Главная-Word-Что такое шифрование FileVault и стоит ли его использовать . Шифрование диска FileVault Mac, есть ли смысл

Что такое шифрование FileVault и стоит ли его использовать . Шифрование диска FileVault Mac, есть ли смысл

Вполне возможно, что ваш Мак хранит множество ценной и конфиденциальной информации, которой вы бы очень не хотели делиться с кем-то ещё. И вполне закономерно, что у вас возникнет желание защитить эту информацию от всех посторонних. Разумеется, одним лишь паролем на вход в учётную запись здесь отделаться не получится. Для решения подобной задачи необходимо применение шифрования информации. Именно шифрованию на Маках мы посвятим небольшой цикл статей, в котором рассмотрим различные платные и бесплатные решения для этой цели. Начнём мы с самого стандартного механизма шифрования — встроенной в Mac OS технологии FileVault.

Сразу скажем, что сфера применения FileVault узка — зашифровать можно только домашнюю папку пользователя. Для шифрования используется 128-битный ключ алгоритма AES , что обеспечивает весьма высокий уровень надёжности.

Всё устроено очень просто: FileVault создаёт специальный контейнер (зашифрованный образ диска ), копирует туда всю вашу папку пользователя, после чего удаляет оригинал. Вся информация, находящаяся в зашифрованном образе диска, становится доступной только тогда, когда пользователь входит в свой аккаунт . В остальное время она полностью защищена от посторонних глаз.

Отсюда следует первый и самый главный (для всего шифрования) вывод — ни в коем случае не забудьте пароль для шифрования , иначе все его достоинства обернутся против вас. Для защиты от амнезии в Mac OS X предусмотрен мастер-пароль, зная который, можно сбросить пароль у любой учётной записи, в т.ч. и от зашифрованной FileVault. Это спасёт вас от потери информации, если вы вдруг не сможете вспомнить пароль от своей учётной записи. Но если вы забудете и свой, и мастер-пароль, то со всеми зашифрованными данными можно смело прощаться раз и навсегда .

Перед включением FileVault обязательно учтите несколько важных особенностей:

1) Первичное шифрование идёт долго — оно может растянуться на несколько часов. Его продолжительность прямо зависит от количества и размера файлов в папке пользователя. Поэтому перед шифрованием постарайтесь перенести из папки пользователя всю музыку, все фильмы, все фотографии и всю остальную неконфиденциальную информацию в любое другое место на диске.

2) Привыкли к производительному шустрому Маку? Отвыкайте. FileVault заметно испортит быстродействие даже самого мощного Macintosh. Шифрование создаёт дополнительную постоянную нагрузку на процессор и жёсткий диск.

3) Многие новички удивляются, почему при удалении файлов место на диске не освобождается. Потом они обнаруживают, что нужно очистить Корзину. Если включён FileVault, то вы с удивлением обнаружите, что и после очистки Корзины свободное место на диске не появляется . Как уже говорилось, вся папка пользователя превращается в один образ. А его размер автоматически изменяется только в момент выхода из учётной записи, поэтому для возвращения свободного пространства вам придётся каждый раз завершать сеанс .

4) Опасность полной или частичной потери информации вырастает в разы . Поначалу это кажется абсурдным — ведь шифрование призвано защищать конфиденциальные сведения. Оно их действительно защищает — от взлома, но никак от сбоя диска . Подумайте сами — когда портится один из секторов диска, портится файл, частичка которого была записана на этом секторе. Вся ваша папка пользователя при включённом FileVault — это один файл. Представьте, что будет, если на дисковом пространстве, которое он занимает, произойдёт повреждение.

5) Привыкли пользоваться Time Machine ? После включения FileVault её возможности сильно поредеют. Например, вы больше не сможете восстановить через интерфейс Time Machine отдельный файл . А если вы попытаетесь восстановить всю систему, то готовьтесь к неприятным сюрпризам. Форумы Apple завалены жалобами пользователей, которые не могут войти в свой аккаунт после такой процедуры.

6) Включить FileVault легко, а вот выключить его обратно не всегда получается . Частенько система выдаёт ошибку при попытке отключить шифрование. И частенько эта ошибка приводит к невозможности зайти в свой аккаунт в дальнейшем.

Само собой, эти шесть пунктов вовсе не призваны вас отговорить от включения шифрования. Но, согласно закону Мёрфи, если какая-то гадость имеет шанс случиться, то она случится в самый неподходящий момент.

FileVault — не лучший вариант для шифрования. Его единственное достоинство — полная встроенность в систему.

Итак, если вы взвесили все «за» и «против», то приведем инструкцию по включению FileVault.

1) В Системных настройках выбираете пульт Безопасность . Переходите на вкладку FileFault и нажимаете кнопку Включить FileVault .

2) C вас спросят пароль администратора. После этого вам будет предложено создать мастер-пароль (если вы это не сделали ранее). Ещё раз напоминаем — если вы потеряете и мастер-пароль, и пароль от учётной записи, то расшифровать информацию будет невозможно.

3) Потом вас снова заставят ввести пароль администратора, после чего появится последнее предупреждающее окно:

Обратите внимание на имеющиеся настройки: Использовать надёжное стирание дополнительно увеличит время шифрования, а Использовать защищённую виртуальную память заставит FileVault шифровать не только ваши, но и временные системные файлы, временно скидываемые на диск. Как это скажется на производительности компьютера — объяснять смысла не имеет.

4) Если после всех этих вопросов и предупреждений вы не передумали, нажимайте Включить FileVault . Система завершит сеанс и начнётся шифрование, во время которого компьютер лучше не тревожить (и тем более не выключать!). Когда всё закончится, вы обнаружите, что значок вашей папки пользователя с привычного домика поменялся на стальной сейф. Больше никаких заметных изменений (ну кроме жутких тормозов системы по любому поводу;) вы не заметите.

Отключение FileVault происходит примерно так же, через вкладку FileVault пульта Безопасность.

P.S. Повторимся — мы бы не рекомендовали включать вам FileVault сразу. Для начала прочитайте остальные статьи нашего цикла, следующая из которых будет посвящена бесплатной программе TrueCrypt .

Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть – FileVault. О нем мы сегодня и поговорим.

Что такое FileVault

FileVault – это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.

Как ни странно, но функция работает достаточно просто – все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.

Как работает FileVault

При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.

После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).

Почему стоит использовать FileVault

Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля – лишь вопрос времени. 
В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана и уже встроена в систему, что говорит о полной интеграции с системой.

Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.

Какие есть недостатки

  • Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
  • Нельзя восстановить данные, если забыты пароль и ключ восстановления.
  • В случае поломки накопителя данные также будут утеряны навсегда.
  • Зашифрованные копии Time Machine не позволяют восстановить конкретный файл, а только копию целиком.

Как настроить FileVault


Осталось перегрузить наш Mac. Сразу после этого будет выполняться фоновое шифрование, при этом компьютером можно будет пользоваться без ограничений.

FileVault 2 — встроенная функция защиты ваших данных. Это чуть ли не единственный способ надежно защитить ваши документы при потере или кражи ноутбука. FileVault 2 шифрует весь ваш жесткий диск с помощью алгоритма XTS-AES 128 и единственный способ получить доступ к информации — узнать или подобрать пароль.

В прошлой части мы рассмотрел и зачем включать FileVault и насколько важна эта функция (), поэтому повторятся наверно не будем, а уделим максимум внимания настройке.

Что надо для включения FileVault 2

Функция шифрования всего жесткого диска FileVault 2 появилась относительно недавно, только в операционной системе Mac OS Lion (10.7). До этого пользователям предлагали шифровать данные с помощью менее совершенной функции- FileVault, без приставки 2. Разница между ними, на первый взгляд не так велика, FileVault прошлых версий шифрует только домашнюю папку пользователя, не затрагивая программы, системные папки и прочее, файлы которые лежат в корне диска, в то время как FileVault 2 шифрует весь диск. Сначала надо ввести пароль пользователя, чтобы началась загрузка системы.

Но это только на первый взгляд разница не велика, на самом деле с шифрованный диск надежнее защищает поскольку в таких папка как:

  • /private/var/log — папка логов (система сюда пишет то что с ней происходит)
  • /Library/Keychains — системная связка ключей. (Тут система хранит общие пароли, к примеру пароль на Wi-Fi)
  • /Library/Logs - папка логов (сюда программы складывают свои логи)
  • /Library/Application Support — папка где программы хранят свои данные. Иногда можно найти интересные вещи.
  • Да и много других файлов и папок несут конфиденциальные данные, которые не должны попасть в чужие руки.

В этих папках можно найти информацию про включение/выключение компьютера, ошибки ядра системы, подключенные Wi-Fi сети, логи программ, данные программ, какие программы установлены и когда они запускались, да и много других данных начиная от в каких странных вы бывали и заканчивая какие DVD диски смотрите. Неприятная картина, не так ли?

Полностью зашифровать жесткий диск — не проблема, но как компьютер будет запускаться если весь жесткий диск зашифрован ? Что будет его расшифровывать? Эта функция легла на «плечи» Recovery HD — отдельного радела диска который отвечает за многие функции начиная от переустановки системы и первой помощи при проблемах с Mac OS, заканчивая расшифровкой жесткого диска при включенном FileVault 2.

Итак: благодаря именно Recovery HD стала возможно зашифровать жесткий диск целиков, соответственно системные требования для FileVault 2 — Mac OS Lion или новее. И обязательно у вас должен стоять пароль администратора. ()

Как включить FileVault 2?

Включить эту функцию нам, как и всегда, помогут системный настройки.

1) Зайдите в левом верхнем углу Яблоко->Системные настройки->Защита и безопасность

2) Перейдите на вкладку FileVault и нажмите кнопку «Включить FileVault»

3) После чего вам будет предложено выбрать пользователей которые могут расшифровывать диск. На этот пункт надо обратить особое внимание, поэтому давайте его разберем чуть подробнее.

На картинке снизу пользователю Apple разрешено расшифровывать диск, а пользователь Raid этого делать не может. Это означает что включить компьютер или вывести из режима глубокого сна может только пользователь Apple. А Raid сможет войти в свою учетную запись только после того как войдет Apple.

Вам понадобится ввести пароль и/или попросить другого пользователя ввести пароль для всех учетных записей, которым вы хотите разрешить разблокирование FileVault 2.

4) После назначения пользователей которые могут расшифровывать диск, компьютер выведет на экран ключ восстановлени я .

Этот ключ вам может понадобится если вы забудете пароль от учетной записи, он поможет расшифровать диск. Его вы можете распечатать, отправить в Apple или выделить и скопировать этот ключ для дальнейшего использования в электронных документах. Хотим напомнить хранить этот ключ локально на вашем компьютере не имеет смысла, для этих целей вы можете воспользоваться флеш памятью, диском или любым другим носителем. Мы рекомендуем сохранить ключ как на сервере Apple так и в печатном или электроном виде, поскольку Apple точно не потеряет ключ, но и восстановит ь его будет не так то просто, через Apple. Но об этом чуть позже, для начала рассмотри м как сохранить ключ восстановлени я на сервер Apple:

а) Нажмите продолжить после вывода ключа на экран (пункт 4 инструкции)

б) Выберите пункт «Хранить ключ восстановления в Apple, как показано на картинке снизу.

в) После чего вам понадобится выбрать секретные вопросы и ответить на них. Важно (!) отвечайте на вопросы с максимальной точностью, поскольку ваш ключ, перед отправкой в Apple, зашифруется вашими ответами . И если вы захотите восстановит ь пароль, то ввести ответы надо будет в точности до буквы.

г) Нажмите на кнопку «Продолжить»

5) Ваш компьютер перегрузится, запросит пароль администратора и продолжит работу, но с уже зашифрованным диском.

Сколько времени будет шифроваться диск с помошью FileVault 2?

Время шифрования диска зависит от многих параметров, таких как скорость передачи данных вашего носителя- SSD зашифруется быстрее чем HDD, частота процессора, а главное объём информации который у вас уже есть на компьютере. Для примерной ориентации приведем пример — компьютер на штатном винчестере (Seagate со скоростью вращения шпинделя 5400 об/мин) с занятой информации около 300 гб шифровался 6 часов.

Но спешим обрадовать — FileVault 2, в отличии от более ранне й версии FileVault’а позволяет работать во время шифрования диска т.е. сразу после перезагрузки компьютера вы сможете работать без видимых торможений.

Посмотреть сколько осталось времени до полного завершения шифрования вы можете зайдя в Системные настройки->Защита и безопасность->FileVault, вы увидите прогрес с бар и счетчик времени.

Что делать если я забыл пароль от FileVault 2?

Если вы забыли пароль от зашифрованного диска FileVault 2 вам надо:

1) Включить компьютер

2) Ввести 3 раза неверный пароль (можете попробовать угадать пароль)

3) Под полем ввода пароля появится сообщение: «Если Вы забыли пароль, Вы можете… …сбросить его с помощью Вашего ключа восстановления». Нажмите на кнопку в виде треугольника

Повышенная безопасность данных в Apple Mac - один из важных критериев, по которым пользователи выбирают данную технику, по сравнению с аналогами. Хотя в последнее время все больше говорят о том, что для macOS появляются новые вредоносные программы, все же по сравнению с устройствами на Windows - показатель взломов и заражения вирусами на порядок ниже. Кроме того, MacBook, iMac, Mac mini и другие компьютеры намного лучше защищены от несанкционированного входа, взлома, подбора пароля и др.

FileVault включать или нет?

Для защиты данных на диске в системе macOS встроена специальная утилита шифрования FileVault (на данный момент версия 2). Работу программы можно упрощенно описать так: пароль входа шифруется алгоритмом XTS-AES-128 с 256-битным ключом, то есть вся информация хранится небольшими фрагментами по 8 Мб. Таким образом, подобрать пароль, даже имея физический доступ к Мак просто невозможно. В истории существовали прецеденты когда даже специализированные службы не могли получить доступ к информации, используя огромные вычислительные мощности.

Данная функция будет полезна всем, кто хранит на компьютере конфиденциальные данные, личную секретную информацию и др. В новых Mac оснащенных , безопасность входа еще более повышается, так как процедура входа обрабатывается без подключения к диску.

Как включить FileVault на Мак?

Для включения шифрования перейдите в «Системные настройки» - «Защита и безопасность» - «FileVault». Нажимаем замочек, чтоб разблокировать, включаем функцию и выбираем вариант сброса пароля. По умолчанию их всего два: с помощью Apple ID через iCloud, или с помощью сгенерированного ключа восстановления, который нужно обязательно запомнить/записать. После перезагрузки компьютера диск будет шифроваться «на лету».

Как отключить (остановить) FileVault? Опасность и недостатки шифрования

Для отключения FileVault перейдите в «Системные настройки» - «Защита и безопасность» - «FileVault». Разблокируйте настройку нажатием на замочек. Выберите «Выключить FileVault». Необходимо выждать некоторое время для дешифровки (не отключайте компьютер).

В случае с шифрованием данных, существует и обратная сторона медали. Несмотря на высокую безопасность, будьте готовы столкнуться и с недостатками данного вида защиты. Из самых безобидных - система может начать работать несколько медленнее. Второе, - если вы забудете, потеряете ключ восстановления пароля (и сам пароль) - войти в систему уже будет невозможно. Тоже самое произойдет, если диск повредится, в таком случае восстановить данные не получится. Ну и напоследок, при восстановлении системы из Time Machine, отдельный файл не получится восстановить, только полностью всю систему.

Выводы

FileVault – удивительная функция шифрования диска, которая имеется в Mac OS X. Когда она включена, то шифрует все содержимое диска, а также активно шифрует и расшифровывает данные буквально на лету, то есть все вновь созданные данные или документы будут немедленно зашифрованы. Это быстрый и невероятно безопасный способ, использующий шифрование XTS-AES 128, что позволяет эффективно скрывать все данные от посторонних глаз.

Используете ли Вы FileVault?

FileVault является превосходным и легким в ходе использования ПО, он предлагает некоторые преимущества дополнительной безопасности, но не всегда. Большинству людей просто не нужен этот уровень безопасности, а также для многих пользователей простой зашифрованный образ папки для хранения важных файлов часто является лучшим решением. Использовать FileVault или нет, полностью зависит от вас и ваших индивидуальных потребностей в области безопасности, но перед принятием решения учитывайте два следующих замечания:

Во-первых, если вы потеряете свой пароль и резервные копии ключей восстановления, ваши данные будут потеряны навсегда. Это означает, что ваши файлы могут стать недоступны для дальнейшего использования. Это все потому, что шифрование FileVault настолько мощно, что никто не сможет расшифровать его за разумный временной период (для нас с вами 100 000 лет – это слишком большой срок). Вы можете выбрать сохранение ключа восстановления резервного копирования от Apple, что незначительно сглаживает риск, но такая опция доступна не всегда. Другими словами, если вы забывчивы и часто теряете вещи, FileVault, вероятно, не для вас.

Во-вторых, из-за того, что FileVault использует метод шифрования на лету, это может привести к снижению производительности на некоторых компьютерах Mac. Это особенно актуально для старых моделей компьютеров Mac с более медленными жесткими дисками. По этой причине FileVault лучше всего использовать на новых устройствах, а именно на тех, которые оснащены быстрыми жесткими дисками SSD. SSD достаточно быстры, так что вы не будете ощущать разницу в основном по производительности, тогда как старые 5400rpm диски могут работать с некоторой задержкой, особенно при доступе к большим файлам. Если вы действительно хотите получить высокую производительность и отличный уровень шифрования диска, FileVault – это еще один повод перейти на SSD, которые становятся все более доступными и продаются в большом количестве вариантов исполнения.

Если вы чувствуете себя удобнее с назначенным паролем и ключом восстановления, имеете быстрый Mac с хорошей производительностью, а также ощущаете, что нуждаетесь в максимальной безопасности вашего Mac с высоким уровнем шифрования диска, запускайте FileVault в OS X .

Как включить шифрование FileVault

Включение шифрования диска через FileVault в Mac OS X очень просто:

  • В меню Apple откройте системные настройки и перейдите в раздел «Безопасность и Конфиденциальность»
  • Выберите «FileVault» и нажмите на иконку блокировки в нижнем левом углу, а затем введите пароль администратора
  • Затем нажмите кнопку «Запустить FileVault», чтобы начать процесс установки
  • Дополнительно: если Mac используется несколькими людьми и под разными учетными записями, вам необходимо индивидуально включать доступ FileVault для каждого пользователя, введя персональный пароль, чтобы пользователи не смогли расшифровать файлы на диске — в противном случае, они получат доступ к вашим файлам
  • ВАЖНО: Запишите ключ восстановления и храните его в надежном месте. Это единственный способ восстановления доступа к Mac, если вы забыли пароль. После этого нажмите кнопку «Продолжить»
  • РЕКОМЕНДУЕТСЯ: Выберите «Сохранить ключ восстановления Apple» и ответьете на три вопроса, это своего рода запасной план в случае утери ключа восстановления, он позволяет связаться со специалистами Apple и получить этот ключ от них
  • По окончании ответов на вопросы и записи ключа восстановления в безопасном месте нажмите «Restart», чтобы начать процесс шифрования диска

Ключ восстановления FileVault – это 24-символьный буквенно-цифровой пароль, который позволяет расшифровать диск в том случае, если вы забыли пароль. Его просто необходимо хранить в надежном месте, так как типичные способы извлечения забытых паролей работать не будут, а иначе и невозможно получить доступ к данным на диске. Было бы хорошей идеей хранить все это где-нибудь в доступном месте, типа сейфа, в дополнение к безопасному месту в виртуальном мире. Это может быть защищенный паролем ZIP файл в учетной записи веб-письма, отправленного на свой адрес, или в другом месте с несколькими уровнями безопасности, в виде набора случайных чисел. Только не создавайте слишком простые пароли.

Для максимально возможной безопасности выберите «Не хранить ключ восстановления с Apple». Это допустимо, но для среднестатистического пользователя это, вероятно, не очень хорошая идея. Таким образом, для подавляющего большинства обычных пользователей Mac без невероятно высокой потребности в области безопасности, вам лучше хранить ключи восстановления с Apple.

После начальной перезагрузки все будет происходить очень медленно, в то время как жесткий диск и все содержимое будут шифроваться. Лучшее, что можно сделать, это просто оставить все как есть и не использовать компьютер. Перезагрузка, кажется, занимает 5-15 минут на каждые 50 ГБ используемого пространства на диске, в зависимости от скорости привода Mac.

Проверка прогресса шифрования FileVault

Вы можете проверить ход шифрования, возвращаясь к безопасности и конфиденциальности в панели предпочтений и смотря на «FileVault» на вкладке.

Если вы пытаетесь найти конкретный идентификатор процесса, прилагаемого к шифрованию и дешифрованию, он в действительности не существует, а весь процесс запускается под «kernel_task», который является ядром Mac OS X, выполняющим ​раоту с обеих сторон.

Отключение шифрования FileVault

Решили, что FileVault не для вас? Вы, конечно, не одиноки, и, к счастью, выключить FileVault очень просто, единственное, что вам нужно, это пароль администратора. Следуйте данным инструкциям:

  • Зайдите в System Preferences из меню Apple и выберите «Security & Privacy» в панели управления
  • Зайдите в раздел «FileVault» на вкладке, а затем щелкните значок замка в углу, чтобы разблокировать «Избранное»
  • Нажмите кнопку «Выключить FileVault»

FileVault покажет индикатор прогресса его расшифровывания приводом, а также обеспечит приблизительное время завершения. Как правило, пока он зашифровывает диск, время может варьировать от 10 минут до более чем 2 часов, в зависимости от размера диска, привода и скорости Mac. Лучше просто дайте программе сделать свое дело, хотя вы можете использовать ваш Mac, если вы хотите. Но производительность может немного снизиться, и Mac может чувствовать себя вялым со всеми дисками и процессором деятельности.

FileVault и общие меры предосторожности

Хотя FileVault невероятно безопасный, это не значит, что он становится заменой традиционным мерам безопасности. Всегда помните, что следует заблокировать ваш Mac, когда он не используется, и всегда защищать паролем Mac с заставкой и паролями при входе в систему и при загрузке системы. Поэтому резервное копирование данных невероятно важно, оно также может быть хорошей идеей для шифрования внешних накопителей и для защиты резервных копий Time Machine, особенно если они хранят конфиденциальные данные или документы от ранних версий Mac. Очевидно, что нет никакой пользы в том, чтобы иметь полностью защищенный Mac ранней версии, резервные копии системы на котором будут открыты для всех, так что каждый сможет их досконально изучить. Это все необходимо для обычного пользователя? Наверное, нет, но в конечном счете вы должны будете решить, что меры безопасности нужны для ваших конкретных потребностей.

Похожие публикации: