En el caso de los pre T2 macs el disco es no totalmente encriptado y el nombre del usuario se almacena en un volumen no encriptado llamado Preboot . Este volumen es legible por el firmware que llama a boot.efi dentro de ella. Esto muestra la pantalla de desbloqueo y, una vez introducida la contraseña, se desbloquea el volumen del SO y se carga el SO.
El término _Cifrado de disco completo_ se utiliza generalmente para describir algo distinto a Encriptación a nivel de archivo en lugar de implicar que no hay nada sin cifrar en el disco. Probablemente Encriptación de todo el volumen sería más claro.
Esto es muy parecido al cifrado Bitlocker de Windows o LUKS de Linux, excepto que tienden a exigir simplemente una contraseña/clave/huella dactilar válida, etc. para desbloquear, sin almacenar el nombre de usuario fuera del volumen cifrado.
En los macs T2 la estructura es la misma pero todo el disco está encriptado por lo que Preboot no es accesible hasta que el disco es desbloqueado por el chip T2.
Ordenadores Mac con el chip de seguridad T2 de Apple integrar la seguridad tanto en el software como en el hardware para proporcionar capacidades de almacenamiento cifrado. Los datos de la unidad de estado sólido (SSD) incorporada se cifran mediante un motor AES acelerado por hardware integrado en el chip T2. Este cifrado se realiza con claves de 256 bits vinculadas a un identificador único dentro del chip T2
Hay varias ubicaciones no encriptadas en el disco de inicio pre T2. En primer lugar, la partición EFI no está cifrada. Esta partición puede no contener nada o puede contener actualizaciones de firmware en un directorio EFI/APPLE . No se trata de datos privados o únicos. También puede contener cargadores de arranque para Windows u otros sistemas operativos, si los has instalado, ya que también necesitan una partición sin cifrar para arrancar.
A continuación, no todos los volúmenes de la partición que contiene el contenedor APFS que contiene MacOS están cifrados. En Mojave se ve así (Catalina tiene un volumen cifrado extra Macintosh HD - Data ).
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme - +21.5 GB disk1
Physical Store disk0s8
1: APFS Volume Macintosh HD 17.0 GB disk1s1
2: APFS Volume Preboot 27.6 MB disk1s2
3: APFS Volume Recovery 510.5 MB disk1s3
4: APFS Volume VM 20.5 KB disk1s4
Recovery no está encriptado (se puede entrar en la recuperación sin desbloquear) pero no parece contener datos únicos.Preboot no está encriptado (para que el sistema pueda encontrar el cargador de arranque boot.efi , usuarios de la pantalla, fondos de pantalla, etc.) antes de desbloquear el volumen del sistema operativo. Tiene al menos algunos datos que no son genéricos.
Puede montar Preboot y echa un vistazo a lo que contiene. Tomando el ejemplo de Mojave de arriba...
sudo mkdir /Volumes/Preboot
sudo mount -t APFS /dev/disk1s2 /Volumes/Preboot
En su interior encontrará un directorio nombrado con el GUID devuelto por diskutil info disk1s1|grep 'Volume UUID' .
A continuación, puede profundizar en este directorio - hay el cargador de arranque boot.efi que el firmware llama para iniciar MacOS y un montón de (a juzgar por sus nombres) archivos de recursos efi que contienen fuentes, recursos gráficos, etc. Por ejemplo:
[admin@macOS] / $ls /Volumes/Preboot/DD3856E8-5866-4F7E-8DDC-692FB7EB1C9F/usr/standalone/i386/EfiLoginUI
Lucida13.efires battery.efires guest_userUI.efires recovery_user.efires
Lucida13White.efires disk_passwordUI.efires loginui.efires sound.efires
appleLogo.efires flag_picker.efires recoveryUI.efires unknown_userUI.efires
No está muy claro qué es lo que hay en este volumen, pero al menos en estos archivos encontrarás tu nombre de usuario en texto plano.
-
.../System/Library/Caches/com.apple.corestorage/EncryptedRoot.plist.wipekey
</data>
<key>UserFullName</key>
<string>hali</string>
-
.../var/db/AdminUserRecoveryInfo.plist
<key>RealName</key>
<string>admin</string>
</dict>
</dict>
</plist>
-
.../var/db/CryptoUserInfo.plist - también parece contener los datos de los iconos de los usuarios
FABQAUAFABQAUAFABQAUAFAH/9k=
</data>
<key>PictureFormat</key>
<string>JPEG</string>
<key>ShortName</key>
<string>hali</string>
