V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yuzenan888
V2EX  ›  macOS

配备 T2 芯片的 Mac 为什么开启 FileVault 之后开机依然需要输密码才能引导?

  •  
  •   yuzenan888 · 2019-06-29 11:39:07 +08:00 · 4639 次点击
    这是一个创建于 1977 天前的主题,其中的信息可能已经有所发展或是发生改变。

    按我的理解,T2 芯片相当于 TPM。

    而微软的 Bitlocker 在有 TPM 的情况下引导是不需要密码的。因为硬盘的密钥都是存在 TPM 里的。

    而 Mac 为什么还要输入密码才能引导?这对于 eGPU + Mac mini 的用户真的很不友好,启动时的密码只能盲输。

    14 条回复    2020-03-07 17:14:22 +08:00
    chendy
        1
    chendy  
       2019-06-29 12:21:36 +08:00
    输入的是用户的密码,和 FileVault 没关系吧
    ynyounuo
        2
    ynyounuo  
       2019-06-29 12:35:24 +08:00 via iPhone
    配备 T2 的电脑 FileVault 可以关了。对于有 T2 的 Mac 来说密码只是第二层防护,T2 对于启动盘的加密是默认的。
    yuzenan888
        3
    yuzenan888  
    OP
       2019-06-29 12:51:15 +08:00
    @chendy 不是的,用户密码是开机读条完成后再输的。
    @ynyounuo 嗯嗯,我也想关。不过能防止离线攻击吗?
    theolin
        4
    theolin  
       2019-06-29 12:52:47 +08:00
    因为苹果不保存用户的密钥。不管是设备上还是服务器上。苹果都不保存这个密钥。
    这样,当有人向苹果索取用户数据的时候,苹果最多只能提供加密之后的数据,无法对其进行解密。
    theolin
        5
    theolin  
       2019-06-29 13:00:09 +08:00
    如果苹果在 T2 保存了密码,那 filevault 就完全没有意义了。因为别人只要拿到设备,理论上就拿到了密钥。
    ynyounuo
        6
    ynyounuo  
       2019-06-29 13:07:34 +08:00 via iPhone
    @yuzenan888 离线攻击你是指外部引导获取内部硬盘解密内容吗?如果不改默认的不允许从外部硬盘引导那么不考虑未知漏洞的情况下应该不能通过外部引导的方式获取你电脑内部硬盘的解密信息。

    当然,你的离线攻击是说网上那种什么通过电流抖动破解 AES 256 那我就不清楚了,我觉得挺扯的…
    yuzenan888
        7
    yuzenan888  
    OP
       2019-06-29 13:28:24 +08:00
    @ynyounuo 哈哈,离线攻击我指的是把硬盘颗粒吹下来,放到专门的设备上读取。通过电流抖动破解的这种方式成为旁路攻击,这个当然就不考虑了。
    tulongtou
        8
    tulongtou  
       2019-06-29 15:09:04 +08:00
    @yuzenan888 你的 Mac 里保存里这么有价值的东西么,值得别人花这么大代价去破解
    wu67
        9
    wu67  
       2019-06-29 21:07:59 +08:00
    如果有一天你想试试用 u 盘重装系统, 你会发现更智障的东西
    yuzenan888
        10
    yuzenan888  
    OP
       2019-06-29 22:31:18 +08:00
    @tulongtou 这个……我觉得有。反正只属于自己的东西落到别人手里都会觉得不爽。
    @wu67 之前出 13 寸 MBP 的时候重装过一次,把安全启动关掉就行了,没发现什么问题。
    KevZhi
        11
    KevZhi  
       2019-06-30 11:32:50 +08:00   ❤️ 2
    如果说 2016 年之前的 Pro 和 Air,对于一些保密需求一般高的人士来说需要开启 FileVault 的话。那么配备 T2 的几乎不需要了。可以参考苹果的文档。(/HT208344 )(关于新 Mac 上的加密储存)
    T2 的设备就算不开启 FileVault,SSD 上的数据也会自动加密。也就是说,哪怕被拆机,NAND 吹下来放在专用设备上读取到的也不会是原始文件。
    但是不开启 FileVault 的话这个加密是在开机时被自动解密以便你访问的,开启后需要开机输入密码手动解密。
    yuzenan888
        12
    yuzenan888  
    OP
       2019-06-30 15:08:24 +08:00
    @KevZhi 谢谢!这篇之前看过,现在可以放心的关掉 FileVault 了。
    VVTA
        13
    VVTA  
       2020-03-07 15:32:17 +08:00
    @tulongtou 俺今天就发现智障的东西的
    步骤是这样的
    1.原有系统格式化后;
    2.想从 Upan 安装,结果死循环,永远不让你设置从 U 盘启动。。。

    这样只能通过在线安装这样乌龟的方式装老系统先了。
    tulongtou
        14
    tulongtou  
       2020-03-07 17:14:22 +08:00 via iPhone
    @VVTA 在线安装并不慢,主要还是看网速
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5361 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:25 · PVG 16:25 · LAX 00:25 · JFK 03:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.