配备 T2 芯片的 Mac 为什么开启 FileVault 之后开机依然需要输密码才能引导?
yuzenan888 · 2019-06-29 11:39:07 +08:00 · 4613 次点击这是一个创建于 1961 天前的主题,其中的信息可能已经有所发展或是发生改变。
按我的理解,T2 芯片相当于 TPM。
而微软的 Bitlocker 在有 TPM 的情况下引导是不需要密码的。因为硬盘的密钥都是存在 TPM 里的。
而 Mac 为什么还要输入密码才能引导?这对于 eGPU + Mac mini 的用户真的很不友好,启动时的密码只能盲输。
 |
1
chendy 2019-06-29 12:21:36 +08:00
输入的是用户的密码,和 FileVault 没关系吧
|
 |
2
ynyounuo 2019-06-29 12:35:24 +08:00 via iPhone
配备 T2 的电脑 FileVault 可以关了。对于有 T2 的 Mac 来说密码只是第二层防护,T2 对于启动盘的加密是默认的。
|
 |
3
yuzenan888 OP |
 |
4
theolin 2019-06-29 12:52:47 +08:00
因为苹果不保存用户的密钥。不管是设备上还是服务器上。苹果都不保存这个密钥。
这样,当有人向苹果索取用户数据的时候,苹果最多只能提供加密之后的数据,无法对其进行解密。 |
|
5
theolin 2019-06-29 13:00:09 +08:00
如果苹果在 T2 保存了密码,那 filevault 就完全没有意义了。因为别人只要拿到设备,理论上就拿到了密钥。
|
|
6
ynyounuo 2019-06-29 13:07:34 +08:00 via iPhone
@yuzenan888 离线攻击你是指外部引导获取内部硬盘解密内容吗?如果不改默认的不允许从外部硬盘引导那么不考虑未知漏洞的情况下应该不能通过外部引导的方式获取你电脑内部硬盘的解密信息。
当然,你的离线攻击是说网上那种什么通过电流抖动破解 AES 256 那我就不清楚了,我觉得挺扯的… |
|
7
yuzenan888 OP @ynyounuo 哈哈,离线攻击我指的是把硬盘颗粒吹下来,放到专门的设备上读取。通过电流抖动破解的这种方式成为旁路攻击,这个当然就不考虑了。
|
 |
8
tulongtou 2019-06-29 15:09:04 +08:00
@yuzenan888 你的 Mac 里保存里这么有价值的东西么,值得别人花这么大代价去破解
|
 |
9
wu67 2019-06-29 21:07:59 +08:00
如果有一天你想试试用 u 盘重装系统, 你会发现更智障的东西
|
|
10
yuzenan888 OP |
 |
11
KevZhi 2019-06-30 11:32:50 +08:00  2
如果说 2016 年之前的 Pro 和 Air,对于一些保密需求一般高的人士来说需要开启 FileVault 的话。那么配备 T2 的几乎不需要了。可以参考苹果的文档。(/HT208344 )(关于新 Mac 上的加密储存)
T2 的设备就算不开启 FileVault,SSD 上的数据也会自动加密。也就是说,哪怕被拆机,NAND 吹下来放在专用设备上读取到的也不会是原始文件。 但是不开启 FileVault 的话这个加密是在开机时被自动解密以便你访问的,开启后需要开机输入密码手动解密。 |
|
12
yuzenan888 OP @KevZhi 谢谢!这篇之前看过,现在可以放心的关掉 FileVault 了。
|
Select Language