Доброго хабрадня!

Сегодня я расскажу вам, уважаемые хабралюди, о том, как хранить свои данные в облаке и не переживать за них. Точнее, я расскажу об интересной возможности сделать шифрованный образ диска в Mac OS X средствами самой системы.

Для опытных пользователей (коих прошу не судить слишком строго) в данном топике пользы нет, можете не отвлекаться. Но многим, я уверен, информация может пригодиться.

Итак, сейчас мы создадим зашифрованный образ с помощью Дисковой Утилиты и сохраним его на Яндекс.Диск (благо теперь он позволяет хранить шифрованные данные).

Для начала откроем Дисковую Утилиту. Для этого в лаунчере открываем папку «Утилиты» и находим там нужную программу. Теперь жмём «Новый образ».

Теперь настраиваем наш новый образ. Пусть он, для начала, будет иметь размер 500 метров. Мало? Ну так мы его сделаем растущим, дабы помещать туда данных сколько захотим. Кроме того (мы ведь шифровать хотим, да?), выбираем метод шифрования. Быстрый или надёжный. Ну и напоследок выбираем место хранения диска (то есть, папку Яндекс.Диска), имя для файла и имя для самого диска, которое будет отображаться в Finder.

Жмём кнопку «Создать» и вводим свою дату рождения свой хороший и надёжный пароль. Опционально, можем отключить запоминание этого пароля для улучшения секурности.

Всё! Образ диска готов, лежит в Яндексном облаке и зашифрован! Если Вы убрали галочку «Сохранить пароль» (или открыли свой Я.Диск на другом маке), то при попытке открыть файл mydata.sparseimage появится такой вот диалог ввода пароля:

Если пароль верен, то диск подключится и откроется в Finder.

Что ж, теперь можно открывать этот диск с любого мака, работать с его содержимым и не беспокоиться о безопасности данных. Единственное, что требует тестирования, это одновременная работа с образом из разных систем. Но, если учесть, что Я.Диск хранит файл только в облаке, больших проблем возникнуть не должно. То ли было бы с dropbox, хехе .

Ещё раз напоминаю: статья рассчитана на неопытных или нелюбознательных маководов и никак не претендует на инновационность. Посвящается облачной пятнице на хабре.

PS: У данного способа есть очевидный большой минус: работать с таким диском можно будет только на Mac OS X и точка. Никаких Windows/Linux/Android/iOS. Если Вы знаете хорошие кросплатформенные шифрованные диски - прошу отписаться.

По мере того как емкость флэш-дисков постоянно растет, а цены на них, напротив, падают, они набирают популярность. Особенно привлекательной оказывается их возможность по переносу значительных объемов данных на портативных USB-накопителях. Однако их портативность имеет и оборотную сторону - их очень легко потерять. Этот рецепт рассказывает о том, как защитить ваши конфиденциальные данные от постороннего доступа в случае утери накопителя флэш-USB.Вряд ли кто-то на сегодняшний день будет оспаривать удобство переноса данных с компьютера на компьютер на перезаписываемых портативных носителях флэш-USB. Тем не менее, это удобство имеет и оборотную сторону - риск для безопасности конфиденциальных данных. Емкость портативных носителей все растет, а сами они становятся все более и более миниатюрными. А ведь чем миниатюрнее устройство, тем проще его потерять. Если это случается, то вы не просто теряете само устройство и хранящиеся на нем данные. Фактически, если эти данные имеют для вас ценность или являются конфиденциальными, вы допускаете утечку информации.

По правде говоря, если вы действительно потеряете носитель флэш-USB, то в большинстве случаев тот, кто найдет это маленькое чудо, будет заинтересован не столько в ваших данных, сколько в самом устройстве - с тем, чтобы хранить на нем собственные данные. Причем здесь нужно отметить еще один момент. Вы используете свой накопитель флэш-USB на Mac, а большинство пользователей все-таки работают в Windows. Если ваш USB-диск подключить к компьютеру, работающему под управлением Windows, то Windows сразу же предложит отформатировать его, так что пользователи Windows вряд ли смогут прочесть ваши файлы, даже если им и интересно, что же хранится на утерянном вами носителе.

Но вот беда, если нашедший действительно заинтересуется содержимым вашей флэшки, и при этом у него есть в распоряжении Mac. С другой стороны, существует и шанс того, что вы оставите (забудете) свой накопитель буквально рядом с Mac - тогда любой случайно проходящий мимо пользователь сможет подключить его к этому Mac и, например, даже взять и скопировать себе ваши данные. Это - очень неприятный сценарий, и чтобы не допустить развития событий таким образом, недостаточно просто беречь свой USB-накопитель. Все мы люди, а людям свойственны рассеянность и забывчивость. Иными словами, у вас нет никакой гарантии, что вы не потеряете носитель с вашими драгоценными данными. Очевидно, что в данном случае данные следует защитить от постороннего доступа паролем. Сделать это можно, воспользовавшись приложением Disk Utility.

Зашифровываем диск USB

Первое решение, которое вам необходимо принять - это выяснить, какой объем пространства на вашем носителе USB следует выделить для данных, защищенных паролем. Как правило, хорошим решением является защита всех данных. В этом случае, создайте резервную копию вашего USB-носителя на рабочем столе (просто перетащите мышью все файлы и папки, хранящиеся на нем, в отдельную папку). Резервное копирование необходимо, так как для достижения поставленной цели вам потребуется стереть все данные с флэш-накопителя.

Создав резервную копию, запустите программу Disk Utility (она расположена в папке /Applications/Utilities) и с ее помощью переформатируйте USB-накопитель. После переформатирования Mac OS X автоматически создаст новый том и даст ему имя Untitled. Вы можете оставить это имя без изменений или присвоить тому любое другое по вашему усмотрению.

Теперь диск следует зашифровать. На этом шаге вы создадите на нем зашифрованный.dmg-файл, который будет выглядеть как диск, хранящийся на диске (это может выглядеть немного обескураживающе). Чтобы выполнить эту задачу, вернитесь в окно программы Disk Utility и щелкните по кнопке New Image. Сразу же после того, как вы щелкнете мышью по кнопке New Image, появится диалоговое окно, позволяющее задать различные опции для создаваемого.dmg-файла. Первое, о чем следует позаботиться - это о выборе местоположения вашего нового.dmg-файла. Вы можете создать этот файл на рабочем столе, а затем переместить его на USB-носитель, но можете создать его и прямо на целевом диске.

Как только местоположение для.dmg-файла будет задано, вы сможете задать и его размер. Хотя Disk Utility предоставляет ряд опций для создания.dmg-файлов предопределенных размеров, соответствующих стандартным емкостям типовых носителей (CD, DVD и т. д.), высока вероятность того, что опции, соответствующей размеру вашего USB-носителя, не окажется. Поэтому выберите из раскрывающегося списка Volume Size опцию Custom. Очевидно, что вам следует указать меньший размер, чем фактический размер физического диска, но, помимо этого, вам следует учесть и накладные расходы на форматирование диска. Например, на накопителе флэш-USB объемом 2 Гбайт максимальный размер файла образа составил 1.7 Гбайт.

Как только расположение и размер.dmg-файла будут заданы, вам потребуется указать тип создаваемого образа. В данном случае образ должен допускать как чтение, так и запись и при этом быть зашифрованным. Пример установки опций для создания зашифрованного образа показан на рис. 3.41.

ИЗБЕГАЙТЕ ПУТАНИЦЫ : При создании зашифрованного образа предварительно убедитесь в том, что когда вы нажимаете кнопку New Image, ни один из дисков не выделен подсветкой (т. е. не выбран). Если какой-то из дисков окажется выделенным, Disk Utility попытается создать образ выбранного диска вместо того, чтобы создавать новый, нетронутый образ. Впрочем, если вы допустите эту ошибку, ничего ужасного не случится - за исключением того, что вы можете получить сообщение об ошибке Resource Busy.

Нажмите кнопку Create, и ваша задача будет практически выполнена. Mac OS X предложит вам ввести и подтвердить пароль, после чего на вашем USB-носителе будет создан новый зашифрованный образ диска.

ПОЛОЖИТЕСЬ НА ПОМОЩЬ MAC OS X ПРИ СОЗДАНИИ ПАРОЛЕЙ : В состав Mac OS X входит удобная утилита для генерации паролей - Password Assistant (рис. 3.42). Mac OS X может не только оценить введенный вами пароль, но и сгенерировать для вас пароли с различными степенями стойкости ко взлому. Щелкните мышью по кнопке с изображением ключа, расположенной правее поля Password, и Mac OS X оценит ваш пароль. Щелкните мышью по кнопке с изображением двух треугольных стрелок правее поля Type. Раскроется список опций, из которого вы можете выбрать тип пароля.

Использование нового образа

Итак, вся подготовительная работа уже выполнена, и все, что вам теперь осталось - это начать пользоваться вашим новым зашифрованным носителем USB. Ваш.dmg-файл вложен в носитель USB, как матрешка, но на рабочем столе они выглядят как два отдельных тома. Чтобы поместить файл на зашифрованную область диска, перетащите его туда мышью, после чего вы спокойно можете путешествовать куда угодно с зашифрованными данными. Когда вам потребуется скопировать данные с зашифрованного диска, подключите к компьютеру USB-носитель, откройте вложенный.dmg-файл, введите пароль (рис. 3.43), и вы сможете работать с зашифрованными файлами.

Для предотвращения несанкционированного доступа и просто любопытных глаз, в OS X, как и во всех современных ОС, используются пароли пользователя. Большинство маководов его, естественно, используют, обеспечивая тем самым безопасность своей учетной записи, вход в которую не будет осуществлен пока вы не введете пароль пользователя. Как это ни печально, но существуют различные способы, которые позволяют сбросить пароль администратора и получить доступ ко всей информации, хранящейся на вашем компьютере.

Пользователи, для которых безопасность данных стоит не на последнем месте, наверняка пожелают застраховать себя от таких вещей и предотвратить возможность несанкционированного доступа к личной информации. Это можно сделать с помощью встроенного механизма шифрования FileVault.

Суть этого метода состоит в том, что при включении FileVault пароль нужно будет вводить еще до загрузки учетной записи, а это в свою очередь сделает недоступным использование известных способов сброса пароля (Single User Mode, загрузка с внешнего диска и т.д.). Использование FileVault является пожалуй самым простым способом, обойти все эти попытки, поскольку помимо шифрования данных на диске, он в обязательном порядке требует ввода пароля на ранних этапах загрузки системы. А именно это нам и нужно!

Для наглядности упростим все вышесказанное и посмотрим как выглядит включение Mac’а до и после активации FileVault:

• До . Загрузка > Single User Mode > Сброс пароля > Вход под root-пользователем
• После . Загрузка > Запрос пароля FileVault для получения доступа

FileVault чрезвычайно прост в настройке и включается в системных настройках OS X:

1. Открываем Настройки и переходим в раздел Защита и безопасность , на вкладку FileVault .

2. Жмем на пиктограмму замка и вводим пароль, который требуется для включения шифрования.

3. Если у вас несколько учетных записей - выбираем которые из них будут использовать шифрование.

4. Надежно сохраняем ключ восстановления - если вы забудете пароль, без ключа невозможно будет получить доступ к вашим данным.

5. Выбираем хранить (в зашифрованом виде) ключ восстановления на серверах Apple или нет. Если да - то выбираем три вопроса и указываем ответы на них. По ним Apple идентифицирует вас, случае обращения к ним при утере ключа.

6. Перезагружаем компьютер для применения внесенных изменений и включения шифрования.

Однако, важно понимать риски и ограничения, которые повлечет за собой использование полного шифрования диска. Здесь имеется ввиду возможное падение скорости чтения диска и невозможность восстановления ваших данных кем бы то ни было, в случае утери пароля. Но думаю это не проблема, если вы решились на такой серьезный шаг, как включение шифрования диска – вы по определению должны быть осмотрительным пользователем и надежно хранить свои пароли. Поэтому, использование FileVault вряд ли можно порекомендовать среднестатистическому пользователю, в отличии от маководов, которые предъявляют особые требования к безопасности. Если вы относитесь к последним, то я бы посоветовал включить FileVault и воспользоваться всеми преимуществами шифрования. Кроме того, очень полезно выработать привычку всегда блокировать ваш Mac, даже если вы покидаете рабочее место на несколько минут.

Первичное шифрование моего SSD объемом 120 ГБ, заполненного чуть больше чем наполовину - заняло около 40 минут.

Из соображений производительности, шифрование FileVault лучше всего использовать на Mac’ах с твердотельными SSD-накопителями, хотя с обычными жесткими дисками он тоже работает довольно неплохо (но все же некоторые пользователи отмечают значительное падение скорости чтения/записи в этом случае).

Как видите, Apple в очередной раз подтверждает состоятельность своей операционной системы, в состав которой входят все необходимые инструменты. FileVault отличная служба шифрования данных, обеспечивающая к тому же дополнительные преимущества безопасности.

Если у вас остались какие-нибудь вопросы - не стесняйтесь спрашивать в комментариях. Всегда рад буду услышать ваше мнение!

Я, как и у многие люди, связанные с системным администрированием, немного параноик. Я считаю, что мои данные хотят украсть. Пусть они реально никому, кроме меня (“и множества злоумышленников, которые спят и видят, как получить мои фотографии, подборку музыки и фильмов, и…”, — это слова моего внутреннего параноика) и не нужны, но защититься не помешает.

Что произойдёт, если ноутбук украдут?

Самый простой случай — вор сразу же переформатирует диск и поставит чистую версию операционной системы. Останется купить новый ноутбук, восстановиться из Time Machine и спокойно продолжить работу. Этот сценарий характерен для умного вора, который знает о функции ”Find My Mac ” и о системе Pray .

Но есть другой случай — вор или глуп, или любопытен. Если глуп, то начнёт пользоваться ноутбуком, не трогая систему. Недавняя история поимки такого вора описана в статье ”Why you don’t steal from a hacker ”. Всё закончилось плачевно для вора и отлично для владельца ноутбука.

Если вор любопытен и умён, то сразу же отключит сетевые интерфейсы, чтобы даже случайно система не вышла в Интернет, и начнёт изучать, чем бы можно поживиться.

Начнёт изучать документы, ключи доступа, попробует добраться до Keychain, посмотрит историю команд в shell и возможно наткнётся на пароль (в моей практике был случай, когда очень быстрый коллега в сессии излишне любопытного пользователя вбивал пароль администратора, но вбил не в поле запроса пароля, а просто в shell, и пароль администратора попал в.history). Пароль в клиническом случае может быть единым для системы и для базы 1Password. Можно дальше не продолжать. А дальше — или проникновение, или шантаж.

Надеюсь, вы не думаете, что запрос пароля при входе в систему кого-то остановит? Firmware Password (по крайней мере раньше) сбрасывался фокусом с вынимаем одной из нескольких планок памяти, а затем очисткой PRAM. Потом — single user mode, пара команд , и пароль изменён. Если же не хочется возиться с Firmware Password, то диск вынимается из ноутбука, подключается к другому компьютеру и доступ ко всем данным получен.

Для защиты от описанной ситуаций был реализован FileVault. В первой версии пользовательский домашний каталог помещался в зашифрованный контейнер (sparse bundle image), ключом к которому служил пользовательский пароль. Не зная пароля, контейнер невозможно было открыть. Не нужно исключать возможность угадывания пароля, но если пароль был сложным, то данные были в полной безопасности.

За безопасность нужно платить. Для того, чтобы сделать резервную копию данных в Time Machine, нужно было выйти из учётной записи. Сделать выборочное восстановление через интерфейс Time Machine было нельзя. Включение шифрования ухудшало производительность файловых операций порой на 50%. Были и другие мелкие сложности.

В OS X Lion вошла улучшенная версия — FileVault 2 , система шифрования полного диска, использующая алгоритм XTS-AES 128.

В процессе изучения вопроса я обращался к статьям MacFixIt ”About FileVault 2 in OS X 10.7 Lion ” и ArsTechnica ”File system changes in Lion ”.

Желающие разобраться с математическими моделями могут прочитать документ ”IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices ” и ”Не такой уж ты и страшный, XTS-AES ”.

Незашифрованными остаются раздел с EFI и Recovery HD:

$ diskutil list /dev/disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme *160.0 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disk0s3

1. После инициализации “железа” EFI находит Recovery HD и передаёт управление загрузчику /System/Library/CoreServices/boot.efi, находящемуся на этом разделе.
2. У загрузчика есть два варианта — запустить EfiLoginUI из com.apple.boot.x и показать стартовый экран с запросом пароля входа, или же, если была нажата комбинация Option-R — оболочку восстановления системы из com.apple.recovery.boot.
3. Ключи для расшифровки диска хранится в файле EncryptedRoot.plist.wipekey в каталоге /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Пользовательский пароль расшифровывает ключи к диску, находящийся в этом файле. Дальше они хранится в памяти, расшифровка содержимого диска производится “на лету”. Каждый раз при изменении пользовательского пароля, добавлении нового пользователя и подобных операциях EncryptedRoot.plist.wipekey перегенерируется.

FileVault работает и для пользователей, входящих через OpenDirectory — их аттрибуты доступа кешируются на случай отсутствия соединения с сервером каталогов.

Производительность дисковых операций при включенном FileVault 2 согласно тестам Anandtech ухудшается не более, чем на 20-30%, что вполне приемлемо. Однако стоит учитывать, что есть зависимость от процессора и диска . Новые процессоры Intel используют наборы инструкций AES-NI для ускорения работы с AES Intel® Advanced Encryption Standard Instructions (AES-NI) и с шифрованием диска справляются лучше, чем старые процессоры Core 2 Duo. Решение каждый принимает сам на основании собственного железа.

При краже Mac’а получить доступ к данным будет практически невозможно (при условии сложного пароля и неочевидных ответов на вопросы восстановления ключа в Apple). Придётся просто купить новый Mac и особо не беспокоиться о компрометации паролей и использовании данных.

Time Machine работает теперь без необходимости выхода из учётной записи. Теперь нужно беречь данные Time Machine, а лучше размещать их в зашифрованном разделе (как это сделать, описано в статье Mac OS X Lion FileVault 2 and Time Machine External Drive Encryption).

Из “особенностей” нужно помнить, что при загрузке с зажатым Option раздел “Recovery HD” будет недоступен, для загрузки с него нужно удерживать комбинацию клавиш Command-R.

Активация

Активация FileVault 2 проста. System Preferences/Security & Privacy/FileVault, Click the lock to make changes, Turn On FileVault. Обязательно нужно в надёжном и обязательно зашифрованном месте сохранить ключ и ответы на вопросы восстановления ключа (если выбрали его сохранение в Apple). Система предложит перезагрузиться. Сразу же при загрузке будет запрошен ваш пароль и после входа вы сразу же сможете работать. Ждать часами завершения шифрования раздела не нужно, эта операция производится в фоновом режиме пока вы полноценно работаете:

С запуском iCloud появится возможность “Find My Mac”, в которой по аналогии с “Find My iPhone/iPad” при появлении Mac в сети можно отобразить сообщение с воспроизведением звукового сигнала, заблокировать Mac или даже уничтожить содержимое зашифрованного диска (могу предположить, что удаляются ключи шифрования и диск становится бесполезным массивом данных).

Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть - FileVault. О нем мы сегодня и поговорим.

Что такое FileVault

FileVault - это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.

Как ни странно, но функция работает достаточно просто - все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.

Как работает FileVault

При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.

После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).

Почему стоит использовать FileVault

Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля - лишь вопрос времени. 
В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана Apple и уже встроена в систему, что говорит о полной интеграции с системой.

Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.

Какие есть недостатки

• Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
• Нельзя восстановить данные, если забыты пароль и ключ восстановления.
• В случае поломки накопителя данные также будут утеряны навсегда.
• Зашифрованные копии Time Machine не позволяют восстановить конкретный файл, а только копию целиком.

Как настроить FileVault

• Запускаем «Системные настройки».
• Заходим в пункт меню «Защита и безопасность», затем во вкладку «FileVault».
• Снимаем блокировку, нажав замочек в левом нижнем углу.
• Выбираем «Включить FileVault».
• Здесь мы должны выбрать подходящий нам вариант сброса пароля.
• В случае, если мы выбрали ключ восстановления, нам предоставят код, который обязательно нужно запомнить и сохранить в безопасном месте.

Осталось перегрузить наш Mac. Сразу после этого будет выполняться фоновое шифрование, при этом компьютером можно будет пользоваться без ограничений.