Cifrado de disco completo. ¿Cómo se puede cifrar el núcleo?

3

Una trampa estándar de cifrado de disco en Linux es la necesidad / arranque sin cifrar. Específicamente el gestor de arranque y initrd. Cifrar todo el disco significa ponerlos en otro lugar, por ejemplo, en una memoria USB.

editar: ahora he aprendido que grub ahora puede descifrar un sistema de archivos que contiene el kernel en el arranque, por lo que es solo el gestor de arranque el que debe desencriptarse en Linux

Tengo la impresión de que se "sabe" que FileVault implementa el cifrado de disco completo. Ciertamente creía que este era el caso. Esto es un poco difícil de demostrar sin un montón de enlaces a sitios externos. Un par de internos:

por fuerza bruta-a-toda-disco-encriptación y de todo el disco cifrado-with-a-windows-only-bootcamp

Y una pregunta existente que responde esencialmente a esta pregunta es-file-vault-2-whole-disk-encryption-or-Whole-Partition-encryption

Parece bastante claro que la bóveda de archivos funciona con granularidad de partición y que Apple usa una partición de arranque separada. No puedo encontrar ninguna evidencia que sugiera que la bóveda de archivos se pueda usar en la partición de arranque.

No entiendo cómo puede arrancar hasta ofrecer una solicitud de inicio de sesión si todo el disco está encriptado. ¿Qué me estoy perdiendo?

Como referencia, el sistema que me interesa utiliza apfs en lugar de cs y no tiene un chip T2.

macos  security  filevault  encryption 
Jon Chesterfield
fuente
Nadie dice que la partición de arranque debe estar en un palo, también puede estar en la unidad :-)
nohillside
Supongo que sí. Un arranque encriptado en la unidad no se puede usar para arrancar Linux, pero se puede cargar en cadena desde otro núcleo si así lo desea.
Jon Chesterfield
Hola Jon, ¿puedes editar si estás utilizando contenedores APFS o contenedores HFS +? Las opciones de cifrado se amplían enormemente para APFS y la discusión que tenemos será incorrecta sin que uno u otro se reduzca. Un tratamiento adecuado de todo esto puede requerir un capítulo o dos en un libro y estoy bastante seguro de que está buscando una respuesta más limitada aquí.
bmike

Respuestas:

5

En el nivel más básico, Apple controla el firmware y almacena la información mínima absoluta necesaria para presentar la ilusión de que un sistema operativo se está ejecutando en la pantalla de inicio de sesión previo al inicio cuando FileVault está habilitado.

Esto está documentado ampliamente por Apple:

Antes del chip T2 que sirve como una especie de módulo de confianza para autenticar si el sistema operativo que se inicia está correctamente firmado / encriptado y / o no manipulado, esta información previa al arranque se puede almacenar en NVRAM, así como en EFI / recovery HD que no se cifran con una clave que necesita una contraseña de usuario / frase de contraseña para desbloquear el almacenamiento principal.

Cuando cambia el fondo o los usuarios que pueden desbloquear FileVault, estos datos almacenados en caché se guardan fuera de la parte cifrada del disco, por lo que se nos presentan los iconos y la pantalla de inicio de sesión gráfica. Cuando veo que Apple dice que el disco de inicio está encriptado, entiendo que solo significa el volumen lógico Macintosh HD que almacena todos los datos del usuario y todo el sistema operativo, pero no el firmware y los datos previos al arranque. (excepto el hardware habilitado para el chip T2, que son casos especiales y todavía no son la norma)

Puede confirmar esto con cualquiera de las recomendaciones a continuación en función de si su sistema operativo admite contenedores APFS y APFS, que es el nuevo estándar para volúmenes y cifrado o contenedores HFS + y Core Storage.

diskutil cs list
diskutil apfs list

El otro cambio emocionante que está en progreso en relación con el chip T2 en el nuevo MacBook Pro y el iMac Pro es que puede aplicar el cifrado al almacenamiento interno, ya sea que alguien tome o no el segundo paso del cifrado de FileVault. Específicamente, generará una clave de cifrado y comenzará a cifrar todos los datos incluso antes de que se cree la cuenta de usuario. Una SSD de cualquiera de estos no será legible si se lleva a otra computadora, ya sea que la computadora tenga o no un chip T2. Las claves necesarias para descifrar todo el disco se almacenan únicamente en el Enclave seguro.

bmike
fuente
Re: tu emoción. ¿Qué ventajas tiene usar el esquema de cifrado T2 en comparación con el FV2 ordinario (o con respecto al OP: la variante Linux dm-crypt [o lo que sea que pueda elegir allí])? ¿Y cómo se eliminarían los AppleSSD modernos de los MBP T2 en primer lugar?
LangLangC
1
@LangLangC Re sus preguntas, dejaré la primera para bmike ya que tendrá sus propios pensamientos sobre las ventajas de la T2. En cuanto a la pregunta sobre los SSD modernos de Apple, son básicamente chips de memoria flash soldados a la placa lógica, con el chip T2 actuando como controlador. Entonces, en realidad, tendría que quitar la placa lógica para eliminar los SSD . Con el equipo adecuado, uno podría eliminar solo los chips flash, pero sugeriría que más del 99.99% de las personas no tendrán acceso a ese tipo de equipo, e incluso si lo hicieran, el riesgo y el tiempo involucrados son enormes desincentivos.
Monomeeth
El chip T2 significa que Apple puede ofrecernos el borrado criptográfico de los medios al reemplazar / rotar / destruir las claves. Hasta ahora, si escribía información confidencial / confidencial en un SSD, el controlador podría intercambiar esos datos del espacio activo y ninguna forma de borrado limpiaría ese disco. Esto permite una ruta de recuperación si copia los datos en un SSD antes de asegurarse de que FileVault esté configurado (o si alguien desactivó el FV y comienza el descifrado y los datos se almacenan en claro).
bmike
4

La partición de arranque no necesita estar en un dispositivo, también puede estar en la unidad ( Boot OS X):

pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *121.3 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage Macintosh HD            121.0 GB   disk0s2
   3:                 Apple_Boot Boot OS X               134.2 MB   disk0s3

/dev/disk1 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *1.0 TB     disk1
   1:                        EFI EFI                     209.7 MB   disk1s1
   2:          Apple_CoreStorage Macintosh HD            999.3 GB   disk1s2
   3:                 Apple_Boot Recovery HD             650.1 MB   disk1s3

/dev/disk2 (internal, virtual):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh HD           +1.1 TB     disk2
                                 Logical Volume on disk0s2, disk1s2
                                 559BC36D-E609-490D-8DDA-7C6F344DBB9B
                                 Unlocked Encrypted Fusion Drive
nohillside
fuente
¿Cuál de las tres particiones está encriptada?
Jon Chesterfield
@Jon Chesterfield Ninguno directamente. disk0s2y disk1s2son parte del volumen lógico disk2.
nohillside
¿Apple_Boot y EFI no son parte del volumen lógico cifrado?
Jon Chesterfield
@JonChesterfield Solo el volumen lógico está encriptado (y las particiones que son parte de if)
nohillside
Eso sugiere la explicación técnicamente decepcionante de que OSX no puede cifrar todo el disco, a pesar de las descripciones que lo afirman.
Jon Chesterfield
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.