较新的 Mac 配备了 T2 安全芯片和自己的 Secure Enclave,这是一种防篡改的硅片,可以像 iPhone 和 iPad 一样提供高级别的安全性。它用于启用 Touch ID 并允许在笔记本电脑上使用 Apple Pay,但它还处理许多其他任务,包括全盘加密。(T2 芯片于 2017 年末开始随 iMac Pro 一起出现在 Mac 中;请查看此列表以检查您是否不确定自己的芯片是否属于其中之一。)
在 T2 之前的型号上,macOS 使用软件和硬件加速加密的组合,使用 FileVault 加密磁盘上的所有数据,可以通过“安全和隐私”首选项面板的“FileVault”选项卡打开和关闭。FileVault 在这些较旧的 Mac 上第一次完全加密驱动器可能需要很长时间,并在系统运行时使系统陷入困境。之后,Mac 处理实时读写的速度通常与数据未加密时的速度几乎相同。
FileVault 可防止以任何有效方式提取静止磁盘上的数据(未启动和登录)。数据只是一堆无法访问密钥的数字垃圾,如果没有 Mac 上 FileVault 链接帐户之一的密码就无法检索密钥,必须在启动时输入该密码才能解锁驱动器.
刚刚发布的 27 英寸 iMac 配备了 T2 安全芯片。
有了 T2 芯片管理加密,FileVault 在这些型号上还能做什么?这是相当微妙的。
在装有 T2 的 Mac 上关闭 FileVault 后,如果一个坏人从 Mac 中提取了驱动器,则内容仍然无法访问。这是对 T2 之前的 Mac 的改进,其中不受 FileVault 保护的内容将是完全可读的。这是一项基线安全改进。(因此,顺便说一句,通过“查找我的设备”接收“擦除此设备”命令的配备 T2 的 Mac 几乎立即被“擦除”,就像没有 T2 芯片且启用了 FileVault 的 Mac 一样:擦除加密密钥会使驱动器的内容永久无法恢复。)
但是,在不启用 FileVault 的情况下,只需启动 Mac 即可让全盘加密开始工作,即使它不会自动登录帐户也是如此。虽然加密被锁定到由 T2 芯片中的 Secure Enclave 管理的硬件密钥,但一旦 Mac 启动到登录屏幕,解密就会开始。恶意方可能能够破坏 macOS 或使用硬件方法从已安装和运行的驱动器访问数据。
但是,打开 FileVault 后,配备 T2 的 Mac 就会出现与在软件中处理磁盘加密的 Mac 相同的启动行为。Recovery 分区不是直接加载 macOS,而是以一种特殊模式启动,该模式需要输入允许使用 FileVault 的任何帐户的密码。在输入该密码之前,磁盘的内容将保持加密状态,就像它处于静止状态一样。
我建议在配备 T2 的 Mac 上启用 FileVault,以获得最大的安全性和安心。奖金?因为 T2 芯片已经对驱动器进行了加密,所以没有开销也没有延迟:FileVault 会立即启用。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)