FileVault和T2安全芯片如何在更新的MAC中协同工作

导读 较新的苹果电脑配备了T2安全芯片,带有自己的安全飞地,这是防篡改的,并提供了像iPhone和iPad一样的高水平安全性。它用于启用触控ID并允许

较新的苹果电脑配备了T2安全芯片,带有自己的安全飞地,这是防篡改的,并提供了像iPhone和iPad一样的高水平安全性。它用于启用触控ID并允许苹果支付在笔记本电脑上使用,但它也处理许多其他任务,包括全磁盘加密。(T2芯片2017年底开始随iMac Pro一起出现在Mac上;请检查这个列表,看看你是否不确定你是其中之一。)

在T2之前的机型上,macOS使用软件和硬件加速加密相结合的方式,使用FileVault对磁盘上的所有数据进行加密,可以通过“安全和隐私”偏好设置面板的“FileVault”选项卡打开和关闭file vault。在这些旧Macs上,FileVault可能需要很长时间才能第一次完全加密驱动器,并在操作过程中禁用系统。之后,Mac通常以与未加密数据几乎相同的速度处理实时读写。

FileVault可以以任何有效的方式防止从静态磁盘(未通电和登录)中提取数据。数据只是一堆数字垃圾,密钥无法访问。如果没有与Mac上的FileVault关联的帐户之一的密码,将无法检索密钥,并且必须在启动时输入密码才能解锁驱动器。

[进一步阅读:了解更多关于macOS Catalina的信息]

IMAC 27英寸

IDG/罗马loyola刚刚发布的27英寸iMac搭载了T2安全芯片。

有了T2芯片管理加密,这些型号的FileVault还剩下什么?相当微妙。

在带有T2的苹果电脑上关闭文件保险箱后,如果您需要从苹果电脑中提取驱动器,您将无法访问其内容。这是在T2之前对Mac的改进,在Mac上不受FileVault保护的内容将完全可读。这是对基线安全性的改进。(因此,通过T2搭载Macs并通过“查找我的设备”接收到“擦除此设备”命令的Macs,几乎会立即被“擦除”,就像没有T2芯片并启用了FileVault的Macs一样:擦除加密密钥将显示驱动器的内容永远无法检索。)

但是,如果没有启用FileVault,即使Mac无法自动登录到该帐户,也只需要引导Mac启动全磁盘加密即可。当加密被锁定到由T2安全飞地芯片管理的硬件密钥时,一旦Mac在登录屏幕上启动,解密就会开始。恶意方可能会损坏macOS或使用硬件方法从已安装和正在运行的驱动器中访问数据。

但是,当打开FileVault时,在处理软件中,带有T2的Mac与带有磁盘加密的Mac具有相同的启动行为。恢复分区不直接加载macOS,而是以特殊模式启动,这需要输入允许使用FileVault的任何帐户的密码。在输入该密码之前,磁盘的内容将保持加密状态,就像静止时一样。

我建议在配备T2的Macs上启用FileVault,以获得最大的安全性和安心。奖金?因为T2芯片已经对驱动器进行了加密,所以没有开销也没有延迟:FileVault会立即启用。

问问Mac 911。

我们整理了一份最常见问题的列表,以及答案和专栏的链接:阅读我们的超级常见问题,看看你的问题是否涵盖在内。如果没有,我们总是在寻找新的问题来解决!用电子邮件发给mac911@macworld.com,包括适当的截屏和是否使用全名。并非所有问题都会得到解答,我们不会回复电子邮件,也无法提供直接的故障排除建议。