которого выполняется разблокировка и расшифровка защищенного системного тома. Когда Mac получает доступ к системному тому, загрузка продолжается обычным путем с одним исключением: пользователь, который уже ввел свои учетные данные для разблокировки шифрования, автоматом войдет в систему под своей учетной записью.

Процесс загрузки FileVault 2 требует, чтобы системный диск содержал скрытый раздел Lion Recovery HD. Поэтому, если на системном диске нет скрытого раздела Lion Recovery HD, включить систему FileVault 2 нельзя. К счастью, ОС Lion делает невозможным случайное включение FileVault 2, если не соблюдено это требование. На следующем рисунке представлено диалоговое окно, которое отображается при попытке включить FileVault 2 на системном диске, на котором нет раздела Lion Recovery HD.

Дополнительная информация. Детали подготовки раздела Lion Recovery HD рассматривались в уроке 1.