FileVault का परिचय
Mac कंप्यूटर FileVault प्रदान करते हैं, जो स्थिर अवस्था में सारा डेटा सुरक्षित रखने की बिल्ट-इन एंक्रिप्शन क्षमता है। FileVault आंतरिक और निकाले जा सकने वाले स्टोरेज डिवाइस पर फ़ुल वॉल्यूम की सुरक्षा के लिए, AES-XTS डेटा एंक्रिप्शन ऐल्गोरिद्म का उपयोग करता है।
Apple silicon वाले Mac पर मौजूद FileVault को वॉल्यूम की वाली डेटा सुरक्षा क्लास C की मदद से कार्यान्वित किया जाता है। Apple silicon वाले Mac कंप्यूटर और Apple T2 सुरक्षा चिप वाले Mac कंप्यूटर पर सीधे Secure Enclave से कनेक्टेड एंक्रिप्टेड आंतरिक स्टोरेज डिवाइस उसकी हार्डवेयर सुरक्षा क्षमताओं के साथ-साथ AES इंजिन की सुरक्षा क्षमताओं का भी लाभ उठाते हैं। जब कोई यूज़र Mac पर FileVault चालू करता है, तो बूट प्रोसेस के दौरान उनके क्रेडेंशियल की ज़रूरत पड़ती है।
आंतरिक स्टोरेज जिसमें FileVault चालू है
वैध लॉगइन क्रेडेंशियल या क्रिप्टोग्राफ़िक रिकवरी की के बिना आंतरिक APFS वॉल्यूम एंक्रिप्टेड बने रहते रहते हैं और उन्हें अनधिकृत ऐक्सेस से सुरक्षित रखा जाता है, भले ही भौतिक स्टोरेज डिवाइस को हटाया गया हो और दूसरे कंप्यूटर से कनेक्ट किया गया हो। macOS 10.15 में इसमें सिस्टम वॉल्यूम और डेटा वॉल्यूम दोनों शामिल है। macOS 11 या बाद के संस्करणों में, साइन किए गए सिस्टम वॉल्यूम (SSV) फ़ीचर द्वारा सिस्टम वॉल्यूम संरक्षित होता है, लेकिन डेटा वॉल्यूम एंक्रिप्शन द्वारा संरक्षित बना रहता है। Apple silicon वाले या T2 चिप वाले Mac कंप्यूटर के लिए कीज़ का पदानुक्रम बनाकर और उसे प्रबंधित करके आंतरिक वॉल्यूम एंक्रिप्शन को कार्यान्वित किया जाता है। विशिष्ट चिप में बिल्ट-इन की गईं हार्डवेयर एंक्रिप्शन टेक्नोलॉजी पर भी एंक्रिप्शन का निर्माण होता है। कीज़ का यह पदानुक्रम एक साथ चार लक्ष्य प्राप्त करने के लिए डिज़ाइन किया गया है :
डिक्रिप्शन के लिए यूज़र का पासवर्ड ज़रूरी है
सिस्टम को Mac से हटाए गए स्टोरेज मीडिया के विरुद्ध सीधे ब्रूट-फ़ोर्स आक्रमण से बचाएँ
कॉन्टेंट को मिटाने के लिए ज़रूरी क्रिप्टोग्राफ़िक सामग्री को हटाते हुए तेज़ और सुरक्षित विधियाँ प्रदान करें
पूरे वॉल्यूम को दोबारा एंक्रिप्ट किए बिना पासवर्ड बदलने के लिए यूज़र को सक्षम बनाएँ (और इसके परिणामस्वरूप, क्रिप्टोग्राफ़िक कीज़ उनकी फ़ाइलों की सुरक्षा करती हैं)
Apple silicon वाले और T2 चिप वाले Mac पर FileVault के सभी मुख्य संचालन Secure Enclave में संपन्न होते हैं; एंक्रिप्शन कीज़ सीधे Intel CPU को कभी दिखाई नहीं देती हैं। सभी APFS वॉल्यूम डिफ़ॉल्ट रूप से वॉल्यूम एंक्रिप्शन की मदद से बनाए जाते हैं। वॉल्यूम और मेटाडेटा कॉन्टेंट को इस वॉल्यूम एंक्रिप्शन की से एंक्रिप्ट किया जाता है, जिसे “क्लास की” में रैप किया गया होता है। जब FileVault चालू होता है, तो “क्लास की” यूज़र के पासवर्ड और हार्डवेयर UID के संयोजन से सुरक्षित होती है।
आंतरिक स्टोरेज जिसमें FileVault बंद है
यदि Apple silicon वाले Mac या T2 चिप वाले Mac पर शुरुआती सेटअप सहायक प्रक्रिया के दौरान FileVault चालू नहीं होता है, फिर भी वॉल्यूम एंक्रिप्ट हो जाता है, लेकिन वॉल्यूम एंक्रिप्शन कुंजी Secure Enclave में केवल हार्डवेयर UID द्वारा ही सुरक्षित रहती है।
यदि FileVault बाद में चालू किया जाता है, वह प्रोसेस जो तुरंत शुरू हो जाता है क्योंकि डेटा पहले से एंक्रिप्ट किया गया था, तो ऐंटी-रिप्ले प्रणाली पुरानी की (केवल हार्डवेयर UID के आधारित) को वॉल्यूम डिस्क्रिप्ट के लिए इस्तेमाल होने से रोकती है। उसके बाद वॉल्यूम की सुरक्षा हार्डवेयर UID वाले यूज़र पासवर्ड के संयोजन से होती, जिसका वर्णन पहले ही किया जा चुका है।
FileVault वॉल्यूम डिलीट किए जा रहे हैं
वॉल्यूम डिलीट करने पर उसकी वॉल्यूम एंक्रिप्शन की Secure Enclave द्वारा सुरक्षित रूप से डिलीट की जाती है। इसके परिणामस्वरूप, इस की सहित Secure Enclave के माध्यम से भी भविष्य में ऐक्सेस रोक दिया जाता है। इसके अतिरिक्त, सभी वॉल्यूम एंक्रिप्शन कीज़ एक “मीडिया की” की मदद से रैप की जाती हैं। “मीडिया की” डेटा की अतिरिक्त गोपनीयता प्रदान नहीं करती, लेकिन इसके बजाए इसे डेटा को तेज़ी और सुरक्षित रूप से डिलीट करने के लिए डिज़ाइन किया गया है, क्योंकि बिना इसके डिस्क्रिप्शन संभव नहीं है।
Apple silicon वाले और T2 चिप वाले Mac पर Secure Enclave समर्थित टेक्नोलॉजी द्वारा “मीडिया की“ का मिटाया जाना सुनिश्चित किया जाता है—उदाहरण के लिए, रिमोट MDM कमांड द्वारा। इस तरीक़े से “मीडिया की“ को मिटाने से वॉल्यूम क्रिप्टोग्राफ़िकली ऐक्सेस नहीं हो पाता है।
हटाए जाने योग्य स्टोरेज डिवाइस
हटाए जाने योग्य स्टोरेज डिवाइस का एंक्रिप्शन Secure Enclave की सुरक्षा क्षमताओं का उपयोग नहीं करते हैं और इसका एंक्रिप्शन बिल्कुल उसी तरह से काम करता है, जैसे बिना T2 चिप वाले Intel-आधारित Mac कंप्यूटर करते हैं।