Većina korisnika Mac-a koristi lozinku za prijavu da zaštiti svoje podatke i datoteke od neovlaštenog pristupa. Međutim, da li je tako bezbedno kao što se obično veruje? Kako se ispostavilo, ne baš. Postoji mnogo načina na koje možete resetirati svoju lozinku, dajući vam mogućnost pristupa svim informacijama pohranjenim na vašem Macu. Međutim, postoji rješenje za ovaj problem - FileVault. Danas ćemo pričati o njemu.

FileVault je sistem za šifrovanje podataka koji koristi XTS-AES-128 algoritam sa 256-bitnim ključem za izuzetno visoku sigurnost. Sam ključ za šifriranje se generira na osnovu korisničke lozinke koristeći PBKDF2 algoritam. Sve informacije u budućnosti će biti pohranjene u fragmentima od 8 MB.

Čudno je da funkcija radi prilično jednostavno - svi podaci se kopiraju na šifriranu sliku diska, a zatim se brišu iz nezaštićenog prostora. Nakon što je početna obrada podataka završena, daljnji novi fajlovi će biti šifrirani "u hodu" u pozadini. Postoji podrška za Instant Wipe, koja vam omogućava da bezbedno izbrišete sve informacije na disku bez oporavka. Osim toga, ovaj alat pruža mogućnost šifriranja rezervnih kopija Time Machinea.

Kako funkcioniše FileVault

Tokom prvog podešavanja, radi zaštite od gubitka lozinke, kreira se ključ za oporavak, koji se mora zapamtiti, jer ako se kod izgubi, neće biti moguće oporaviti podatke. Alternativno, možete postaviti poništavanje lozinke koristeći svoj iCloud nalog.

Nakon što smo aktivirali FileVault, proces pokretanja računara se mijenja kako bi se osigurala sigurnost. Ako je ranije lozinka morala biti unesena nakon učitavanja naloga, sada se to dešava i ranije, što isključuje čak i potencijalnu mogućnost resetovanja korisničke lozinke bilo kojim od poznatih metoda (single User Mode, dizanje s eksternog medija i druge metode) .

Zašto koristiti FileVault

Korisnička lozinka je očito nedovoljna da osigura potpunu sigurnost i povjerljivost. Ako imate fizički pristup svom računaru, resetovanje lozinke je samo pitanje vremena. U slučaju šifriranja, možete biti sigurni da niko neće dobiti pristup podacima. Osim toga, uslužni program je razvijen i već ugrađen u sistem, što ukazuje na potpunu integraciju sa sistemom.

Još jedan plus je što se količina podataka prije i nakon enkripcije ne mijenja.

Koji su nedostaci

• FileVault enkripcija ima značajan utjecaj na performanse Maca.
• Ne možete oporaviti podatke ako ste zaboravili lozinku i ključ za oporavak.
• U slučaju kvara diska, podaci će također biti zauvijek izgubljeni.
• Šifrovane kopije Time Machine ne dozvoljavaju vam da vratite određenu datoteku, već samo cijelu kopiju.

Kako postaviti FileVault

Ostaje da ponovo pokrenemo naš Mac. Pozadinsko šifrovanje će se izvršiti odmah nakon toga, a računar se može koristiti bez ograničenja.

Većina korisnika Mac-a koristi lozinku za prijavu da zaštiti svoje podatke i datoteke od neovlaštenog pristupa. Međutim, da li je tako bezbedno kao što se obično veruje? Kako se ispostavilo, ne baš. Postoji mnogo načina na koje možete resetirati svoju lozinku, dajući vam mogućnost pristupa svim informacijama pohranjenim na vašem Macu. Međutim, postoji rješenje za ovaj problem - FileVault. Danas ćemo pričati o njemu.

Šta je FileVault?

FileVault je sistem za šifrovanje podataka koji koristi XTS-AES-128 algoritam sa 256-bitnim ključem za izuzetno visoku sigurnost. Sam ključ za šifriranje se generira na osnovu korisničke lozinke koristeći PBKDF2 algoritam. Sve informacije u budućnosti će biti pohranjene u fragmentima od 8 MB.

Čudno je da funkcija radi prilično jednostavno - svi podaci se kopiraju na šifriranu sliku diska, a zatim se brišu iz nezaštićenog prostora. Nakon što je početna obrada podataka završena, daljnji novi fajlovi će biti šifrirani "u hodu" u pozadini. Postoji podrška za Instant Wipe, koja vam omogućava da bezbedno izbrišete sve informacije na disku bez oporavka. Osim toga, ovaj alat pruža mogućnost šifriranja rezervnih kopija Time Machinea.

Kako funkcioniše FileVault

Tokom prvog podešavanja, radi zaštite od gubitka lozinke, kreira se ključ za oporavak, koji se mora zapamtiti, jer ako se kod izgubi, neće biti moguće oporaviti podatke. Alternativno, možete postaviti poništavanje lozinke koristeći svoj iCloud nalog.

Nakon što smo aktivirali FileVault, proces pokretanja računara se mijenja kako bi se osigurala sigurnost. Ako je ranije lozinka morala biti unesena nakon učitavanja naloga, sada se to dešava i ranije, što isključuje čak i potencijalnu mogućnost resetovanja korisničke lozinke bilo kojim od poznatih metoda (single User Mode, dizanje s eksternog medija i druge metode) .

Zašto koristiti FileVault

Korisnička lozinka je očito nedovoljna da osigura potpunu sigurnost i povjerljivost. Ako imate fizički pristup svom računaru, resetovanje lozinke je samo pitanje vremena. U slučaju šifriranja, možete biti sigurni da niko neće dobiti pristup podacima. Osim toga, uslužni program je razvio Apple i već je ugrađen u sistem, što ukazuje na potpunu integraciju sa sistemom.

Još jedan plus je što se količina podataka prije i nakon enkripcije ne mijenja.

Koji su nedostaci

• FileVault enkripcija ima značajan utjecaj na performanse Maca.
• Ne možete oporaviti podatke ako ste zaboravili lozinku i ključ za oporavak.
• U slučaju kvara diska, podaci će također biti zauvijek izgubljeni.
• Šifrovane kopije Time Machine ne dozvoljavaju vam da vratite određenu datoteku, već samo cijelu kopiju.

Kako postaviti FileVault

• Pokrenite "System Preferences".
• Idemo na stavku menija "Zaštita i sigurnost", a zatim na karticu "FileVault".
• Uklonite bravu pritiskom na bravu u donjem lijevom uglu.
• Odaberite "Enable FileVault".
• Ovdje moramo odabrati opciju resetiranja lozinke koja nam odgovara.
• U slučaju da smo odabrali ključ za oporavak, dobit ćemo kod koji se mora zapamtiti i čuvati na sigurnom mjestu.

Ostaje da ponovo pokrenemo naš Mac. Pozadinsko šifrovanje će se izvršiti odmah nakon toga, a računar se može koristiti bez ograničenja.

Kako kapacitet za skladištenje fleš diskova nastavlja da raste i cene padaju, naprotiv, oni postaju sve popularniji. Njihova sposobnost da prenesu značajne količine podataka na prenosivim USB diskovima je posebno atraktivna. Međutim, njihova prenosivost ima i lošu stranu - vrlo ih je lako izgubiti. Ovaj recept vam govori kako da zaštitite svoje povjerljive podatke od neovlaštenog pristupa ako izgubite USB fleš disk.Danas rijetko ko osporava pogodnost prijenosa podataka sa računara na računar na prenosivim USB fleš diskovima koji se mogu ponovo upisivati. Međutim, ova pogodnost ima i negativnu stranu - rizik po sigurnost osjetljivih podataka. Kapacitet prijenosnih medija raste, a oni sami postaju sve minijaturiziraniji. Ali što je uređaj manji, lakše ga je izgubiti. Ako se to dogodi, onda ne gubite samo sam uređaj i podatke pohranjene na njemu. U stvari, ako su vam ovi podaci vrijedni ili povjerljivi, propuštate informacije.

Istina, ako ipak izgubite svoj USB fleš disk, onda će u većini slučajeva onoga ko pronađe ovo malo čudo zanimati ne toliko vaši podaci koliko sam uređaj – kako bi na njemu pohranili svoje podatke. I ovdje treba napomenuti još jednu stvar. Koristite svoj USB fleš disk na Mac-u, a većina korisnika i dalje koristi Windows. Ako je vaš USB disk povezan sa Windows računarom, Windows će od vas zatražiti da ga formatirate, tako da korisnici Windowsa verovatno neće moći da čitaju vaše datoteke, čak i ako se pitaju šta je pohranjeno na mediju koji ste izgubili.

Ali problem je u tome što je pronalazač zaista zainteresovan za sadržaj vašeg fleš diska, a pritom ima na raspolaganju Mac. S druge strane, postoji i šansa da ostavite (zaboravite) svoj disk bukvalno pored Mac-a - tada će svaki korisnik koji slučajno prođe moći da ga poveže sa ovim Mac-om i, na primjer, čak uzme i kopira vaše podatke. Ovo je vrlo neugodan scenario, a da se stvari ne bi razvijale na ovaj način, nije dovoljno samo sačuvati svoj USB disk. Svi smo mi ljudi, a ljude karakteriše rasejanost i zaboravnost. Drugim riječima, nemate garanciju da nećete izgubiti operatera sa svojim dragocjenim podacima. Očigledno je da u ovom slučaju podatke treba zaštititi od neovlaštenog pristupa lozinkom. Ovo se može učiniti pomoću aplikacije Disk Utility.

Šifriranje USB diska

Prva odluka koju trebate donijeti je da shvatite koliko prostora na vašem USB disku treba dodijeliti za podatke zaštićene lozinkom. Obično je to dobro rješenje za zaštitu svih podataka. U tom slučaju, napravite rezervnu kopiju vašeg USB diska na radnoj površini (samo prevucite i ispustite sve datoteke i fascikle pohranjene na njemu u zasebnu fasciklu). Izrada sigurnosne kopije je neophodna jer morate izbrisati sve podatke sa fleš diska da biste postigli svoj cilj.

Nakon što napravite sigurnosnu kopiju, pokrenite Disk Utility (koji se nalazi u / Applications / Utilities) i koristite ga za ponovno formatiranje vašeg USB diska. Nakon preformatiranja, Mac OS X će automatski kreirati novi volumen i nazvati ga Untitled. Možete ostaviti ovo ime nepromijenjeno ili dodijeliti bilo koje drugo ime po svom ukusu.

Disk bi sada trebao biti šifriran. U ovom koraku, na njemu ćete kreirati šifriranu .dmg datoteku koja će izgledati kao disk koji se nalazi na disku (ovo može izgledati malo obeshrabrujuće). Da biste dovršili ovaj zadatak, vratite se u prozor Disk Utility i kliknite na dugme Nova slika. Odmah nakon što kliknete na dugme Nova slika, pojaviće se dijaloški okvir koji vam omogućava da postavite različite opcije za generisanu .dmg datoteku. Prva stvar o kojoj treba voditi računa je odabir lokacije vaše nove .dmg datoteke. Ovu datoteku možete kreirati na radnoj površini, a zatim je premjestiti na USB disk, ali je možete kreirati i direktno na ciljnom disku.

Nakon što je lokacija za .dmg datoteku postavljena, možete postaviti i njenu veličinu. Iako Disk Utility pruža niz opcija za kreiranje unaprijed definiranih veličina .dmg datoteka koje odgovaraju standardnim kapacitetima tipičnih medija (CD, DVD, itd.), velike su šanse da neće postojati opcija koja odgovara veličini vašeg USB medija . Stoga, odaberite opciju Custom sa padajuće liste Volume Size. Očigledno, trebali biste navesti manju veličinu od stvarne veličine fizičkog diska, ali osim toga, trebali biste uzeti u obzir i troškove formatiranja diska. Na primjer, na USB fleš disku od 2 GB, maksimalna veličina datoteke slike bila je 1,7 GB.

Nakon što odredite lokaciju i veličinu .dmg datoteke, morat ćete navesti tip slike za kreiranje. U ovom slučaju, slika mora biti i čitljiva i za pisanje i mora biti šifrirana. Primjer podešavanja opcija za kreiranje šifrirane slike prikazan je na Sl. 3.41.

IZBEGAVAJTE ZBUNU: Kada kreirate šifrovanu sliku, uverite se da kada pritisnete dugme Nova slika, nijedan disk nije označen (tj. nije izabran). Ako je bilo koji od diskova odabran, Disk Utility će pokušati stvoriti sliku odabranog diska umjesto da kreira novu, netaknutu sliku. Međutim, ako napravite ovu grešku, neće se dogoditi ništa strašno - osim što možete dobiti poruku o grešci zauzeto resursom.

Kliknite na dugme Kreiraj i vaš zadatak je skoro završen. Mac OS X će od vas zatražiti da unesete i potvrdite lozinku, nakon čega će se kreirati nova šifrirana slika diska na vašem USB disku.

OSLONITE SE NA POMOĆ MAC OS X-a ZA KREIRANJE LOZINKI: Mac OS X uključuje zgodan uslužni program za generisanje lozinki - Password Assistant (slika 3.42). Mac OS X ne samo da može procijeniti lozinku koju ste unijeli, već i generirati lozinke za vas s različitim stupnjevima otpornosti na pucanje. Kliknite na dugme sa ključem desno od polja Lozinka i Mac OS X će proceniti vašu lozinku. Kliknite na dugme sa dve trouglaste strelice desno od polja Type. Otvorit će se lista opcija iz kojih možete odabrati vrstu lozinke.

Korištenje nove slike

Dakle, svi pripremni radovi su već obavljeni, a sve što vam preostaje je da počnete koristiti svoj novi šifrirani USB disk. Vaša .dmg datoteka je ugniježđena u USB stick kao lutka za gniježđenje, ali na radnoj površini izgleda kao dva odvojena toma. Da biste postavili datoteku na šifrirano područje diska, prevucite je mišem, nakon čega možete sigurno putovati bilo gdje s šifriranim podacima. Kada treba da kopirate podatke sa šifrovanog diska, povežite USB disk sa računarom, otvorite priloženi .dmg fajl, unesite lozinku (slika 3.43) i moći ćete da radite sa šifrovanim fajlovima.

Povećana sigurnost podataka u Apple Mac-u jedan je od važnih kriterija po kojima korisnici biraju ovu tehniku, u odnosu na analogne. Iako se u posljednje vrijeme sve više govori o pojavi novih zlonamjernih programa za macOS, stopa hakova i virusnih infekcija je za red veličine niža u odnosu na Windows uređaje. Osim toga, MacBook, iMac, Mac mini i drugi računari su mnogo bolje zaštićeni od neovlaštenih prijava, hakovanja, pogađanja lozinki itd.

FileVault uključiti ili ne?

Za zaštitu podataka na disku, macOS ima ugrađeni uslužni program za šifriranje FileVault (trenutno verzija 2). Rad programa može se pojednostaviti na sljedeći način: lozinka za prijavu je šifrirana pomoću XTS-AES-128 algoritma s 256-bitnim ključem, odnosno sve informacije se pohranjuju u malim fragmentima od 8 MB svaki. Stoga je jednostavno nemoguće pogoditi lozinku, čak i uz fizički pristup Macu. Bilo je presedana u istoriji kada čak ni specijalizovane službe nisu mogle da pristupe informacijama koristeći ogromnu računarsku snagu.

Ova funkcija će biti korisna svima koji na računaru pohranjuju povjerljive podatke, lične tajne podatke itd. U novim opremljenim Mac računarima sigurnost prijave je još više poboljšana, jer se postupak prijave obrađuje bez povezivanja na disk.

Kako da omogućim FileVault na Macu?

Da omogućite šifriranje, idite na System Preferences - Security & Privacy - FileVault. Pritisnemo bravu za otključavanje, uključimo funkciju i izaberemo opciju za resetovanje lozinke. Prema zadanim postavkama, postoje samo dva od njih: korištenje Apple ID-a putem iClouda ili korištenje generiranog ključa za oporavak koji morate zapamtiti / zapisati. Nakon ponovnog pokretanja računara, disk će biti šifrovan u hodu.

Kako da onemogućim (zaustavim) FileVault? Opasnosti i nedostaci enkripcije

Da biste onemogućili FileVault, idite na System Preferences - Security & Privacy - FileVault. Otključajte postavku pritiskom na bravu. Odaberite Isključi FileVault. Morate sačekati neko vrijeme za dešifriranje (ne isključujte računar).

U slučaju enkripcije podataka, postoji loša strana novčića. Uprkos visokoj sigurnosti, budite spremni suočiti se s nedostacima ove vrste zaštite. Od najbezopasnijih, sistem može početi da radi malo sporije. Drugo, ako zaboravite, izgubite ključ za oporavak lozinke (i samu lozinku), biće nemoguće ući u sistem. Isto će se dogoditi ako je disk oštećen, u kom slučaju neće biti moguće oporaviti podatke. I na kraju, kada se sistem vraća iz Time Machine-a, ne može se vratiti zaseban fajl, već samo ceo sistem.

zaključci

Ja sam, kao i mnogi ljudi povezani sa administracijom sistema, pomalo paranoičan. Vjerujem da žele ukrasti moje podatke. Neka zaista budu nikome osim meni (“i mnogim uljezima koji spavaju i gledaju kako da dohvate moje fotografije, izbor muzike i filmova i...” - riječi su mog unutrašnjeg paranoika) i nisu potrebni, ali neće škoditi da se branim.

Šta se dešava ako se laptop ukrade?

Najjednostavniji slučaj je da će lopov odmah ponovo formatirati disk i instalirati čistu verziju operativnog sistema. Ostaje samo kupiti novi laptop, oporaviti se od Time Machinea i nastaviti raditi tiho. Ovaj scenario je tipičan za pametnog lopova koji zna za funkciju „Pronađi moj Mac“ i sistem Pray.

Ali postoji još jedan slučaj - lopov je ili glup ili radoznao. Ako je glup, počeće da koristi laptop bez dodirivanja sistema. Nedavna povijest hvatanja takvog lopova opisana je u članku "Zašto ne kradete od hakera". Završilo je loše za lopova i odlično za vlasnika laptopa.

Ako je lopov radoznao i pametan, odmah će isključiti mrežna sučelja kako sistem čak i slučajno ne bi otišao na internet i počet će proučavati šta bi moglo biti isplativo.

On će početi proučavati dokumente, pristupne ključeve, pokušati doći do Keychain-a, pogledati historiju komandi u ljusci i eventualno naići na lozinku (u mojoj praksi je bio slučaj kada je vrlo brz kolega u sesiji previše radoznali korisnik je unio administratorsku lozinku, ali je nije unio u polje za prompt lozinke, već samo u shell, a administratorska lozinka je ušla u .history). U kliničkom slučaju, lozinka može biti ista za sistem i za bazu podataka 1Password. Ne možete nastaviti dalje. A onda - ili prodor ili ucjena.

Nadam se da ne mislite da će traženje lozinke prilikom prijavljivanja nekoga zaustaviti? Lozinka za firmver (barem ranije) je resetirana fokusiranjem uklanjanjem jednog od nekoliko memorijskih stikova, a zatim brisanjem PRAM-a. Zatim - jednokorisnički način rada, par komandi i mijenja se lozinka. Ako ne želite da se petljate sa lozinkom za firmver, onda se disk vadi iz laptopa, povezuje sa drugim računarom i dobija se pristup svim podacima.

Za zaštitu od opisanih situacija implementiran je FileVault. U prvoj verziji, kućni direktorij korisnika bio je smješten u šifrirani kontejner (sparse bundle image), čiji je ključ bila korisnička lozinka. Bez poznavanja lozinke, kontejner se nije mogao otvoriti. Nije potrebno isključiti mogućnost pogađanja lozinke, ali ako je lozinka bila složena, onda su podaci bili potpuno sigurni.

Morate platiti sigurnost. Da biste napravili rezervnu kopiju svojih podataka na Time Machine, morali ste da se odjavite sa svog naloga. Nije bilo moguće izvršiti granularno vraćanje putem interfejsa Time Machine. Omogućavanje enkripcije ponekad je smanjilo performanse operacija datoteka za 50%. Bilo je i drugih manjih komplikacija.

OS X Lion uključuje poboljšanu verziju FileVaulta 2, sistema za šifriranje cijelog diska koji koristi XTS-AES 128 algoritam.

U procesu proučavanja problema, obratio sam se člancima MacFixIt "O FileVaultu 2 u OS X 10.7 Lion" i ArsTechnica "Promjene sistema datoteka u Lionu".

Oni koji žele razumjeti matematičke modele mogu pročitati dokument “IEEE P1619TM / D16 Standard za kriptografsku zaštitu podataka na blok-orijentisanim uređajima za skladištenje” i “Nisi tako ružan, XTS-AES”.

Particija sa EFI i Recovery HD ostaje nešifrovana:

$ diskutil list / dev / disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme * 160,0 GB disk0 1: EFI 209,7 MB disk0s1 2: Apple_CoreStorage 159,2 GB disk0s2 3: Apple_Boot Recovery0 disk003.

1. Nakon inicijalizacije hardvera, EFI pronalazi Recovery HD i prenosi kontrolu na /System/Library/CoreServices/boot.efi pokretački program koji se nalazi u ovom odjeljku.
2. Bootloader ima dvije opcije - pokrenite EfiLoginUI sa com.apple.boot.x i prikažete početni ekran tražeći lozinku za prijavu, ili, ako je pritisnuta Option-R, shell za vraćanje sistema sa com.apple.recovery.boot.
3. Ključevi za dešifriranje diska pohranjeni su u datoteci EncryptedRoot.plist.wipekey u direktoriju /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Korisnička lozinka dešifruje ključeve diska u ovoj datoteci. Zatim se pohranjuju u memoriju, a sadržaj diska se dešifruje "u hodu". Svaki put kada se promijeni korisnička lozinka, doda novi korisnik ili slične operacije, EncryptedRoot.plist.wipekey se ponovo generira.

FileVault takođe radi za korisnike koji se prijavljuju preko OpenDirectory — njihovi atributi pristupa se keširaju kada nema veze sa serverom direktorijuma.

Prema Anandtechovim testovima, performanse diska sa uključenim FileVault 2 ne degradiraju se za više od 20-30%, što je sasvim prihvatljivo. Međutim, treba imati na umu da postoji ovisnost o procesoru i disku. Novi Intel procesori koriste AES-NI skupove instrukcija da ubrzaju AES Intel® Advanced Encryption Standard Instructions (AES-NI) i pokreću enkripciju bolje od starijih Core 2 Duo procesora. Svako sam donosi odluku na osnovu svog gvožđa.

Ako je Mac ukraden, biće gotovo nemoguće dobiti pristup podacima (podložno složenoj lozinki i neočiglednim odgovorima na ključna pitanja o oporavku u Appleu). Samo morate kupiti novi Mac i ne brinuti previše o kompromitovanju lozinki i korištenju podataka.

Time Machine sada radi bez potrebe za odjavom. Sada morate sačuvati podatke Time Machine-a ili ih bolje smjestiti u šifriranu particiju (kako to učiniti opisano je u članku o Mac OS X Lion FileVault 2 i Time Machine External Drive Enkripciji).

Što se tiče „karaktera“ morate imati na umu da kada se pokrenete s pritisnutom opcijom, particija „Recovery HD“ neće biti dostupna; da biste se pokrenuli s nje, trebate držati pritisnutu kombinaciju tipki Command-R.

Aktivacija

Aktivacija FileVault 2 je jednostavna. Sistemske postavke / Sigurnost i privatnost / FileVault, kliknite na zaključavanje da izvršite promjene, uključite FileVault. Neophodno je da sačuvate ključ i odgovore na pitanja za oporavak ključa (ako odlučite da ga sačuvate u Apple) na sigurnom i uvek šifrovanom mestu. Sistem će od vas zatražiti da ponovo pokrenete sistem. Odmah nakon pokretanja, od vas će biti zatraženo da unesete lozinku i nakon prijave možete odmah raditi. Nema potrebe čekati satima da se enkripcija particije završi, ova operacija se izvodi u pozadini dok radite u potpunosti:

Pokretanjem iCloud-a bit će moguće "Find My Mac", u kojem, po analogiji sa "Find My iPhone / iPad", kada se Mac pojavi na mreži, možete prikazati poruku sa zvučnim signalom, zaključati Mac ili čak uništiti sadržaj šifriranog diska (mogu pretpostaviti da ključevi za šifriranje i disk postaju beskorisna masa podataka).