Embedded Files
Activar FileVault proporciona una capa adicional de seguridad para tus datos al cifrarlos, lo que ayuda a proteger tu información confidencial contra accesos no autorizados. Este proceso es especialmente importante si trabajas con información sensible o si necesitas cumplir con regulaciones de seguridad específicas.
1. Eligir una opción de Recuperación de FileVault
1. Eligir una opción de Recuperación de FileVault
Cuando configuras FileVault por primera vez, estableces un método de recuperación para restablecer tu contraseña y desbloquear tu disco.
Puedes optar por una de estas opciones :
Usar tu cuenta de iCloud
Crear una clave de recuperación personal.*
*Asegúrate de anotar la clave de recuperación y guárdala en un lugar seguro. Si olvidas tu clave de recuperación, no podrás restablecer tu contraseña, y tus archivos y configuraciones se perderán para siempre.
Si olvidas tu contraseña de inicio de sesión o necesitas restablecerla, FileVault no te permitirá acceder a tus archivos cifrados.
Las organizaciones pueden usar una solución MDM y gestionar las claves de FileVault. Es importante identificar si el ordenador del cliente está o no gestionado por una empresa.
2. Tokens de arranque
2. Tokens de arranque
En macOS 10.14 (Mojave) trajo la novedad del nuevo sistema de archivos de Apple (APFS), en el que trajo bastantes novedades con respecto a la gestión de los archivos y la encriptación.
En los volumenes anteriores a macOS 10.14 (llamados CoreStorage) las claves usadas durante el proceso de encriptación de FileVault se creaban cuando un usuario u organización activaban FileVault en un Mac.
Ahora, con los volúmenes APFS, las claves de cifrado se generan durante la creación de usuarios, la creación de la primera contraseña de usuario o durante el primer inicio de sesión de un usuario en un Mac.
La KEK (Clave de Encriptación de Clave) es una clave maestra que se utiliza para desencriptar todas las claves de encriptación en un sistema encriptado como FileVault en macOS.
El "identificador seguro" es una clave específica que actúa como una variante más segura, que usa las partes necesarias de la KEK, para desencriptar solo las secciones imprescindibles del disco APFS cuando un usuario ingresa correctamente su contraseña.
Al usar el "identificador seguro" en lugar de la KEK, se evita desencriptar todo el sistema, lo que garantiza que solo las partes necesarias del disco se desencripten para permitir el acceso a la información del usuario, manteniendo otras partes del sistema encriptadas y seguras.
3. Activar FileVault
3. Activar FileVault
Cuando activas FileVault, requiere que introduzcas la contraseña de inicio cuando quitas el modo reposo o el salvapantallas. Esto maximiza la seguridad de los datos.
Puedes activarlo en ajustes del sistema > privacidad y seguridad > FileVault.
Te pedirá todo lo anteriormente mencionado en el punto 14. Como es la encriptación del Volumen con FileVault
4. Como es la encriptación del Volumen con FileVault
FileVault usa el algoritmo de encriptación de datos AES-XTS para proteger volúmenes completos en dispositivos de almacenamiento internos y extraíbles.
En un Mac con chip de Apple, FileVault se implanta con un nivel de seguridad de Clase C.
En un Mac con el chip de seguridad T2 de Apple y en un Mac con chip de Apple, los dispositivos de almacenamiento interno encriptados conectados directamente a Secure Enclave aprovechan las funciones de seguridad del hardware del chip (Touch ID) y las del motor AES. Una vez que un usuario activa FileVault en un Mac, debe introducir sus credenciales durante el proceso de arranque.
El AES (Advanced Encryption Standard) es el algoritmo de seguridad que cifra los datos del Mac.
4.1 Almacenamiento interno con FileVault
4.1 Almacenamiento interno con FileVault
Un Mac encriptado con FileVault, protege los datos y el acceso no autorizado, incluso si se retira el disco duro y se conecta a otro ordenador.
En macOS 10.15 Catalina, se incluyó la encriptacion tanto al volumen del sistema como al de datos. Anteriomente, unicamente encriptaba los datos. Con esta mejora, el Sistema Operativo ganó una capa adicional de seguridad.
A partir de macOS 11 Big Sur, el volumen del sistema está protegido mediante la función de SSV (volumen del sistema firmado), pero el volumen de datos sigue protegido mediante encriptación.
El SSV es una seguridad reforzada que impide el acceso a archivos que no tengan una firma criptográfica de Apple y su ejecución. Es decir, que todo aquello que no sea firmado por Apple, no permite su ejecución.
4.2 Jerarquía se encriptación del volumen
4.2 Jerarquía se encriptación del volumen
La encriptación del volumen (con Apple Silicon o T2) se utiliza una jerarquía de claves. Esta jerarquía se basa en tecnologías de encriptación integradas en el chip del dispositivo.
Esta jerarquía de claves tiene cuatro objetivos importantes:
Requerir la contraseña del usuario para desencriptar el disco duro. Esto significa que necesitas ingresar tu contraseña cuando enciendes o reinicias tu Mac para que puedas acceder a tus archivos.
Proteger el sistema contra ataques de fuerza bruta. Esto significa que incluso si alguien intenta acceder físicamente al disco duro de tu Mac, no podrá desencriptarlo sin la contraseña adecuada.
Proporcionar una forma rápida y segura de borrar tus datos. Si necesitas borrar todo el contenido de tu Mac, se puede hacer de manera rápida y segura eliminando la información de encriptación necesaria.
Permitir a los usuarios cambiar su contraseña sin tener que volver a encriptar todo el disco duro. Si decides cambiar tu contraseña, el sistema puede actualizar las claves de encriptación sin necesidad de volver a encriptar todo el disco, lo que ahorra tiempo y esfuerzo.
La clave xART, que significa "eXternal Authentication Recovery Token" (Token de Recuperación de Autenticación Externa), es una clave especial que se utiliza en sistemas de seguridad como FileVault en macOS. Este token se genera y almacena externamente al dispositivo, por ejemplo, en un MDM.
4.3 Almacenamiento interno con FileVault desactivado
4.3 Almacenamiento interno con FileVault desactivado
Si FileVault no está activado en un Mac (Apple Silicon o T2), durante el proceso inicial del "asistente de configuración", el volumen estará encriptado, pero la clave de encriptación de volumen solo está protegida por el UID de hardware en Secure Enclave y el xART (si lo hubiera).
5. Eliminar volumenes FileVault
5. Eliminar volumenes FileVault
Al eliminar un volumen, Secure Enclave se encarga de elimina la clave de encriptación de volumen. Esto ayuda a evitar que en un futuro sea imposible acceder con esta clave, incluso para Secure Enclave.
Además, todas las claves de encriptación de volumen están encapsuladas con otra clave, que es la clave de contenido. La clave de contenido se ha diseñado para que los datos se borren de forma rápida y segura porque, sin ella, la desencriptación es imposible. Al borrarse la clave de contenido, se dejará de tener acceso a los volúmenes encriptados.
6. Dispositivos de almacenamiento extraíbles
6. Dispositivos de almacenamiento extraíbles
La encriptación de los dispositivos de almacenamiento extraíbles no utiliza las funciones de seguridad de Secure Enclave y su encriptación se realiza del mismo modo que en un Mac basado en Intel sin el chip T2.
Page updated
Google Sites
Report abuse