- 论坛徽章:
- 0
|
当苹果公司推出Panther及其150个新特性时,有谁曾料到:一种非常强大的安全技术FileVault会引发如此多的问题呢?
实际上,已有许多人发表此类文章并指出有关问题。然而围绕FileVault仍旧有许多悬而未决的问题, 焦点集中在其效率和安全性上。
通过本篇,我想带领大家领略FileVault并向你阐述其工作机制以及能够(不能够)做什么。最后,我希望有助于你回答一个重要问题:“我是否需要它?”
FileVault的工作机制
当在安全选项,面板中开启你的帐号对应的FileVault后,Mac OS X将你宿主目录下所有内容安全地加密为磁盘映像。然后可以快速对之加密解密,使得这些过程对于应用程序透明,无法感觉到其后台的操作。
FileVaul参与一种特殊的映像格式:USDP或SPARSE。这些文件的后缀为 .sparceimag。其特别之处在于无需你或系统的干预而对卷自动调整。
当用你的帐户登录后,Mac OS X将加密磁盘映像放置于宿主目录。应用程序访问时采用同样的路径,而无需所任何改变。
实际上,FileVault的妙处在于文件系统安装映像后,可以向一个文件夹一样进行访问,通常以层次结构出现。仔细研究发现,其实同其它磁盘映像一样,卷也是安装在计算机的根目录。
当你存取该磁盘映像所包含的文件时,是在一个加密保户的环境下进行的,文件从不以明文出现。一些应用程序甚至常需要在宿主目录下存放用户相关信息或自动保存内容,你不必像使用其它系统一样担心数据泄漏。
而当你登出系统时,该磁盘映像就被卸载并存为单一文件,该磁盘文件包含了虚拟卷。
这时,数据无法读取。它经过了128位加密安全保护。
对于其他用户而言,你的宿主目录成为和普通文件夹一样的单一可见磁盘映像文件。然而,要访问其中内容必须要有FileVault密码 。
FileVault能够使你免受哪些威胁?
如果你的膝上电脑被盗,可以窃取硬盘中的信息。即便是有firmware密码,也可以打开外壳取出硬盘,将之拷贝到另一他具有管理权限的计算机上,那么你硬盘中的内容将被一览无余。
一旦硬盘被拷贝到另一计算机上,就难免被窃之虞。以技术术语讲,就是苹果机上的UNIX许可机制不再起作用。
这就是FileVault的优势所在。即使无法阻止黑客反文硬盘,也会讲其内容变得毫无意义,触发他们可以破解密码或猜出密码。
当然,你的硬盘的其它部分并未加密,他人可以轻易访问。个人信息不会存放在宿主目录之外,除非以下情况:1)采用了一些另类程序没有遵循苹果OS X体系结构 或是2) 你手工将敏感信息放在位保护区域。
简言之,在你位登录时,FileVault可以对你的宿主目录下的内容加以保护。
哪些威胁FileVault无能为力
一些用户打开FileVault就认为其系统可以免受黑客或病毒攻击,从而高枕无忧。
然而,必须切记的是,一旦登录后,苹果OS X就对数据解密,因此你以及应用程序就可以访问了。所以当你登录后,黑客或病毒程序就可以轻易窃取你的信息,因为它们未加保护。
为了免受此类威胁,应采用最新杀毒程序、好的防火墙以及安全的密码。
注意这并非设计失误,在苹果OS X系统中还有其它保护措施(如许可系统),而且FileVault并非为防止黑客和病毒攻击而设计。
当然,FileVault本身也无法使你得膝上电脑免受盗窃,比必须确保其物理安全。旅行时必须要小心-- 尤其是在机场安检或等待行李时。在办公室或家里,常用安全电缆或锁在一个安全得地方。
FileVault究竟有多安全?
FileVault是一个非常安全的系统,是为专业人士特殊用途而设计的--而并非人人都用的娱乐品。
加密磁盘映像基于先进加密标准 (AES),而加密,该算法公认为既快又强大,而且也安全。
在Simson Garfinkel和Gene Spafford的书《Web安全》及《私密与商业》中有更多有关加密信息。
当然,加密机制中最为脆弱的一环就是你选取的密码。实际上,它应该非常牢固,通常要有尽重可能长的不同字符。令人欣慰的是,Panther中的Keychain实用工具中包括了一个内置的“密码检查器”来对你的密码进行分析评价。
此外,为了提高效率,在向计算机复制数据时应将FileVault打开,这样不仅会使处理加快,而且可以确保硬盘中没有残留数据,并且通过一种“回收实用工具”保持为未加密形式。
当然,你也可以打开自动登录选项。否则,FileVault会在黑客一打开及其就自动运行。这听起来可笑,但是许多用户在旅行是长忽视这一问题。为了关闭该选项,可以在系统选项应用程序中的帐户及安全选项面板中设置。
如果你用的是128位键值,那么就可以有3.4 x 10^38中不同的键值。据苹果公司称,当系统正常运行时,破解DES一秒内加密的密码需要最长149 tri万亿年,简直难以想象。 |
|