FileVault 和 T2 安全芯片如何在较新的 Mac 中协同工作
较新的 Mac 配备了 T2 安全芯片,带有自己的 Secure Enclave,这是一种防篡改的芯片,可以像 iPhone 和 iPad 一样提供高水平的安全性。它用于启用 Touch ID 并允许在笔记本电脑上使用 Apple Pay,但它还可以处理许多其他任务,包括全盘加密。 (T2 芯片于 2017 年末开始随 iMac Pro 一起出现在 Mac 中;查看此列表来检查您是否’我不确定你的是否是其中之一。)
在 T2 之前的型号上,macOS 使用软件和硬件加速加密的组合来使用 FileVault 加密磁盘上的所有数据,可以通过”安全和隐私”首选项窗格的 FileVault 选项卡打开和关闭该功能。在这些较旧的 Mac 上,FileVault 第一次完全加密驱动器可能需要很长时间,并且在加密过程中会导致系统陷入困境。之后,Mac 处理实时读写的速度通常与数据未加密时几乎相同。
FileVault 可防止以任何有效方式提取静态磁盘(未通电和登录)上的数据。这些数据只是一堆数字垃圾,无法访问密钥,并且如果没有 Mac 上 FileVault 链接帐户之一的密码,则无法检索密钥,必须在启动时输入该密码才能解锁驱动器.
IDG/罗曼·洛约拉 刚刚发布的27英寸iMac配备了T2安全芯片。
有了 T2 芯片管理加密,FileVault 在这些型号上还需要做什么?这是相当微妙的。
在装有 T2 的 Mac 上关闭 FileVault 后,如果不熟练的人从 Mac 中提取驱动器,则内容仍然无法访问。这比 T2 之前的 Mac 有所改进,在 T2 之前的 Mac 上,不受 FileVault 保护的内容是完全可读的。这是一个基线安全改进。 (因此,顺便说一句,通过”查找我的设备”接收”擦除此设备”命令的配备 T2 的 Mac 几乎会立即被”擦除”,就像没有 T2 芯片且启用了 FileVault 的 Mac 一样:擦除加密密钥会导致驱动器的内容永久无法检索。)
但是,如果不启用 FileVault,Mac 只需启动即可让全盘加密开始工作,即使它不会自动登录帐户。虽然加密被锁定到由 T2 芯片中的 Secure Enclave 管理的硬件密钥,但一旦 Mac 启动到登录屏幕,解密就会开始。恶意方可能能够破坏 macOS 或使用硬件方法从已安装和正在运行的驱动器访问数据。
然而,打开 FileVault,配备 T2 的 Mac 会执行与在软件中处理磁盘加密的 Mac 相同的引导行为。恢复分区不是直接加载 macOS,而是以特殊模式启动,需要输入允许使用 FileVault 的任何帐户的密码。在输入密码之前,磁盘的内容将保持加密状态,就像处于静止状态一样。
我建议在配备 T2 的 Mac 上启用 FileVault,以获得最大的安全性和安心。奖金?由于 T2 芯片已经对驱动器进行了加密,因此没有任何开销,也没有延迟:FileVault 会立即启用。
询问 Mac 911
我们整理了最常被问到的问题列表以及答案和专栏链接:阅读我们的超级常见问题解答,看看您的问题是否得到解答。如果没有,我们总是在寻找新的问题来解决!通过电子邮件将您的信息发送至 mac911@macworld.com,包括适当的屏幕截图,以及您是否希望使用您的全名。并非所有问题都会得到解答,我们不会回复电子邮件,也无法提供直接的故障排除建议。