Що таке шифрування APFS і як воно працює?

Нікому з нас, мабуть, не хотілось би, щоб випадкова стороння особа сунула носа у наші конфіденційні файли. У цьому відношенні користувачі Mac можуть бути спокійні. macOS, як одна з найбезпечніших платформ, пропонує простий спосіб захисту цієї інформації від сторонніх. APFS, стандартна файлова система Mac, має вбудовану функцію, яка дозволяє шифрувати вміст диска, унеможливлюючи неавторизований доступ до захищеного таким чином сховища. Тут ви можете дізнатися більше про цю функцію та про те, як вона працює.

Останнє оновлення:
02 червня 2023

Час прочитання: 5 хв.

Що таке зашифрована APFS?

APFS (Apple File System, файлова система Apple) — це запатентована файлова система нового покоління, розроблена Apple. Вона використовується за замовчуванням у сучасних продуктах компанії, включно з комп'ютерами Mac під керуванням macOS 10.13 High Sierra та новіших її версій. Цей формат був розроблений з акцентом на безпеку та має вбудовану підтримку шифрування. Дані, що зберігаються в томі, зашифрованому APFS, кодуються за допомогою складних алгоритмів і не можуть бути прочитані тими, хто не має відповідних облікових даних. За умови введення правильного паролю або ключа, вміст тому розшифровується і стає доступний у звичайний спосіб.

Для цього APFS використовує схему AES-XTS із ключем довжиною 128 або 256 біт. Оскільки шифрування виконується на рівні файлової системи, APFS не потрібно загортати у якийсь додатковий рівень для захисту даних, на відміну від HFS+, попереднього формату за замовчуванням на Mac. До появи APFS це можна було зробити лише через CoreStorage – систему віртуальних томів, яка, по суті, відповідала за функціонал FileVault 2.

Зашифрувати можна будь-яке сховище у форматі APFS, починаючи з завантажувального диска Mac і закінчуючи різноманітними зовнішніми жорсткими дисками або твердотільними накопичувачами і USB флешками. Проте, залежно від типу запам'ятовувального пристрою та системи, до якої він належить, може йтись про два абсолютно різні варіанти шифрування:

  • Апаратне шифрування

Цей тип шифрування застосовується у внутрішніх сховищах комп'ютерів Mac на базі процесорів Intel із мікросхемами захисту Apple T2 і у моделях із процесорами Apple Silicon. У цьому випадку шифрування увімкнене одразу та прив'язане до певного пристрою. Такі комп'ютери Mac оснащено модулем Secure Enclave, який використовується для зберігання й обробки даних, пов'язаних із шифруванням, зокрема різних криптографічних ключів. Інформація в ньому захищена за допомогою передових апаратних технологій, які дозволяють ОС взаємодіяти з цим компонентом, але блокують доступ до фактичних "сирих" даних у ньому. Наразі не існує відомих методів отримання цих апаратних ключів. Це також унеможливлює перенесення зашифрованого диска з одного комп'ютера на інший.

  • Програмне шифрування

Програмне шифрування може бути застосоване до всіх зовнішніх накопичувачів, а також до внутрішніх накопичувачів комп'ютерів Mac, які не підтримують апаратне шифрування: в основному тих, які були випущені до 2017 року. У цьому разі для шифрування даних використовуються суто програмні механізми без залучення інформації, згенерованої апаратним забезпеченням. Кожен том шифрується за допомогою індивідуального секретного ключа (так званого ключа шифрування тому, Volume Encryption Key або VEK). Цей ключ зберігається у захищеному стані в метаданих контейнера APFS і закодований іншим ключем, який має назву Ключ шифрування ключа (Key Encryption Key чи KEK). Останній, у свою чергу, існує у кількох копіях, кожна з яких зашифрована окремим ключем на основі специфічного механізму захисту. Це дає змогу здійснити розшифровку та, таким чином, отримати доступ до тому у кілька способів:

  • Пароль користувача – визначений користувачем набір символів, який запитується щоразу, коли він входить в обліковий запис користувача Mac або намагається отримати доступ до зовнішнього пристрою, зашифрованого APFS.
  • Ключ відновлення – комбінація із 24 буквено-цифрових символів, що генерується автоматично, коли системний диск форматується у APFS (зашифрованій) або після активації FileVault. Ключ слід записати або роздрукувати та зберігати в безпечному місці, щоб мати змогу розшифрувати сховище у разі, якщо пароль користувача загубиться або перестане працювати.
  • Обліковий запис iCloud – обліковий запис, прив'язаний до комп'ютера Mac, завантажувальний диск якого захищено за допомогою FileVault або відформатовано у APFS (зашифрованій). Якщо обрати цю опцію під час налаштування шифрування, ключ відновлення прив'яжеться до облікового запису, щоб входу у нього було достатньо для розблокування сховища за відсутності пароля користувача. При цьому сам ключ не відкривається користувачеві.
  • Інституційний ключ відновлення – додатковий ключ, що встановлюється на корпоративних комп'ютерах Mac перед їх шифруванням, який дозволяє отримати доступ до будь-якого з них у разі, коли це неможливо зробити за допомогою особистого ключа відновлення користувача.

Таким чином, розшифрувати сховище зазвичай можна за допомогою пароля будь-якого дійсного користувача або одного з ключів відновлення. Проте всі ці деталі зберігаються як зашифрований текст у метаданих APFS. Отже, якщо певні критично важливі області сховища будуть пошкоджені у будь-який спосіб, більше не можна буде перевірити введені облікові дані та зробити вміст сховища знову доступними для читання, навіть якщо ці дані абсолютно вірні.

Як зашифрувати пристрій?

За винятком випадків апаратного шифрування, сама файлова система APFS не є зашифрованою за замовчуванням. Є кілька сценаріїв, за якими відбувається її шифрування:

  • Користувач може зашифрувати будь-який наявний несистемний диск через Finder або відформатувати його у APFS (зашифрована) за допомогою командного рядка чи Дискової утиліти.
  • Користувач може будь-коли відкрити "Параметри безпеки та конфіденційності" та увімкнути FileVault, щоб заблокувати доступ до завантажувального тому системи.
  • Системний том також можна зашифрувати під час встановлення macOS, якщо увімкнути відповідну опцію в Помічнику з налаштування.
  • У процесі переходу на APFS зашифрований том на базі HFS+ і застарілої технології CoreStorage автоматично конвертується у APFS (зашифрована).

Ця технологія підтримується наступними програмними продуктами:

* Апаратне шифрування передбачає використання механізмів фізичного захисту, які не можуть бути оброблені програмно, і тому не підтримуються програмним забезпеченням.