FileVault

FileVault
FileVault
기타 이름디스크 암호화 소프트웨어
운영 체제MacOS
면허증.독자 사양

FileVaultMac OS X 10.3(2003) 이후의 디스크 암호화 프로그램입니다.Mac 컴퓨터볼륨으로 즉시 암호화를 수행합니다.

버전 및 주요 기능

FileVaultMac OS X Panter(10.3)[1]와 함께 도입되었으며 시작 볼륨이 아닌 사용자의 홈 디렉토리에만 적용할 수 있었습니다.운영체제암호화된 스파스 디스크이미지(큰 단일 파일)를 사용하여 홈디렉토리의 볼륨을 표시합니다.Mac OS X LeopardMac OS X Snow Leopard는 번들 내에서 8MB 이상의 파일(밴드라고 함)에 데이터를 분산시키는 보다 현대적인 스파스 번들 디스크 이미지[2] 사용합니다.Apple은 이 FileVault의 원래 반복을 레거시 [3]FileVault라고 부릅니다.

Mac OS X Lion(10.7) 이상에서는 FileVault [3]2를 제공합니다.이는 대폭적인 재설계입니다.이것에 의해, OS X 의 기동 볼륨 전체가 암호화되어 통상, 홈 디렉토리가 포함되어 디스크 이미지의 어프로치가 없어집니다.디스크 암호화에 대한 이 접근법에서는 인증된 사용자의 정보가 암호화되지 않은 별도의 부팅[4] 볼륨(파티션/슬라이스 유형 Apple_Boot)에서 로드됩니다.

FileVault

사용자의 홈 디렉토리를 암호화하기 위해 Mac OS X Panter에 FileVault의 원래 버전이 추가되었습니다.

마스터 비밀번호 및 복구 키

FileVault를 활성화하면 시스템에서 사용자에게 컴퓨터의 마스터 비밀번호를 생성하도록 요청합니다.사용자 비밀번호를 잊어버린 경우 마스터 비밀번호 또는 복구 키를 사용하여 파일을 [3]복호화할 수 있습니다.

이행

FileVault 홈 디렉토리의 이행에는 다음 두 가지 제한이 있습니다.[5]

  • 대상 시스템으로의 이전 마이그레이션이 없어야 합니다.
  • 대상에 기존 사용자 계정이 없어야 합니다.

Migration Assistant가 이미 사용되었거나 타겟에 사용자 계정이 있는 경우:

  • 이행하기 전에 FileVault를 소스에서 비활성화해야 합니다.

내장 유틸리티를 사용하여 10.4를 사용하는 이전 Mac에서 FileVault 데이터를 새 머신으로 이동하는 경우 데이터는 이전 스파스 이미지 형식으로 계속 저장되며 사용자는 FileVault를 껐다가 다시 켜서 새로운 스파스 번들 형식으로 재암호화해야 합니다.

수동 암호화

FileVault를 사용하여 사용자의 홈 디렉토리를 암호화하는 대신 Disk Utility를 사용하여 암호화된 디스크 이미지를 직접 생성하여 홈 디렉토리의 서브셋을 저장할 수 있습니다(예를 들어,~/문서/개인).이 암호화된 이미지는 FileVault 암호화 홈디렉토리와 동일하게 동작하지만 사용자의 유지보수 하에 있습니다.

애플리케이션이 암호화된 파일에 액세스해야 하는 경우 사용자의 홈 디렉토리의 일부만 암호화하면 문제가 발생할 수 있습니다. 이 파일은 사용자가 암호화된 이미지를 마운트할 때까지 사용할 수 없습니다.이러한 특정 파일에 대한 심볼릭 링크를 만들면 이 문제를 어느 정도 완화할 수 있습니다.

제한 사항 및 문제

백업

이러한 제한은 v10.7 이전 버전의 Mac OS X에만 적용됩니다.

Mac OS X Server를 사용하지 않으면 Time Machine은 사용자가 로그아웃한 경우에만 FileVault 홈디렉토리를 백업합니다.이 경우 Time Machine은 홈 디렉토리 전체를 백업하는 것으로 제한됩니다.Mac OS X 서버를 Time Machine 대상으로 사용하면 사용자가 로그인하는 동안 FileVault 홈 디렉토리의 백업이 수행됩니다.

FileVault는 다른 사용자의 프로세스가 사용자의 컨텐츠에 액세스할 수 있는 방법을 제한하기 때문에 일부 서드파티 백업 솔루션은 컴퓨터의 다른 부분(다른 사용자의 홈 디렉토리 포함)이 [6][7]제외된 경우에만 사용자의 FileVault 홈 디렉토리의 컨텐츠를 백업할 수 있습니다.

문제들

레거시 FileVault에서는 몇 가지 단점이 발견되었습니다.1024비트 RSA 또는 3DES-EDE 중 하나를 크래킹하면 보안이 깨질 수 있습니다.

레거시 FileVault는 CBC 동작 모드를 사용했습니다(디스크 암호화 이론 참조).FileVault 2는 보다 강력한 XTS-AESW 모드를 사용합니다.또 다른 문제는 macOS "safe sleep"[8] 모드에서 키를 저장하는 것입니다.2008년에 발표된 연구에 따르면 DRAM(Dynamic Random-Access Memory)의 데이터 잔량은 상온에서 몇 초에서 몇 분, 메모리 칩을 저온으로 냉각할 때는 훨씬 더 오래 유지되는 것으로 나타났습니다.이 연구의 저자들은 콜드 부트 공격을 사용하여 FileVault를 포함한 일반적인 디스크 암호화 시스템의 암호 키를 회복할 수 있었습니다.이는 키 스케줄링 등 효율적인 사용을 위해 키를 확장한 후 키를 저장하는 방식의 용장성을 활용함으로써 가능했습니다.저자는 [9]소유자가 물리적으로 제어할 수 없을 때 컴퓨터를 "sleep" 상태로 두는 것이 아니라 전원을 끌 것을 권장합니다.

이전 버전의 FileVault에서는 사용자의 패스프레이즈가 자동으로 시스템 키체인에 저장되므로 사용자가 이 보안 취약점을 인식하고 수동으로 비활성화해야 했습니다.

2006년 Jacob Appelbaum & Ralf-Phillip Weinmann은 FileVault: An Analysis of Apple's Encrypted Disk Storage System이라는 제목의 제23회 Chaos Communication Congress에서 Mac OS X 디스크 이미지 [8]파일을 암호화하는 BitleFault를 발표했습니다.

디스크 유틸리티를 사용하여 빈 공간을 삭제해도 이전에 삭제된 파일의 대부분은 그대로 남아 있습니다.마찬가지로 FileVault 콤팩트 작업에서는 이전에 삭제된 [10]데이터의 일부만 삭제되었습니다.

FileVault 2

보안.

FileVault는 암호화 암호 구문으로 사용자의 로그인 암호를 사용합니다.128비트 [11][12]블록과 256비트 키를 가진 AES의 XTS-AES 모드를 사용하여 디스크를 암호화합니다(NIST 권장).잠금을 해제할 수 있는 사용자만 드라이브를 시작하거나 잠금을 해제할 수 있습니다.잠금이 해제되면 다른 사용자도 컴퓨터가 [3]종료될 때까지 컴퓨터를 사용할 수 있습니다.

성능

Intel Core i 및 OS X 10.10.[13]3 등의 AES 명령 집합과 함께 CPU를 사용할 경우 FileVault 2를 사용하는 경우의 I/O 성능 저하율은 약 3%로 나타났습니다.이 명령 세트가 없는 CPU(: 오래된 코어 CPU)는 성능 저하가 더 커집니다.

마스터 비밀번호 및 복구 키

시스템 실행 중에 FileVault 2를 활성화하면 시스템에 대한 복구 키가 생성되어 표시됩니다.또한 옵션으로 사용자에게 Apple에 키를 저장할 수 있습니다.120비트 리커버리 키는 모든 문자와 숫자1 ~ 9로 부호화되어 /dev/random에서 읽히기 때문에 macOS에서 사용되는 PRNG의 보안에 의존합니다.2012년 암호 분석에서 이 메커니즘은 [14]안전한 것으로 밝혀졌다.

File Vault 볼륨을 다시 [3]암호화하지 않으면 복구 키를 변경할 수 없습니다.

확인

OS X 10.9 이상에서 FileVault 2를 사용하는 사용자는 암호화 완료 후 터미널에서 sudo fdesetup validate recovery를 실행하여 암호화 후 키가 올바르게 동작하는지 확인할 수 있습니다.키는 xxx-xxx-xxx-xxx-xxx-xxxx-xxxx 형식이어야 하며 올바른 [15]경우 true가 반환됩니다.

사용자 계정 없이 FileVault 2로 OS 부팅

OS X 10.7.4 또는 10.8을 클린 인스톨 하기 전에, 기동시에 사용하는 볼륨이 소거되어 암호화되어 있는 경우는, 다음의 순서에 따릅니다.

  • 볼륨에 대한 암호가 있습니다.
  • 클린 시스템은 설치 후 FileVault가 활성화되어 있는 것처럼 즉시 동작합니다.
  • 복구 키도 없고 Apple에 키를 저장하는 옵션도 없습니다(단, 시스템은 키가 생성된 것처럼 동작합니다).
  • 컴퓨터가 부팅되면 EfiLogin에 Disk Password가 표시됩니다.UI – 볼륨 잠금 해제 및 시스템 부팅에 사용할 수 있습니다.
  • 실행 중인 시스템에서 기존 로그인 창이 나타납니다.

Apple은 이러한 접근 방식을 Disk Password 기반 [11]DEK라고 합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Apple Previews Mac OS X "Panther"". Apple Press Info. Apple. June 23, 2003. Retrieved January 21, 2013.
  2. ^ ScottW (November 5, 2007). "Live FileVault and Sparse Bundle Backups in Leopard". macosx.com. Archived from the original on October 29, 2013. Retrieved January 21, 2013.
  3. ^ a b c d e Apple Inc (August 9, 2012). "OS X: About FileVault 2". Apple Inc. Retrieved September 5, 2012.
  4. ^ Apple Inc (August 17, 2012). "Best Practices for Deploying FileVault 2" (PDF). Apple Inc. p. 40. Archived from the original (PDF) on August 22, 2017. Retrieved September 5, 2012.
  5. ^ "Archived - Mac OS X 10.3, 10.4: Transferring data with Setup Assistant / Migration Assistant FAQ". Apple support. Apple. Retrieved January 21, 2013.
  6. ^ "Using Encrypted Disks". CrashPlan PROe support. CrashPlan PROe. Retrieved January 21, 2013.
  7. ^ "Using CrashPlan with FileVault". CrashPlan support. CrashPlan. Retrieved January 21, 2013.
  8. ^ a b Appelbaum, Jacob; Weinmann, Ralf-Philipp (December 29, 2006). Unlocking FileVault: An Analysis of Apple's disk encryption (PDF). 23rd Chaos Communication Congress. Berlin. Retrieved March 31, 2007.
  9. ^ Halderman, J. Alex; et al. (February 2008). Lest We Remember: Cold Boot Attacks on Encryption Keys (PDF). 17th USENIX Security Symposium. San Jose, CA.
  10. ^ Zdziarski, Jonathan (January 1, 2008). "File Vault's Dirty Little Secrets".
  11. ^ a b Apple, Inc (August 17, 2012). "Best Practices for Deploying FileVault 2" (PDF). Apple, Inc. p. 28. Archived from the original (PDF) on August 22, 2017. Retrieved September 5, 2012.
  12. ^ Dworkin, Morris (January 2010). "Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices" (PDF). NIST Special Publication (800–3E). doi:10.6028/NIST.SP.800-38E.
  13. ^ "How Fast is the 512 GB PCIe X4 SSD in the 2015 MacBook Pro?". Tech ARP.
  14. ^ Choudary, Omar; Felix Grobert; Joachim Metz (July 2012). "Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption". Retrieved January 19, 2013. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  15. ^ "fdesetup(8) Mac OS X Manual Page". Apple. August 21, 2013. Retrieved August 9, 2014.