Стандартной ошибкой шифрования диска в Linux является необходимость незашифрованного /boot. В частности, загрузчик и initrd. Шифрование всего диска означает размещение их в другом месте, например, на USB-накопителе.
edit: теперь я узнал, что grub теперь может расшифровывать файловую систему, содержащую ядро, при загрузке, поэтому в Linux нужно расшифровать только загрузчик.
У меня сложилось впечатление, что «известно», что FileVault реализует шифрование всего диска. Я, конечно, верил, что это так. Это немного сложно продемонстрировать без множества ссылок на внешние сайты. Пара внутренних:
грубая сила-шифрование-всего-диска и шифрование-всего-диска-с-загрузочным лагерем только для Windows
И существующий вопрос, который по существу отвечает на этот вопрос , - файловое хранилище-2-шифрование всего диска или шифрование всего раздела.
Кажется довольно очевидным, что хранилище файлов работает с детализацией разделов и что Apple использует отдельный загрузочный раздел. Я не могу найти никаких доказательств того, что хранилище файлов можно использовать в загрузочном разделе.
Я не понимаю, как он может загружаться настолько, чтобы предлагать приглашение для входа в систему, если весь диск зашифрован. Что мне не хватает?
Для справки, интересующая меня система использует apfs, а не cs, и не имеет чипа T2.
На самом базовом уровне Apple контролирует прошивку и сохраняет абсолютный минимум информации, необходимой для создания иллюзии того, что ОС работает на экране входа в систему перед загрузкой, когда FileVault включен.
Это довольно подробно задокументировано Apple:
До чипа T2, который служит своего рода доверенным модулем для аутентификации, если загружаемая ОС правильно подписана/зашифрована и/или не подделана, эта предзагрузочная информация может храниться в NVRAM, а также в EFI/восстановлении HD. которые не шифруются с помощью ключа, которому требуется пароль/парольная фраза пользователя для разблокировки основного хранилища.
Когда вы меняете фон или пользователей, которым разрешено разблокировать FileVault, эти кэшированные данные сохраняются за пределами зашифрованной части диска, поэтому мы видим значки и графический экран входа в систему. Когда я вижу, что Apple говорит, что загрузочный диск зашифрован, я понимаю, что это означает только логический том Macintosh HD, на котором хранятся все пользовательские данные и вся ОС, но не прошивка и предзагрузочные данные. (за исключением оборудования с поддержкой чипа T2, которое является особым случаем и еще не является нормой)
Вы можете подтвердить это, выбрав ниже любую похвалу в зависимости от того, поддерживает ли ваша ОС контейнеры APFS и APFS, которые являются новым стандартом для томов и шифрования, или контейнеры HFS+ и Core Storage.
diskutil cs list
diskutil apfs list
Еще одно захватывающее изменение, связанное с чипом T2 в новых MacBook Pro и iMac Pro, заключается в том, что он может принудительно шифровать внутреннюю память независимо от того, предпринимает ли кто-либо второй шаг шифрования FileVault. В частности, он сгенерирует ключ шифрования и начнет шифрование всех данных еще до создания учетной записи пользователя. SSD из любого из них не будет читаться, если его перенести на другой компьютер, независимо от того, есть ли на этом компьютере чип T2 или нет. Ключи, необходимые для расшифровки всего диска, хранятся исключительно в Secure Enclave.
Загрузочный раздел не обязательно должен быть на флешке, он также может быть на самом диске ( Boot OS X
):
pse@Mithos:~$ diskutil list
/dev/disk0 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *121.3 GB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_CoreStorage Macintosh HD 121.0 GB disk0s2
3: Apple_Boot Boot OS X 134.2 MB disk0s3
/dev/disk1 (internal, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *1.0 TB disk1
1: EFI EFI 209.7 MB disk1s1
2: Apple_CoreStorage Macintosh HD 999.3 GB disk1s2
3: Apple_Boot Recovery HD 650.1 MB disk1s3
/dev/disk2 (internal, virtual):
#: TYPE NAME SIZE IDENTIFIER
0: Apple_HFS Macintosh HD +1.1 TB disk2
Logical Volume on disk0s2, disk1s2
559BC36D-E609-490D-8DDA-7C6F344DBB9B
Unlocked Encrypted Fusion Drive
disk0s2
и disk1s2
являются частью логического тома disk2
.disk2
в моем случае)
без холма
Джон Честерфилд
bmike