На основании чего чип T2 при входе пользователя в систему расшифровывает SSD с включенным FileVault? Обход пароля пользователя приведет к возможной расшифровке SSD? Как и несколько лет назад, появились инструменты для обхода пароля пользователя.
В сети нашел:
Однако включите FileVault, и Mac, оснащенный T2, будет вести себя так же, как и тот, который обрабатывает шифрование диска в программном обеспечении. Вместо прямой загрузки macOS раздел восстановления загружается в специальном режиме, требующем ввода пароля любой учетной записи, разрешенной для использования FileVault. Пока этот пароль не будет введен, содержимое диска остается зашифрованным, как если бы оно находилось в состоянии покоя.
Из этого мы можем понять, что входа в систему вашего пользователя Mac — пользователя, одобренного T2 для разблокировки диска, на котором включен FileVault — достаточно для расшифровки диска. Из этого вопрос, обход пароля пользователя с помощью какого-то инструмента расшифрует диск?
Мне любопытно, потому что до T2, в зависимости от вашей конфигурации, вы могли закончить двумя запросами пароля при входе в систему:
Это казалось гораздо более сильным и безопасным подходом.
Нет, недостаточно просто обойти запрос пароля пользователя. Это работает не так, и это не менее безопасный или менее сильный подход, чем раньше — на самом деле это улучшение.
Принцип работы чипа T2 заключается в том, что он всегда шифрует содержимое SSD. Это происходит независимо от того, включен FileVault или нет. Если File Vault не включен, пароль для расшифровки SSD не требуется, как и следовало ожидать.
Однако когда пользователь включает File Vault, ключи для расшифровки SSD шифруются с помощью ключа, частично основанного на пароле пользователя. Это означает, что T2 больше не может самостоятельно расшифровывать SSD при загрузке. Сколько бы «хитростей» вы ни использовали для обхода подсказок пароля, это не сработает, так как у него нет ключа, необходимого для расшифровки.
Как только пользователь вводит свой пароль (или ключ восстановления), T2 получает необходимую информацию для получения полного ключа дешифрования и, таким образом, может расшифровать содержимое диска.
Примечание. Вышеизложенное представляет собой сильно упрощенное объяснение того, как работает FileVault и T2, но оно отражает то, как это воспринимается пользователями.