Как отключить шифрование диска на макбук. Что такое шифрование FileVault и стоит ли его использовать

Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть - FileVault. О нем мы сегодня и поговорим.

Что такое FileVault

FileVault - это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.

Как ни странно, но функция работает достаточно просто - все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.

Как работает FileVault

При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.

После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).

Почему стоит использовать FileVault

Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля - лишь вопрос времени. 
В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана Apple и уже встроена в систему, что говорит о полной интеграции с системой.

Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.

Какие есть недостатки

• Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
• Нельзя восстановить данные, если забыты пароль и ключ восстановления.
• В случае поломки накопителя данные также будут утеряны навсегда.
• Зашифрованные копии Time Machine не позволяют восстановить конкретный файл, а только копию целиком.

Как настроить FileVault

• Запускаем «Системные настройки».
• Заходим в пункт меню «Защита и безопасность», затем во вкладку «FileVault».
• Снимаем блокировку, нажав замочек в левом нижнем углу.
• Выбираем «Включить FileVault».
• Здесь мы должны выбрать подходящий нам вариант сброса пароля.
• В случае, если мы выбрали ключ восстановления, нам предоставят код, который обязательно нужно запомнить и сохранить в безопасном месте.

Осталось перегрузить наш Mac. Сразу после этого будет выполняться фоновое шифрование, при этом компьютером можно будет пользоваться без ограничений.

Вполне возможно, что ваш Мак хранит множество ценной и конфиденциальной информации, которой вы бы очень не хотели делиться с кем-то ещё. И вполне закономерно, что у вас возникнет желание защитить эту информацию от всех посторонних. Разумеется, одним лишь паролем на вход в учётную запись здесь отделаться не получится. Для решения подобной задачи необходимо применение шифрования информации. Именно шифрованию на Маках мы посвятим небольшой цикл статей, в котором рассмотрим различные платные и бесплатные решения для этой цели. Начнём мы с самого стандартного механизма шифрования — встроенной в Mac OS технологии FileVault.

Сразу скажем, что сфера применения FileVault узка — зашифровать можно только домашнюю папку пользователя. Для шифрования используется 128-битный ключ алгоритма AES , что обеспечивает весьма высокий уровень надёжности.

Всё устроено очень просто: FileVault создаёт специальный контейнер (зашифрованный образ диска ), копирует туда всю вашу папку пользователя, после чего удаляет оригинал. Вся информация, находящаяся в зашифрованном образе диска, становится доступной только тогда, когда пользователь входит в свой аккаунт . В остальное время она полностью защищена от посторонних глаз.

Отсюда следует первый и самый главный (для всего шифрования) вывод — ни в коем случае не забудьте пароль для шифрования , иначе все его достоинства обернутся против вас. Для защиты от амнезии в Mac OS X предусмотрен мастер-пароль, зная который, можно сбросить пароль у любой учётной записи, в т.ч. и от зашифрованной FileVault. Это спасёт вас от потери информации, если вы вдруг не сможете вспомнить пароль от своей учётной записи. Но если вы забудете и свой, и мастер-пароль, то со всеми зашифрованными данными можно смело прощаться раз и навсегда .

Перед включением FileVault обязательно учтите несколько важных особенностей:

1) Первичное шифрование идёт долго — оно может растянуться на несколько часов. Его продолжительность прямо зависит от количества и размера файлов в папке пользователя. Поэтому перед шифрованием постарайтесь перенести из папки пользователя всю музыку, все фильмы, все фотографии и всю остальную неконфиденциальную информацию в любое другое место на диске.

2) Привыкли к производительному шустрому Маку? Отвыкайте. FileVault заметно испортит быстродействие даже самого мощного Macintosh. Шифрование создаёт дополнительную постоянную нагрузку на процессор и жёсткий диск.

3) Многие новички удивляются, почему при удалении файлов место на диске не освобождается. Потом они обнаруживают, что нужно очистить Корзину. Если включён FileVault, то вы с удивлением обнаружите, что и после очистки Корзины свободное место на диске не появляется . Как уже говорилось, вся папка пользователя превращается в один образ. А его размер автоматически изменяется только в момент выхода из учётной записи, поэтому для возвращения свободного пространства вам придётся каждый раз завершать сеанс .

4) Опасность полной или частичной потери информации вырастает в разы . Поначалу это кажется абсурдным — ведь шифрование призвано защищать конфиденциальные сведения. Оно их действительно защищает — от взлома, но никак от сбоя диска . Подумайте сами — когда портится один из секторов диска, портится файл, частичка которого была записана на этом секторе. Вся ваша папка пользователя при включённом FileVault — это один файл. Представьте, что будет, если на дисковом пространстве, которое он занимает, произойдёт повреждение.

5) Привыкли пользоваться Time Machine ? После включения FileVault её возможности сильно поредеют. Например, вы больше не сможете восстановить через интерфейс Time Machine отдельный файл . А если вы попытаетесь восстановить всю систему, то готовьтесь к неприятным сюрпризам. Форумы Apple завалены жалобами пользователей, которые не могут войти в свой аккаунт после такой процедуры.

6) Включить FileVault легко, а вот выключить его обратно не всегда получается . Частенько система выдаёт ошибку при попытке отключить шифрование. И частенько эта ошибка приводит к невозможности зайти в свой аккаунт в дальнейшем.

Само собой, эти шесть пунктов вовсе не призваны вас отговорить от включения шифрования. Но, согласно закону Мёрфи, если какая-то гадость имеет шанс случиться, то она случится в самый неподходящий момент.

FileVault — не лучший вариант для шифрования. Его единственное достоинство — полная встроенность в систему.

Итак, если вы взвесили все «за» и «против», то приведем инструкцию по включению FileVault.

1) В Системных настройках выбираете пульт Безопасность . Переходите на вкладку FileFault и нажимаете кнопку Включить FileVault .

2) C вас спросят пароль администратора. После этого вам будет предложено создать мастер-пароль (если вы это не сделали ранее). Ещё раз напоминаем — если вы потеряете и мастер-пароль, и пароль от учётной записи, то расшифровать информацию будет невозможно.

3) Потом вас снова заставят ввести пароль администратора, после чего появится последнее предупреждающее окно:

Обратите внимание на имеющиеся настройки: Использовать надёжное стирание дополнительно увеличит время шифрования, а Использовать защищённую виртуальную память заставит FileVault шифровать не только ваши, но и временные системные файлы, временно скидываемые на диск. Как это скажется на производительности компьютера — объяснять смысла не имеет.

4) Если после всех этих вопросов и предупреждений вы не передумали, нажимайте Включить FileVault . Система завершит сеанс и начнётся шифрование, во время которого компьютер лучше не тревожить (и тем более не выключать!). Когда всё закончится, вы обнаружите, что значок вашей папки пользователя с привычного домика поменялся на стальной сейф. Больше никаких заметных изменений (ну кроме жутких тормозов системы по любому поводу;) вы не заметите.

Отключение FileVault происходит примерно так же, через вкладку FileVault пульта Безопасность.

P.S. Повторимся — мы бы не рекомендовали включать вам FileVault сразу. Для начала прочитайте остальные статьи нашего цикла, следующая из которых будет посвящена бесплатной программе TrueCrypt .

«Выживают только параноики»
- Эндрю Гроув, экс-глава Intel

Для тех пользователей, которые хранят на своем компьютере важные файлы, в Mac OS X существует функция FileVault, которая позволяет зашифровать все содержимое домашней директории (Macintosh HD -> Users -> Your_Name) стойким алгоритмом AES 128 (Advanced Encryption Standart с длинной ключа в 128 бит, он является государственным стандартом в США).

Не забывайте, что обычная установка пароля на вход в систему не шифрует данные, при желании, получить к ним доступ достаточно просто. Поэтому для реальной защиты самих файлов используйте FileVault, или другие криптографические решения.

Для активации FileVault, в панели System Preferences выберите пункт Security (как показано на скриншоте), установите необходимые параметры и создайте Master Password (если он еще не создан), с помощью которого вы сможете получить доступ к данным, если забудете пароль своего аккаунта (очень пригодится системным администраторам - в любой момент можно будет получить доступ к файлам, даже если сотрудник уже не работает в компании и отказывается сообщать пароль). После активации система будет перезагружена и все содержимое домашней директории будет зашифровано (процесс может занять довольно продолжительное время - в зависимости от объема информации).

После этого иконка вашей домашней директории будет изменена, и все ее содержимое будет храниться в зашифрованном виде - при обращении к какому-либо файлу, он будет дешифрован на время работы с ним и автоматически зашифрован по ее окончании. Все это Apple сделала со свойственной ей простотой и удобством. Работа пользователя с включенным FileVault практически никак не усложняет использование системы.

Тем не менее, вы можете столкнуться со следующими особенностями:

1. Дополнительная нагрузка на процессор. Постоянное шифрование и дешифрование файлов «на ходу» создает дополнительную нагрузку на процессор. В большинстве случаев она практически не заметна, вы обратите внимание на нее лишь при работе с файлами большого объема, требующими активной работы с жестким диском (например, при работе с видео). Поэтому особо крупные и не конфиденциальные файлы (например, фильмы), лучше хранить не в домашней директории, а в обычной папке на жестком диске (следующий пункт лишь подтвердит эту рекомендацию).
2. Необходимость восстановления свободного дискового пространства. При удалении файла из вашей домашней директории и очистки корзины место на диске не освободится. Дело в том, что зашифрованный образ вашей директории - это большой файл, который, по причинам криптографических особенностей, не может быть быстро уменьшен в размерах. При выходе из вашей учетной записи (или при полной перезагрузке системы), система предложит выполнить Disk Space Recovery, то есть реально освободить свободное место на диске за счет удаленных ранее файлов. Эта операция может занять не один десяток минут, поэтому, если вы используете ноутбук, не подключенный к сети питания, система не предложит вам Disk Space Recovery. Think Different.
3. Уязвимость в случае возникновения дисковых ошибок. Обязательно делайте резервное копирование данных, ведь зашифрованная директория представляет собой один большой файл, доступ к которому может быть невозможен при наличии испорченного кластера. Если вы не используете шифрование, то рискуете одним или несколькими файлами, а во время активированного FileVault - всей директорией сразу.
4. Невозможность восстановления данных. Не забывайте пароль. Вы можете восстановить данные либо паролем соответствующего аккаунта, либо с помощью Master Password. Если вы не помните ни тот, ни другой, то данные потеряны навсегда.
5. В Mac OS X 10.4 Tiger появилась новая возможность шифрования виртуальной памяти (своп-файла). Когда вы работаете с документами, часть из них хранится в этом файле, и получив доступ к вашему жесткому диску, возможно восстановить некоторые документы, с которыми недавно велась работа. Конечно, включение этой функции дополнительно увеличит нагрузку на процессор.

Доброго хабрадня!

Сегодня я расскажу вам, уважаемые хабралюди, о том, как хранить свои данные в облаке и не переживать за них. Точнее, я расскажу об интересной возможности сделать шифрованный образ диска в Mac OS X средствами самой системы.

Для опытных пользователей (коих прошу не судить слишком строго) в данном топике пользы нет, можете не отвлекаться. Но многим, я уверен, информация может пригодиться.

Итак, сейчас мы создадим зашифрованный образ с помощью Дисковой Утилиты и сохраним его на Яндекс.Диск (благо теперь он позволяет хранить шифрованные данные).

Для начала откроем Дисковую Утилиту. Для этого в лаунчере открываем папку «Утилиты» и находим там нужную программу. Теперь жмём «Новый образ».

Теперь настраиваем наш новый образ. Пусть он, для начала, будет иметь размер 500 метров. Мало? Ну так мы его сделаем растущим, дабы помещать туда данных сколько захотим. Кроме того (мы ведь шифровать хотим, да?), выбираем метод шифрования. Быстрый или надёжный. Ну и напоследок выбираем место хранения диска (то есть, папку Яндекс.Диска), имя для файла и имя для самого диска, которое будет отображаться в Finder.

Жмём кнопку «Создать» и вводим свою дату рождения свой хороший и надёжный пароль. Опционально, можем отключить запоминание этого пароля для улучшения секурности.

Всё! Образ диска готов, лежит в Яндексном облаке и зашифрован! Если Вы убрали галочку «Сохранить пароль» (или открыли свой Я.Диск на другом маке), то при попытке открыть файл mydata.sparseimage появится такой вот диалог ввода пароля:

Если пароль верен, то диск подключится и откроется в Finder.

Что ж, теперь можно открывать этот диск с любого мака, работать с его содержимым и не беспокоиться о безопасности данных. Единственное, что требует тестирования, это одновременная работа с образом из разных систем. Но, если учесть, что Я.Диск хранит файл только в облаке, больших проблем возникнуть не должно. То ли было бы с dropbox, хехе .

Ещё раз напоминаю: статья рассчитана на неопытных или нелюбознательных маководов и никак не претендует на инновационность. Посвящается облачной пятнице на хабре.

PS: У данного способа есть очевидный большой минус: работать с таким диском можно будет только на Mac OS X и точка. Никаких Windows/Linux/Android/iOS. Если Вы знаете хорошие кросплатформенные шифрованные диски - прошу отписаться.

Сегодня мы представляем первую из цикла статей, посвященных подготовке «Мака » для хакинга. Мы будем исходить из того, что у вас выполнена чистая установка системы Mac OS (ранее называвшейся OS X ), потому что, в противном случае, ваши действия могут немного отличаться. Впрочем, и в этой ситуации особых сложностей возникнуть не должно.
Первый шаг по созданию рабочей среды для хакинга – это полное шифрование диска (FDE ). Данная процедура обеспечивает надежную защиту вашей информации от посторонних глаз, и является стандартной практикой – для хакеров и не только. Поскольку надежно зашифровать диск сегодня не проблема, нет никаких причин этого не сделать.
Мы будем использовать FileVault – FDE , встроенный в операционную систему Mac , и выполняющий полное шифрование диска с помощью 128-битного ключа шифрования XTS-AES . Данная схема шифрования соответствует стандартам FIPS и рекомендуется Национальным институтом стандартов и технологий (NIST ) для использования в регулируемых отраслях, таких как государственные органы и здравоохранение. В общем, это хорошая и надежная схема шифрования.

Шаг 1. Найдите FileVault

Зайдите в «Системные настройки» и найдите раздел «Защита и безопасность» в первом ряду. Как вариант, для той же цели можно использовать обозначенную ниже команду. Просто скопируйте ее и вставьте в Terminal , а затем нажмите «Ввод». Параметр -b (идентификатор пакета) укажет, что нужно открыть раздел «Защита и безопасность» в «Системных настройках».

Open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane

Далее в разделе «Защита и безопасность» выберете вкладку FileVault . Чтобы вносить изменения, нажмите на значок замка в левом нижнем углу окна и введите имя и пароль администратора во всплывающем окне.

Шаг 2. Включите FileVault

Прежде чем кликнуть на кнопку «Включить FileVault », обязательно прочитайте предупреждение, которое появится на экране.

ПРЕДУПРЕЖДЕНИЕ . Для доступа к вашим данным необходимо указывать пароль администратора или ключ восстановления. Ключ восстановления создается автоматически в процессе настройки. Если вы забудете и пароль администратора, и ключ восстановления, ваши данные будут потеряны.
А теперь прочитайте это еще раз. Это очень важно – ведь забыть и пароль, и ключ восстановления – это все равно что просто стереть все свои данные. Именно это вам и придется сделать, чтобы иметь возможность снова пользоваться своим «Маком».
Когда будете готовы, нажмите на кнопку «Включить FileVault ».
Если у вас активирован облачный сервис iCloud (от версии «Мака» Yosemite и выше), вы увидите диалоговое окно, спрашивающее, чем вы предпочтете воспользоваться, если забудете пароль администратора и вам придется создавать новый – вашим аккаунтом в iCloud или ключом восстановления. (Если облако у вас не активировано, вы сможете сразу увидеть ключ восстановления). Поскольку облако – это, по сути, тоже чей-то компьютер, мы рекомендуем использовать ключ восстановления и хранить информацию о нем на бумажном носителе.
Определившись, как поступить с ключом восстановления, кликните на кнопку «Продолжить ».

Чтобы ваш ключ восстановления находился в безопасности и досягаемости, скопируйте его в текстовый редактор, распечатайте документ и храните в надежном месте. Не храните информацию о ключе на жестком диске вашего компьютера. Если вы забудете пароль, то не сможете войти в систему и, соответственно, доступа к ключу тоже не будет.
Убедившись, что с ключом все в порядке, нажмите «Продолжить ».

Если вы – не единственный пользователь вашего компьютера, откроется диалоговое окно, предлагающее ввести пароли всех пользователей, и тем самым «Разрешить » им доступ к расшифровке диска. Если своему аккаунту администратора вы, разумеется, разрешите доступ, то в отношении других этого делать необязательно – все зависит от того, хотите ли вы, чтобы другие пользователи могли расшифровать диск. Завершив этот этап, нажмите «Продолжить ».

Шаг 3. Перезагрузите компьютер

Далее вам будет предложено перезагрузить компьютер. Сохраните и закройте все приложения, с которыми работали, и нажмите «Перезагрузить ».
После перезагрузки FileVault начнет в фоновом режиме шифровать диск, что может существенно замедлить работу компьютера, пока процесс не завершится. Количество времени, требующееся для шифрования, зависит от размера диска. Вы можете отслеживать прогресс в разделе FileVault в «Системных настройках».

Примечание. Если у вас современный компьютер с SSD-диском , то процесс шифрования и расшифровки пройдет значительно быстрее, чем в случае с вращающимся HDD . Так что, если для вас важен быстрый запуск системы, имейте это в виду. А зашифровывать информацию придется в любом случае – хакеру нужно быть аккуратнее.

Шаг 4. Проверьте подлинность ключа!

Последний шаг – это проверка подлинности ключа. Нужно убедиться, что с его помощью вы действительно сможете расшифровать ваш Mac , когда потребуется (для версии Mavericks и выше). Для этого мы будем использовать приложение Terminal – оно находится в разделе «Утилиты» в папке Программы».

В окне приложения Terminal введите следующую команду:

Sudo fdesetup validaterecovery

Нажмите «Ввод ». Далее потребуется ввести пароль администратора. Во время ввода пароль отображаться не будет – пусть это вас не смущает. Закончив, нажмите «Продолжить ». Затем вас попросят ввести код восстановления в формате xxxx-xxxx-xxxx-xxxx-xxxx-xxxx . Как и в случае с паролем администратора, в процессе ввода ключ отображаться не будет, так что будьте внимательны и не торопитесь. Как вариант, можете набрать пароль в текстовом документе, а потом скопировать, вставить в Terminal и нажать «Ввод ». Если ключ подлинный, командный интерпретатор это подтвердит.

Если ключ не подлинный, значит, вы неправильно его ввели, или некорректно скопировали из документа, или же он оказался каким-то образом поврежден. Если вы уверены, что все сделали правильно, и новая попытка ввести ключ привела к тому же результату, вам придется вернуться в раздел FileVault в «Системных настройках», отключить FileVault , а затем повторить все шаги, начиная со второго.
Ваш диск готов для хакинга
Завершив все предыдущие шаги, вы получите зашифрованный диск. Но не забывайте, что полное шифрование диска (FDE ) защищает только хранимые данные.
Росс Уильям Ульбрихт, известный владелец площадки для анонимной торговли Silk Road , использовал FDE для безопасности своих данных, но правила OPSEC толком не соблюдал. Сотрудники ФБР дождались, пока Ульбрихт войдет в систему, и арестовали его в тот момент, когда диск еще не был зашифрован. Он даже не успел закрыть крышку ноутбука.
В итоге Ульбрихт получил пожизненный срок. Не повторяйте его ошибку!
Не пропустите новых статей
Итак, ваш диск полностью зашифрован, и первый шаг по подготовке «Мака» к хакингу завершен. В следующих статьях мы расскажем о шифровании образа диска, использовании KeePass , Terminal и многом другом.

Отказ от ответственности : Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.