Crittografia dell'intero disco. Come può essere crittografato il kernel?

3

Una trappola standard della crittografia del disco su Linux ha bisogno / boot non crittografato. Specificamente il bootloader e initrd. Crittografare l'intero disco significa metterlo da qualche altra parte, ad es. su una penna USB.

edit: ora ho appreso che grub può decrittografare un filesystem contenente il kernel all'avvio quindi è solo il bootloader che deve essere decodificato sotto Linux

Ho l'impressione che sia "noto" che FileVault implementa l'intera crittografia del disco. Ho certamente creduto che fosse così. Questo è un po 'difficile da dimostrare senza un sacco di link a siti esterni. Un paio di quelli interni:

crittografia brute-force-on-whole-disk e whole-disk-encryption-with-a-windows-only- Bootcamp

E una domanda esistente che risponde essenzialmente a questa domanda is-file-vault-2- intero-disk-crittografia-o-tutto-partizione-crittografia

Sembra abbastanza chiaro che il vault funzioni alla granularità della partizione e che Apple usi una partizione di avvio separata. Non riesco a trovare alcuna prova che suggerisca che il vault possa essere usato sulla partizione di avvio.

Non capisco come possa essere avviato fino al punto di offrire un prompt di login se l'intero disco è crittografato. Cosa mi manca?

Per riferimento, il sistema che mi interessa è usare apfs piuttosto che cs e non ha un chip T2.

    
posta Jon Chesterfield 20.07.2018 - 14:09
fonte

2 risposte

4

La partizione di avvio non ha bisogno di essere su un bastone, può anche essere sul disco stesso ( Boot OS X ):

pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *121.3 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage Macintosh HD            121.0 GB   disk0s2
   3:                 Apple_Boot Boot OS X               134.2 MB   disk0s3

/dev/disk1 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *1.0 TB     disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:          Apple_CoreStorage Macintosh HD            999.3 GB   disk1s2
   3:                 Apple_Boot Recovery HD             650.1 MB   disk1s3

/dev/disk2 (internal, virtual):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh HD           +1.1 TB     disk2
                                 Logical Volume on disk0s2, disk1s2
                                 559BC36D-E609-490D-8DDA-7C6F344DBB9B
                                 Unlocked Encrypted Fusion Drive
    
risposta data 20.07.2018 - 14:13
fonte
4

Al livello più elementare, Apple controlla il firmware e memorizza le informazioni minime necessarie per presentare l'illusione che un sistema operativo sia in esecuzione nella schermata di accesso pre-avvio quando FileVault è abilitato.

Questo è ampiamente documentato da Apple:

  • link - Certificazioni di sicurezza del prodotto, convalida e guida per macOS
  • link - Utilizza FileVault per crittografare il disco di avvio sul tuo Mac
  • link - Computer Mac con chip T2

Prima del chip T2 che funge da sorta di modulo fidato per autenticare se il sistema operativo che viene avviato è correttamente firmato / crittografato e / o non manomesso, queste informazioni di pre-avvio possono essere memorizzate nella NVRAM così come nella EFI / recovery HD che non viene crittografato con una chiave che richiede una password utente / passphrase per sbloccare la memoria principale.

Quando si cambia lo sfondo o gli utenti che sono autorizzati a sbloccare FileVault - questi dati memorizzati nella cache vengono salvati al di fuori della porzione crittografata del disco, quindi vengono presentate le icone e la schermata di accesso grafico. Quando vedo che Apple dice che il disco di avvio è crittografato, prendo questo per indicare il volume logico Macintosh HD che memorizza tutti i dati utente e tutto il sistema operativo ma non i dati del firmware e di pre-avvio. (eccetto per l'hardware con chip T2 abilitato che sono casi speciali e non ancora la norma)

Puoi confermare ciò con encomi qui sotto in base al fatto che il tuo sistema operativo supporti i contenitori APFS e APFS che è il nuovo standard per volumi e crittografia o contenitori HFS + e Core Storage.

diskutil cs list
diskutil apfs list

L'altro eccitante cambiamento in corso relativo al chip T2 sul nuovo MacBook Pro e l'iMac Pro è che può imporre la crittografia all'archivio interno indipendentemente dal fatto che qualcuno faccia il secondo passo della crittografia di FileVault. In particolare, genererà una chiave di crittografia e inizierà a crittografare tutti i dati prima che l'account utente venga creato. Un SSD di uno di questi non sarà leggibile se portato su un altro computer, indipendentemente dal fatto che quel computer abbia un chip T2 o meno. Le chiavi necessarie per decrittografare l'intera unità sono memorizzate esclusivamente in Secure Enclave.

    
risposta data 20.07.2018 - 18:34
fonte

Leggi altre domande sui tag