¿En función de lo que el chip T2, al iniciar sesión del usuario, descifra un SSD con FileVault habilitado? Omitir la contraseña de usuario resultará en un posible descifrado de la SSD. Como hace varios años, había herramientas que eludían la contraseña del usuario.
Por la web he encontrado:
Sin embargo, encienda FileVault y una Mac equipada con T2 participará en el mismo comportamiento de arranque que una que maneja el cifrado de disco en el software. En lugar de cargar macOS directamente, la partición de recuperación se inicia en un modo especial que requiere el ingreso de la contraseña de cualquier cuenta que tenga permiso para usar FileVault. Hasta que se ingrese esa contraseña, el contenido del disco permanece encriptado como si estuviera en reposo.
A partir de esto, podemos entender que iniciar sesión en su usuario de Mac, un usuario aprobado por T2 para desbloquear la unidad en la que está habilitado FileVault, es suficiente para descifrar la unidad. A partir de esta pregunta, ¿pasar por alto la contraseña de usuario usando algún tipo de herramienta descifrará la unidad?
Tengo curiosidad porque antes del T2, dependiendo de su configuración, podría terminar con dos solicitudes de contraseña al iniciar sesión:
Eso parecía un enfoque mucho más fuerte y seguro.
No, no es suficiente simplemente omitir la solicitud de contraseña de usuario. No es así como funciona, y no es un enfoque menos seguro o menos fuerte que el anterior; en realidad, es una mejora.
La forma en que funciona el chip T2 es encriptando siempre el contenido del SSD. Esto sucede sin importar si FileVault está habilitado o no. Si File Vault no está habilitado, no se necesita contraseña para descifrar el SSD, como era de esperar.
Sin embargo, cuando el usuario habilita File Vault, las claves para descifrar el SSD se cifran con una clave basada en parte en la contraseña del usuario. Esto significa que el T2 ya no puede descifrar el SSD por sí solo cuando se inicia. No importa cuántos "trucos" uses para eludir las solicitudes de contraseña, no funcionará, ya que no tiene la clave necesaria para descifrar.
Tan pronto como el usuario ingresa su contraseña (o una clave de recuperación), el T2 tiene la información necesaria para derivar la clave de descifrado completa y, por lo tanto, puede descifrar el contenido de la unidad.
Nota: Lo anterior es una explicación sumamente simplificada de cómo funcionan FileVault y T2, pero es representativo de cómo lo perciben los usuarios.