Macでの、ディスク暗号化、FileVault、ハードウェア暗号化

Macでの、ディスク暗号化、FileVault、ハードウェア暗号化

ディスクの内容を暗号化をしていないと、誰でも簡単にその内容にアクセスできます

お使いのMacがファームウェアのパスワードで保護されている場合でも、誰かがディスクを取り外すだけで、ディスク上のすべてを見たりコピーしたりできます、これを防ぐ方法はいくつかあります

FileVault 1

FileVaultの最初のバージョン (現在はFileVault 1またはLegacy FileVaultとして知られています) はMac OS X 10.3で導入されましたが、ホームフォルダにのみ適用されていました

通常はファイルやフォルダとしてディスクに保存されるのではなく、暗号化されたスペアバンドルに保存されていました

これらはTime Machineのバックアップに問題を引き起こし、Macから簡単にコピーされたため、比較的簡単にクラックできるようになりました、古いMacであっても、FileVault 1が重要なレベルの保護を提供すると考えるべきではありません

FileVault 2

これはMac OS X 10.7で導入され、FileVault 1を完全に置き換えて、より安全性の高いボリューム全体のソフトウェア暗号化を実現しました

ユーザーのパスワードは、AESのXTS-AESモードと256ビット・キーを使用する暗号化のパスフレーズとして使用されます、暗号化されたブートボリュームのロックを解除できるのは、ロックを解除できるように特別に設定されたユーザーだけです

そのブートボリュームのロックが解除されると、そのMacがシャットダウンされるまで、ほかのユーザーは無制限にアクセスできます

旧式のインテルCoreプロセッサーには暗号化/復号化を実行するための命令がなく、FileVault 2を使用するとパフォーマンスが大幅に低下します

しかし、Intel Core iなどの最新のIntelプロセッサは命令をサポートしているため、パフォーマンスの低下は約3%に抑えられており、特にハードディスクで顕著になることがあります

ソフトウェアFileVault 2は、T1/T2チップを搭載していないIntel Macの内部ストレージと、すべてのモデルのMacの外部ストレージで利用できるmacOSのボリューム暗号化です、M1のMacでも外部ストレージのハードウェア暗号化はできません


Intel MacにT1/T2チップが搭載されていない場合は、HFS+とその後継であるAPFSボリューム用の統合された全ボリューム暗号化としては、おそらくこれが最も優れています

HFS+とは異なり、APFSは最初からソフトウェア暗号化のために設計されています、ボリュームコンテンツの暗号化に使用されるキーは公開されず、一連のラッパーを介してアクセスされるため、ユーザーパスワードを紛失したり忘れたりした場合に回復キーを使用することができます

リカバリー・キーまたはパスワードを使って暗号化キー(KEK)を取り出し、それを使って実際に暗号化/復号化に使われるボリューム暗号化キー(VEK)を取り出します、ボリューム上のファイル・システムも暗号化されているため、KEKとVEKのアンラップに続いて、ボリュームにアクセスするための次のタスクは、VEKを使用してファイル・システムのB-treeを復号化することです

T1/T2/M1ハードウェア暗号化

T1またはT2チップを搭載したMac、およびすべてのApple Silicon Macの内蔵SSDは、ソフトウェアのFileVaultを使用せず、SoCのハードウェアで暗号化と復号化を行います、これは、SoCが内蔵SSDのストレージコントローラーとして機能することで実現しています

つまり、メインCPU/メモリーと内蔵ストレージの間で転送されるすべてのデータは、SoCのARMプロセッサーの暗号化ステージを通過することになります、これらのSoCを搭載したMacは、Mac Pro 2019を除いて、内蔵ストレージがハンダ付けされており、その取り外しが困難になっています

Mac Pro 2019には交換可能な内蔵SSDが搭載されていますが、交換後の新しい内蔵ストレージは、Apple Configurator 2を使ってそのMacのT2チップに対して初期化する必要があります


T2を搭載したMacをFileVaultをオフにして使用した場合でも、内部ストレージのコンテンツはハードウェアキーで保護されたVEKとxARTキーを使って暗号化されています。FileVaultをオンにすると、KEKの保護が加わり、KEKはユーザーパスワードとハードウェアキーで保護されます

ユーザーパスワードはVEK(ボリュームの暗号化に使用)を決定するものではなく、KEKを解除し、さらにVEKを解除するために必要となるため、ユーザーパスワードを変更してもボリュームを再暗号化する必要はありません、これにより、ユーザーパスワードを紛失したり忘れたりした場合に、リカバリーキーを使用することができます

暗号化キーは、T1/T2/M1 SoC内のSecure Enclaveでのみ取り扱われ、Intel MacではIntelプロセッサに露出することがないため、リカバリーは極めて困難です

暗号化されたボリュームを削除すると、Secure EnclaveはそのVEKとxARTキーを削除し、Secure Enclave自身にとっても残存するボリュームデータにアクセスできなくなります、これにより、暗号化されたボリュームの残存データを削除または上書きする必要はありません

ブートボリュームが暗号化される範囲は、macOSのバージョンによって異なります、macOS catalinaでは、システムボリュームとデータボリュームの両方が暗号化され、macOS Big Sur以降では、封印されたシステムボリュームは暗号化されていませんが、データボリュームは暗号化されています、すべてのリカバリーボリュームも暗号化されていないと考えられます

外付けハードウェアの暗号化

外付けストレージのメーカーやモデルによっては、独自のハードウェア暗号化機能を提供します、例えば、多くのSSDにはディスク全体を暗号化するオプションがありますが、macOSではそのようなデバイス固有の機能にすぐにアクセスすることはできません

一般的なセキュリティ標準を満たすように特別に設計されていないストレージは、細心の注意を払って扱う必要があります、汎用SSDを複数の専門家による評価の結果、その暗号化に脆弱性が見つかっています

堅牢なハードウェア暗号化を提供するように設計および認定されたiStoragediskAshurSSDはテストでは、わずかなパフォーマンスの低下を別にすれば、暗号化を有効にした通常のSSDよりもはるかに優れ性能を発揮します

(Via The Eclectic Light Company.)


LEAVE A REPLY

*
*
* (公開されません)