苹果自2011年Mac OS X 10.7 Lion以来一直使用FileVault这个名称来表示全盘加密(通常简称为FDE)。多年来,FileVault一直使用一种读写密集的加密方法,首次加密硬盘需要很长时间,而之后对性能产生轻微影响,但并不明显。
作为交换,FileVault针对对计算机的物理访问提供了三个重要的保护,包括某人窃取您的Mac并有无限时间来获取访问权限。
首先,在静止状态(关机状态)下,您的Mac硬盘完全加密。没有加密密钥(由您的帐户密码保护),攻击者可以尝试直接破解或提取硬盘(或稍后的Fusion Drive和SSD),但它们将被完全锁定。
启用FileVault为您的Mac启动添加了一个更强的保护层级。
其次,macOS不会在启动时解锁您的硬盘,除非有有效的帐户密码或关联的恢复密钥。仍然可以被利用的一个矢量是,如果您使用苹果的选项将恢复密钥存储在苹果ID帐户中,那么破解您的Apple ID帐户的人潜在地也可以获取恢复密钥并解锁您的Mac硬盘。(技术上,启用FileVault后,您的Mac会使用恢复OS启动,这是一个小分区,还可以帮助您重新安装macOS或从大问题中恢复。)
[找不到您的恢复密钥?请参阅“如何在macOS中找到您的FileVault恢复密钥”。不确定是否有当前的恢复密钥?请参阅“您的macOS FileVault恢复密钥是否有效?这是如何检查的。”]
第三,即使在成功解锁硬盘并进入macOS之后,某人仍然需要通过普通的Mac安全性。他们需要一个帐户密码来登录。虽然间或会发现可以绕过登录界面的漏洞,但它们通常存在时间很短,因为它们在灰色市场上具有价值,随后被苹果发现并修复,并且无法远程触发。不法分子必须拥有这样的漏洞并且在您的已锁定的但已启动进入macOS的计算机前面。
从具有T2安全芯片的Intel Mac开始,苹果在macOS的底层构建了加密功能:您的启动内部卷始终是加密的,并且无法关闭。对于所有的M系列苹果硅芯Mac也是一样。(如果使用外部卷,启用FileVault也会对该卷进行加密,对于现代SSD来说可能会非常快速。)
对于装配了T2芯片的Intel Mac和所有M系列Mac,FileVault仅在第二步添加了保护。在这些Mac上禁用FileVault时,当您启动计算机时,硬盘将自动解锁并准备好以登录使用。
人们的安全需求各不相同。如果您从不担心有人能够使用某些高级黑客技能(包括政府机构)盗取您的计算机,那么也许您不需要启用FileVault。FileVault增加了风险层级,因为如果恢复OS上的帐户数据出现某种损坏,则必须具备恢复密钥才能重新获取Mac访问权限。(参见“如何在启用FileVault的情况下,使用恢复密钥解锁Mac。”)我经常收到来自那些由于安全原因未使用苹果iCloud托管密钥的人的电子邮件,而他们找不到他们的恢复密钥。
然而,如果您确信自己可以保持良好的记录(或信任iCloud托管的密钥)并且希望确保被盗或被访问的Mac永远不会泄露您的私人数据和其他机密信息,启用FileVault可以提供额外的保护层。
