Использование системы File Vault 2

До внедрения ОС Lion для защиты пользовательских данных выполнялось шифрование только содержимого домашней папки пользователя. Эта система, которая теперь называется Традиционный FileVault (Legace FileVault), имела ряд недостатков. Систему шифрования FileVault 2 нельзя включить, если для кого-либо из локальных пользователей еще активна система Традиционный FileVault (Legacy FileVault).

Система FileVault 2 защищает весь системный диск путем его преобразования в формат Mac OS Extended (журнальный, зашифрованный), который использует шифрование по стандарту XTS-AES 128. Этот переход к схеме шифрования всего диска устраняет все ограничения старой версии FileVault, поскольку шифрование происходит на уровне драйвера файловой системы.

Решение FileVault 2 компании Apple - это больше, чем просто новый формат диска; это система из новых технологий, которая позволяет компьютеру Мас перейти от стандартного системного диска к защищенному. Основные технологии FileVault 2: бесшовное преобразование форматов томов, синхронизация паролей учетных записей пользователей, защищенное хранилище ключей на серверах Apple для восстановления утерянных паролей, Lion Recovery для начального запуска системы и новое окно ввода пароля прошивки.

Со многими этими особенностями читатель встретится при загрузке с зашифрованного системного диска. Раньше процесс загрузки системы был традиционно прямолинейной задачей. Теперь же все переходит на новый уровень сложности, когда не удается напрямую прочитать системный загрузочный диск. Поэтому в компании Apple придумали способ проходить проверку подлинности и дешифровать защищенный системный диск при загрузке. В этом случае Мас на самом деле сначала загружается с раздела Lion Recovery HD и отображает пользователю окно входа в систему. Пользователь вводит пароль своей учетной записи, который затем используется для доступа к ключу расшифровки, с помощью которого выполняется разблокировка и расшифровка защищенного системного тома. Когда Мас получает доступ к системному тому, загрузка продолжается обычным путем с одним исключением: пользователь, который уже ввел свои учетные данные для разблокировки шифрована автоматически войдет в систему под своей учетной записью.

Процесс загрузки FileVault 2 требует, чтобы системный диск содержал скрытый раздел Lion Recovery HD. Потому, если на системном диске нет скрытого раздела Lion Recovery HD, включить систему FileVault 2 нельзя. К счастью, ОС Lion делает невозможном случайное включение FileVault 2, если не соблюдено это требование.