FileVault
FileVault
[image]
macOS에서 자체적으로 제공하는 디스크 암호화 기능. macOS에서 사용하는 드라이브를 암호화하며 macOS 10.13 High Sierra부터는 클린 설치 시 FileVault가 디폴트 옵션이다. 2003년부터 지원된 유서깊은 기능.
애플답게 FileVault를 켜면 알아서 모든 파일을 암호화해준다. 1에서는 홈 디렉터리만 암호화했지만 Mac OS X 라이언에서 등장한 FileVault 2부터는 디스크 전체를 암호화한다. 예외적으로 타임머신은 FileVault가 아니라 자체 설정을 통해 암호화한다.
이미 사용 중인 디스크를 포맷할 필요 없이 암호화할 수 있어서 편리하다.
암호화에는 256비트 키를 이용한 XTS-AES-128을 사용하며, 다른 것으로 변경할 수 없다. 시스템을 암호화할 때 복구키를 iCloud에 저장 가능하며, 이게 싫으면 로컬 복구키를 만들어 쓸 수도 있다. 로컬 복구키는 /dev/random에서 뽑아와 만드는데, 파일볼트를 껐다 켜지 않는 이상 변경되지 않는다[1]. 애플의 난수생성 보안은 일단 2012년의 분석에서는 안전하다는 평을 받았다. 만약 로컬 복구키를 잃어버린다면 미국 정부라도 키를 찾아낼 수가 없으니 그야말로 망했어요.
BitLocker와 같이 AES-NI 가속을 사용하여 암호화 하지만, 모든 파일을 몽땅 다 암호화하고 입출력 때마다 복호화 / 암호화를 반복하느라 약 20% 정도의 속도 저하가 일어난다. 하지만 SSD가 기본인 최신 맥에서는 그 정도의 성능 저하를 체감하는 건 쉽지 않다. 또한 APFS에서 파일 암호화를 기본적으로 지원하게 되면서 속도 저하 또한 크게 줄어들어 크게 체감할 수 없을 수준이 되었다.
[image]
1. 개요
macOS에서 자체적으로 제공하는 디스크 암호화 기능. macOS에서 사용하는 드라이브를 암호화하며 macOS 10.13 High Sierra부터는 클린 설치 시 FileVault가 디폴트 옵션이다. 2003년부터 지원된 유서깊은 기능.
애플답게 FileVault를 켜면 알아서 모든 파일을 암호화해준다. 1에서는 홈 디렉터리만 암호화했지만 Mac OS X 라이언에서 등장한 FileVault 2부터는 디스크 전체를 암호화한다. 예외적으로 타임머신은 FileVault가 아니라 자체 설정을 통해 암호화한다.
2. 특징
이미 사용 중인 디스크를 포맷할 필요 없이 암호화할 수 있어서 편리하다.
암호화에는 256비트 키를 이용한 XTS-AES-128을 사용하며, 다른 것으로 변경할 수 없다. 시스템을 암호화할 때 복구키를 iCloud에 저장 가능하며, 이게 싫으면 로컬 복구키를 만들어 쓸 수도 있다. 로컬 복구키는 /dev/random에서 뽑아와 만드는데, 파일볼트를 껐다 켜지 않는 이상 변경되지 않는다[1]. 애플의 난수생성 보안은 일단 2012년의 분석에서는 안전하다는 평을 받았다. 만약 로컬 복구키를 잃어버린다면 미국 정부라도 키를 찾아낼 수가 없으니 그야말로 망했어요.
BitLocker와 같이 AES-NI 가속을 사용하여 암호화 하지만, 모든 파일을 몽땅 다 암호화하고 입출력 때마다 복호화 / 암호화를 반복하느라 약 20% 정도의 속도 저하가 일어난다. 하지만 SSD가 기본인 최신 맥에서는 그 정도의 성능 저하를 체감하는 건 쉽지 않다. 또한 APFS에서 파일 암호화를 기본적으로 지원하게 되면서 속도 저하 또한 크게 줄어들어 크게 체감할 수 없을 수준이 되었다.
3. 관련 문서
[1] 중고 구입했는데 기관이나 학교 등에서 사용한 경우, 파일볼트 복구 키를 일괄적으로 설정하기도 한다. 이러면 나중에 구입한 사람은 파일볼트를 킬 때 복구 키가 보여지는 대신 기관에서 설정했다고 하면서 복구 키를 보여주지 않는다. 진행하지 말고 취소를 누른 다음, /Library/Keychains/ 경로에 가서 FileVaultMaster.cer 파일과 FileVaultMaster.keychain 파일을 삭제 및 휴지통 비우기 해주고 다시 파일볼트를 키면 정상적으로 개인 복구 키를 볼 수 있다.