مقدمة عن خزنة الملفات
توفر أجهزة كمبيوتر Mac ميزة خزنة الملفات، وهي إمكانية تشفير مضمنة لتأمين جميع البيانات في حالة السكون. تستخدم خزنة الملفات خوارزمية AES-XTS لتشفير البيانات من أجل حماية وحدات التخزين بالكامل على أجهزة التخزين الداخلية والقابلة للإزالة.
يتم تنفيذ خزنة الملفات على Mac مزود برقاقات Apple باستخدام حماية البيانات من الفئة C مع مفتاح لوحدة التخزين. على أجهزة كمبيوتر Mac المزودة برقاقات Apple وأجهزة كمبيوتر Mac المزودة بشريحة Apple T2 الأمنية، تعزز أجهزة التخزين الداخلية المشفرة المتصلة مباشرة بوحدة Secure Enclave إمكانات الأمن المتوفرة في مكوناتها المادية بالإضافة إلى الإمكانات المتوفرة في محرك AES. بعد أن يشغّل المستخدم خزنة الملفات على Mac، تكون بيانات الاعتماد الخاصة به مطلوبة أثناء عملية التمهيد.
وحدة التخزين الداخلية مع خزنة الملفات قيد التشغيل
دون بيانات اعتماد صالحة لتسجيل الدخول أو مفتاح استرداد مشفر، تظل وحدات تخزين APFS الداخلية مشفرة بالكامل ومحمية من الوصول غير المصرح به، حتى وإن تمت إزالة جهاز التخزين الفعلي وتوصيله بكمبيوتر آخر. في macOS 10.15، يتضمن ذلك كلاً من وحدة تخزين النظام ووحدة تخزين البيانات. في macOS 11 أو أحدث، تتم حماية وحدة تخزين النظام من خلال ميزة وحدة تخزين النظام الموقعة (SSV)، ولكن تظل وحدة تخزين البيانات محمية بالتشفير. بالنسبة إلى أجهزة كمبيوتر Mac المزودة برقاقات Apple أو شريحة T2، يتم تنفيذ تشفير وحدة التخزين الداخلية من خلال إنشاء تسلسل هرمي للمفاتيح وإدارته. يعتمد التشفير أيضًا على تقنيات تشفير المكونات المادية المضمنة في شريحة معينة. يتم تصميم هذا التسلسل الهرمي للمفاتيح لتحقيق أربعة أهداف في وقت واحد:
المطالبة بكلمة سر المستخدم لفك التشفير
حماية النظام من هجوم القوة الغاشمة مباشرةً ضد وسائط التخزين التي تتم إزالتها من Mac
توفير طريقة سريعة وآمنة لمسح المحتوى عن طريق حذف مواد التشفير الضرورية
تمكين المستخدمين من تغيير كلمات السر الخاصة بهم (وبدورها مفاتيح التشفير المستخدمة لحماية ملفاتهم) دون المطالبة بإعادة تشفير وحدة التخزين بأكملها
على أجهزة كمبيوتر Mac المزودة برقاقات Apple وتلك المزودة بشريحة T2، تجري معالجة جميع مفاتيح خزنة الملفات في Secure Enclave؛ ولا يتم كشف مفاتيح التشفير مطلقًا لوحدة المعالجة المركزية من Intel مباشرةً. يتم إنشاء جميع وحدات تخزين APFS باستخدام مفتاح تشفير وحدة التخزين بشكل افتراضي. يتم تشفير محتويات وحدة التخزين وبيانات التعريف باستخدام مفتاح تشفير وحدة التخزين هذا، والذي يتم تغليفه بمفتاح الفئة. تتم حماية مفتاح الفئة بمجموعة تتكون من كلمة سر المستخدم ومعرف UID للمكونات المادية في حالة تشغيل خزنة الملفات.
وحدة التخزين الداخلية مع خزنة الملفات قيد الإيقاف
إذا لم يكن خزنة الملفات قيد التشغيل على Mac مزود برقاقات Apple أو Mac مزود بشريحة T2 أثناء عملية مساعد الإعداد الأولية، تظل وحدة التخزين مشفرة ولكن لا تتم حماية مفتاح تشفير وحدة التخزين إلا بمعرف UID للمكونات المادية في Secure Enclave.
إذا تم تشغيل خزنة الملفات لاحقًا - وهي عملية تكون فورية لأن البيانات كانت مشفرة بالفعل - فإن آلية مكافحة إعادة التشغيل تمنع استخدام المفتاح القديم (استنادًا إلى معرف UID للمكونات المادية فقط) لفك تشفير وحدة التخزين. ومن ثم تتم حماية وحدة التخزين بمجموعة تتكون من كلمة سر المستخدم ومعرف UID للمكونات المادية كما هو موضح سابقًا.
حذف وحدات تخزين خزنة الملفات
عند حذف وحدة تخزين، يتم حذف مفتاح تشفير وحدة التخزين الخاص بها بشكل آمن بواسطة Secure Enclave. وهذا يمنع الوصول في المستقبل باستخدام هذا المفتاح حتى بواسطة Secure Enclave. بالإضافة إلى ذلك، يتم تغليف جميع مفاتيح تشفير وحدات التخزين بمفتاح وسائط. لا يوفر مفتاح الوسائط سرية إضافية للبيانات، ولكنه بدلاً من ذلك تم تصميمه لتمكين الحذف السريع والآمن للبيانات لأنه بدونه يكون فك التشفير مستحيلاً.
على أجهزة كمبيوتر Mac المزودة برقاقات Apple وتلك المزودة بشريحة T2، يتم ضمان مسح مفتاح الوسائط بواسطة تقنية Secure Enclave المدعومة - على سبيل المثال، عن طريق أوامر MDM البعيدة. ويؤدي مسح مفتاح الوسائط بهذه الطريقة إلى جعل وحدة التخزين غير قابلة للوصول إليها بطريقة مشفرة.
أجهزة التخزين القابلة للإزالة
لا يستخدم تشفير أجهزة التخزين القابلة للإزالة إمكانيات الأمن المتوفرة في Secure Enclave، ويتم تنفيذ التشفير بنفس الطريقة المستخدمة في أجهزة كمبيوتر Mac المستندة إلى Intel غير المزودة بشريحة T2.