Una trampa estándar del cifrado de disco en Linux es necesitar /boot sin cifrar. Específicamente el cargador de arranque e initrd. Cifrar todo el disco significa colocarlos en otro lugar, por ejemplo, en una memoria USB.
editar: ahora he aprendido que grub ahora puede descifrar un sistema de archivos que contiene el kernel en el arranque, por lo que solo el gestor de arranque debe descifrarse en Linux
Tengo la impresión de que es "conocido" que FileVault implementa el cifrado de disco completo. Ciertamente creía que este era el caso. Esto es un poco difícil de demostrar sin un montón de enlaces a sitios externos. Un par de internos:
fuerza-bruta-en-cifrado-de-disco-completo y cifrado-de-disco-completo-con-un-campamento-de-arranque-solo-de-windows
Y una pregunta existente que responde esencialmente a esta pregunta es-file-vault-2-whole-disk-encryption-or-whole-partition-encryption
Parece bastante claro que la bóveda de archivos funciona con granularidad de partición y que Apple usa una partición de arranque separada. No puedo encontrar ninguna evidencia que sugiera que la bóveda de archivos se puede usar en la partición de arranque.
No entiendo cómo puede arrancar hasta el punto de ofrecer un aviso de inicio de sesión si todo el disco está encriptado. ¿Qué me estoy perdiendo?
Como referencia, el sistema que me interesa usa apfs en lugar de cs y no tiene un chip T2.
En el nivel más básico, Apple controla el firmware y almacena la información mínima absoluta necesaria para presentar la ilusión de que un sistema operativo se está ejecutando en la pantalla de inicio de sesión previa al inicio cuando FileVault está habilitado.
Esto está documentado bastante extensamente por Apple:
Antes del chip T2, que sirve como una especie de módulo de confianza para autenticar si el sistema operativo que se está iniciando está correctamente firmado/encriptado y/o no manipulado, esta información previa al inicio se puede almacenar en NVRAM, así como en EFI/HD de recuperación. que no se cifran con una clave que necesita una contraseña/frase de contraseña de usuario para desbloquear el almacenamiento principal.
Cuando cambia el fondo o los usuarios que pueden desbloquear FileVault, estos datos almacenados en caché se guardan fuera de la parte cifrada del disco, por lo que se nos presentan los íconos y la pantalla gráfica de inicio de sesión. Cuando veo que Apple dice que el disco de inicio está encriptado, entiendo que se refiere solo al volumen lógico Macintosh HD que almacena todos los datos del usuario y todo el sistema operativo, pero no el firmware y los datos previos al arranque. (excepto para el hardware habilitado con chip T2 que son casos especiales y aún no son la norma)
Puede confirmar esto con cualquiera de los siguientes elogios en función de si su sistema operativo admite APFS y contenedores APFS, que es el nuevo estándar para volúmenes y cifrado, o contenedores HFS+ y Core Storage.
diskutil cs list
diskutil apfs list
El otro cambio emocionante que está en progreso en relación con el chip T2 en la nueva MacBook Pro y la iMac Pro es que puede aplicar el cifrado en el almacenamiento interno, ya sea que alguien tome o no el segundo paso del cifrado FileVault. Específicamente, generará una clave de cifrado y comenzará a cifrar todos los datos incluso antes de que se cree la cuenta de usuario. Un SSD de cualquiera de estos no se podrá leer si se lleva a otra computadora, ya sea que esa computadora tenga un chip T2 o no. Las claves necesarias para descifrar todo el disco se almacenan únicamente en Secure Enclave.
La partición de arranque no necesita estar en un dispositivo, también puede estar en la unidad misma ( Boot OS X
):
pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *121.3 GB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_CoreStorage Macintosh HD 121.0 GB disk0s2
3: Apple_Boot Boot OS X 134.2 MB disk0s3
/dev/disk1 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *1.0 TB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_CoreStorage Macintosh HD 999.3 GB disk1s2
3: Apple_Boot Recovery HD 650.1 MB disk1s3
/dev/disk2 (internal, virtual):
#: TYPE NAME SIZE IDENTIFIER
0: Apple_HFS Macintosh HD +1.1 TB disk2
Logical Volume on disk0s2, disk1s2
559BC36D-E609-490D-8DDA-7C6F344DBB9B
Unlocked Encrypted Fusion Drive
disk0s2
y disk1s2
forman parte del volumen lógico disk2
.disk2
en mi caso)
sin ladera
jon chesterfield
bmike