3 votos

Jon Chesterfield avatar

Cifrado de disco completo. ¿Cómo puede encriptarse el kernel?

Preguntado el 20 de Julio, 2018
Cuando se hizo la pregunta
226 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Un estándar de la trampa de cifrado de disco en Linux es la necesidad /boot sin cifrar. Específicamente el gestor de arranque y el initrd. El cifrado de todo el disco significa poner a aquellos que en algún otro lugar, por ejemplo, en una memoria USB.

edit: ahora he aprendido que el grub ahora puede descifrar un sistema de ficheros que contiene el kernel en el arranque por lo que es el gestor de arranque que necesita ser sin cifrar bajo Linux

Estoy bajo la impresión de que es "conocido" que FileVault implementa whole disk encryption. Ciertamente creía que este era el caso. Esto es un poco difícil de demostrar, sin un montón de links a sitios externos. Un par de internos:

fuerza bruta-en-todo-de cifrado de disco y todo el cifrado de disco-con-un-windows-sólo-bootcamp

Y una pregunta que responde esencialmente a esta pregunta es-de-archivo-bóveda-2-conjunto-de cifrado de disco-o la totalidad-de la partición de cifrado

Parece bastante claro que el archivo vault trabaja en la partición de granularidad y que Apple utiliza una partición boot separada. No puedo encontrar ninguna evidencia para sugerir que los archivos de la bóveda puede ser utilizado en la partición de inicio.

No entiendo cómo se puede arrancar tan lejos como para ofrecer una petición de inicio de sesión si el disco entero está cifrada. Lo que me estoy perdiendo?

Para referencia, el sistema que me interesa es el uso de pasf en lugar de cs y no tiene un T2 chip.

Preguntado el 20 de Julio, 2018 por Jon Chesterfield

Respuestas

¿Demasiados anuncios?

5voto

Oskar avatar
Oskar Puntos 1242

En el nivel más básico, Apple controla el firmware y almacena el mínimo absoluto de la información necesaria para presentar la ilusión de que un sistema operativo se está ejecutando en el pre-registro de inicio en la pantalla cuando FileVault está habilitado.

Esto está documentado ampliamente por Apple:

Antes de la T2 chip que sirve como una especie de confianza módulo para autenticar si el sistema operativo se inicia correctamente firmado y cifrado y/o no se ha alterado, este pre-arranque de la información puede ser almacenada en la memoria NVRAM, así como la EFI / recuperación de HD que no se encriptados con una clave que necesita una contraseña de usuario/contraseña para desbloquear el almacenamiento principal.

Cuando se cambia el fondo o los usuarios que están autorizados para desbloquear FileVault de este caché de datos se guarda fuera de la parte cifrada de la disco, por lo que se nos presenta con los iconos y gráficos pantalla de inicio de sesión. Cuando veo a Apple dicen que el disco de inicio es cifrada, me refiero a que el Macintosh HD volumen lógico sólo que almacena todos los datos de usuario y todos los sistemas operativos, pero no el firmware y pre-arranque de datos. (excepto para el T2 chip de hardware habilitados que son casos especiales y no la norma todavía)

Usted puede confirmar esto con cualquiera de los felicito por debajo de la base de si el sistema operativo admite la APF y los APF de envases, que es el nuevo estándar para los volúmenes y el cifrado o HFS+ y el Núcleo de los contenedores de Almacenamiento.

diskutil cs list
diskutil apfs list

El otro cambio interesante en curso relativas a la T2 chip en el nuevo MacBook Pro y el iMac Pro es que puede imponer el cifrado de almacenamiento interno si o no cualquiera toma el segundo paso de FileVault de cifrado. Específicamente, se genera una clave de cifrado y empezar a encriptar todos los datos antes de que la cuenta de usuario es creado. Un SSD de cualquiera de estos no se puede leer si se toma a otro equipo si ese equipo tiene un T2 chip o no. Las claves necesarias para descifrar toda la unidad se almacena únicamente en el Secure Enclave.

Respondido el 20 de Julio, 2018 por Oskar (1242 Puntos )

4voto

Matthew A. Flinchbaugh avatar
Matthew A. Flinchbaugh Puntos 41

La partición de arranque no debe ser en un palo, también puede ser en la unidad de sí mismo ( `` ):

Respondido el 20 de Julio, 2018 por Matthew A. Flinchbaugh (41 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X