تشفير وحدة التخزين باستخدام خزنة الملفات في macOS
توفر أجهزة كمبيوتر Mac ميزة خزنة الملفات، وهي إمكانية تشفير مضمنة لتأمين جميع البيانات غير النشطة. يستخدم خزنة الملفات خوارزمية تشفير البيانات AES-XTS لحماية وحدات التخزين الكاملة على أجهزة التخزين الداخلية والقابلة للإزالة.
يتم تنفيذ خزنة الملفات على أجهزة كمبيوتر Mac المزودة بسيليكون Apple باستخدام حماية البيانات من الفئة C مع مفتاح وحدة تخزين. على Mac مزود برقاقات Apple وشريحة Apple T2 الأمنية، تعمل أجهزة التخزين الداخلية المشفرة المتصلة مباشرةً بـ Secure Enclave على الاستفادة من الإمكانات الأمنية في المكونات المادية وكذلك الخاصة بمحرك AES. بعد قيام المستخدم بتشغيل خزنة الملفات على Mac، تكون بيانات الاعتماد الخاصة به مطلوبة أثناء عملية التمهيد.
ملاحظة: بالنسبة إلى أجهزة كمبيوتر Mac (1) قبل تلك المزودة بشريحة T2 أو (2) مزودة مساحة تخزين داخلية لم يتم توفيرها في الأصل مع Mac أو (3) مزودة بمساحة تخزين خارجية: بعد تشغيل خزانة الملفات، تُشفَّر جميع الملفات الموجودة وأي بيانات أخرى مكتوبة. لا تُشفَّر البيانات التي تمت إضافتها ثم حذفها قبل تشغيل خزانة الملفات وقد تكون قابلة للاسترداد باستخدام أدوات استرداد البيانات الجنائية.
تشغيل التخزين الداخلي باستخدام خزنة الملفات
بدون بيانات اعتماد تسجيل دخول صالحة أو مفتاح استرداد تشفير، تظل وحدات تخزين APFS الداخلية مشفرة ومحمية من الوصول غير المصرح به حتى إذا تمت إزالة جهاز التخزين الفعلي وتوصيله بكمبيوتر آخر. في macOS 10.15، يتضمن ذلك كلاً من وحدة تخزين النظام ووحدة تخزين البيانات. بدءًا من macOS 11، تتم حماية وحدة تخزين النظام بوحدة تخزين النظام المُوقّعة (SSV)، ولكن تظل وحدة تخزين البيانات محمية بالتشفير. يتم تنفيذ تشفير وحدة التخزين الداخلية على أجهزة كمبيوتر Mac المزودة بسيليكون Apple وكذلك المزودة بشريحة T2 من خلال إنشاء وإدارة تسلسل هرمي للمفاتيح، والبناء على تقنيات تشفير المكونات المادية المضمنة في الشريحة. تم تصميم هذا التسلسل الهرمي للمفاتيح لتحقيق أربعة أهداف في وقت واحد:
طلب كلمة سر المستخدم لفك التشفير
حماية النظام من الهجوم بقوة غاشمة مباشرةً مقابل وسائط التخزين التي تمت إزالتها من الـ Mac
توفير طريقة سريعة وآمنة لمسح المحتوى عن طريق حذف مواد التشفير اللازمة
تمكين المستخدمين من تغيير كلمات السر الخاصة بهم (وبدورها مفاتيح التشفير المستخدمة لحماية ملفاتهم) دون الحاجة إلى إعادة تشفير وحدة التخزين بأكملها
على أجهزة Mac المزودة برقاقات Apple وتلك المزودة بشريحة T2، تحدث جميع عمليات معالجة مفاتيح خزنة الملفات في Secure Enclave؛ لا تُكشف أبدًا مفاتيح التشفير لوحدة معالجة Intel المركزية مباشرة. بشكل افتراضي، يتم إنشاء جميع وحدات تخزين APFS باستخدام مفتاح تشفير وحدة تخزين. يتم تشفير محتويات وحدة التخزين وبيانات التعريف باستخدام مفتاح تشفير وحدة التخزين هذا، الذي يتم تغليفه بمفتاح تشفير المفاتيح (KEK). وتتم حماية مفتاح تشفير المفاتيح (KEK) بتركيبة من كلمة سر المستخدم ومعرف UID للمكونات المادية عند تشغيل خزنة الملفات.
إيقاف التخزين الداخلي باستخدام خزنة الملفات
إذا لم يكن خزنة الملفات قيد التشغيل على Mac مزود بسيليكون Apple أو Mac مزود بشريحة T2 أثناء عملية مساعد الإعداد الأولية، تظل وحدة التخزين مشفرةً ولكن مفتاح تشفير وحدة التخزين لا يكون محميًا إلا بواسطة معرف UID للمكونات المادية في Secure Enclave.
إذا تم تشغيل خزنة الملفات لاحقًا—وهي عملية تكون فورية لأنه قد تم تشفير البيانات بالفعل—فإن آلية مكافحة إعادة التشغيل تساعد على منع استخدام المفتاح القديم (استنادًا إلى معرف UID للمكونات المادية فقط) لفك تشفير وحدة التخزين. ومن ثم تتم حماية وحدة التخزين بتركيبة من كلمة سر المستخدم ومعرف UID للمكونات المادية كما هو موضح سابقًا.
حذف وحدات تخزين خزنة الملفات
عند حذف وحدة تخزين، يتم حذف مفتاح تشفير وحدة التخزين الخاص بها بشكل آمن بواسطة Secure Enclave. وهذا يساعد على منع الوصول في المستقبل باستخدام هذا المفتاح حتى بواسطة Secure Enclave. بالإضافة إلى ذلك، يتم تغليف جميع مفاتيح تشفير وحدات التخزين بمفتاح وسائط. لا يوفر مفتاح الوسائط سرية إضافية للبيانات، ولكنه بدلاً من ذلك تم تصميمه لتمكين الحذف السريع والآمن للبيانات لأنه بدونه يكون فك التشفير مستحيلاً.
على أجهزة Mac المزودة برقاقات Apple وتلك المزودة بشريحة T2، يكون مسح مفتاح الوسائط بواسطة تقنية Secure Enclave المدعومة أمرًا مضمونًا، على سبيل المثال بواسطة أوامر MDM عن بُعد. ويؤدي مسح مفتاح الوسائط بهذه الطريقة إلى جعل وحدة التخزين غير قابلة للوصول إليها بطريقة مشفرة.
أجهزة التخزين القابلة للإزالة
لا يستخدم تشفير أجهزة التخزين القابلة للإزالة الإمكانات الأمنية في Secure Enclave، ويتم تنفيذ تشفيرها بنفس الطريقة المستخدمة في أجهزة كمبيوتر Mac المستندة إلى Intel غير المزودة بشريحة T2.