31 julio, 2021

¿Realmente necesito FileVault? | MacMyths

Ayer mi amigo me llamó y me preguntó cómo detener FileVault en Mac. Compró una MacBook reacondicionada, y cuando estaba configurando las cosas, marcó la casilla que enciende FileVault.

Una vez que se dio cuenta de lo que hizo, me llamó presa del pánico y me preguntó qué las opciones eran. Le pregunté por qué no quería habilitar el cifrado y mencionó tres cosas que le preocupaban. Revisaremos todos ellos:

  • ¿FileVault ralentizará el sistema?
  • ¿Qué sucede? si olvida la contraseña o la clave de recuperación?
  • Es posible que FileVault no sea seguro.

Y tampoco estaba seguro de que realmente se necesitara FileVault. Entonces respondí lo siguiente:

FileVault es un mecanismo de encriptación incorporado desarrollado por Apple, y encripta todos los archivos en el disco de inicio de Mac. Vale la pena habilitar FileVault porque esto evitará el acceso a los datos del usuario en caso de que la MacBook se pierda o sea robada.

Y ahora, repasemos los conceptos básicos.

El impacto de FileVault en Mac Performace

Para averiguar si FileVault ralentiza las Mac y cuánto tardan los procesos de cifrado y descifrado, probé FileVault en 5 Macs diferentes con las siguientes configuraciones:

  1. Mac-Mini finales de 2012, 8GB RAM. El tamaño de la unidad Macintosh HD es de 180 Gb porque el resto de la unidad está en Bootcamp. 145 GB de espacio utilizado. OS High Sierra 10.13.4.
  2. MacBook Air de 13 pulgadas a principios de 2014, 4 GB de RAM. 67 GB de espacio utilizado en un disco de 121 GB. Con MBA realicé dos pruebas: una con OS Yosemite 10.10.5 y otra con Mojave 10.14.5.
  3. MacBook Pro 13 pulgadas principios 2015, 8GB RAM. SO Mojave 10.14.5. Con MBP también realicé dos pruebas. Primero, lo tenía con 87 GB de espacio usado en un disco de 121 GB. Luego borré el disco y reinstalé el sistema operativo, por lo que se utilizaron alrededor de 10 GB de espacio.
  4. MacBook Pro de 15 pulgadas 2016 TouchBar, 16 GB de RAM. 115 GB de espacio usado en un disco de 192 GB. OS High Sierra 10.13.6. Este también tenía Bootcamp instalado.
  5. MacBook Pro de 13 pulgadas 2020 TouchBar, 16 GB de RAM. 160 GB de espacio usado en un disco de 256 GB. OS Catalina 15.5.5.

habilitar / deshabilitar FileVault

Activar FileVault Desactivar FileVault
Mac-mini 5 horas 40 minutos 4 horas 40 minutos
MBA Yosemite 18 min 12 min
MBA Mojave 46 min 42 min
MBP de 13 pulgadas, 67 GB usados ​​ 40 min 41 min
MBP de 13 pulgadas, 10 GB usados ​​ 7 min5 minutos
MBP de 15 pulgadas 4 horas 51 min 4 horas 10 minutos
MBP 13- pulgada 2020 InstantáneoInstantáneo

En un MacBook nuevo (con chip de seguridad T2), el proceso es instantáneo. Con las MacBooks más antiguas, se tarda menos de 10 minutos en habilitar si el disco está casi vacío. Si FileVault se habilita más tarde, la velocidad de cifrado depende del tamaño de la unidad y puede variar de 20 minutos a 5-6 horas.

Lo más frustrante es que Apple no puede darle incluso una estimación aproximada. La estimación en la pantalla fluctúa continuamente. En un momento dice que solo toma 15 minutos, y un segundo después, dice que “queda más de un día”.

Y también está claro que el tiempo para apagar FileVault (descifrar) es aproximadamente similar al tiempo que lleva encenderlo .

Es interesante que a pesar de que MBP de 15 pulgadas tiene el SSD más rápido y la CPU más potente de todos los dispositivos, el tiempo para cifrar y descifrar fue cercano al de Mac Mini. Si bien ambas computadoras son muy diferentes en cuanto al hardware, tenían algunas similitudes. Ambos ejecutan High Sierra y ambos tienen particiones Bootcamp.

Otra observación interesante es la diferencia en el tiempo de cifrado entre MBA con Yosemite y Mojave. Primero, probé el MBA con Yosemite y MBP con Mojave.

Cuando vi lo más rápido que era MBA, me sorprendió porque se supone que MBP es más rápido. Así que actualicé mi MBA a Mojave y el tiempo de cifrado aumentó exactamente 3 veces.

Podría haber dos posibles explicaciones: o el cifrado en Mojave es más lento que en Yosemite o el formato del disco importa.

Cuando actualiza Mac desde Yosemite a algo superior a High Sierra, el formato del disco cambia de Mac OS Extended a APFS. Es posible que el tiempo de encriptación con APFS sea mayor que con formatos de disco más antiguos.

Y como tocamos el tema de los Bootcamps, también quiero responder la siguiente pregunta.

¿FileVault cifra Bootcamp? No, FileVault solo cifra la partición Mac del disco mientras que Windows gestiona la partición Bootcamp. Sin embargo, es posible cifrar la partición Bootcamp (Windows) con BitLocker.

Por cierto, aún puede cambiar de Mac parcial a Bootcamp mientras el proceso de cifrado o descifrado aún está en curso. Mac continuará donde lo dejó y continuará con el cifrado mientras esté conectado a macOS.

La próxima prueba creo que es la más importante. La mayoría de la gente se preocupa por el posible impacto del cifrado en el rendimiento. Entonces, probé el rendimiento del disco con Blackmagic Disk Speed ​​Test, medí las lecturas y escrituras antes y después del cifrado y presenté los resultados en la siguiente tabla.

Rendimiento del disco con y sin FileVault

Lee antes, MB / s Escribe antes, MB / s – 29,4% 1094,3 – 19,6%
Mac
Lee después, MB / sCambio
Escritura después, MB / sCambio
Mac -mini 81,7 77,8 – 5% 93.5 91.2 – 2.5%
MBA Yosemite 308 217,4
647.2 499,8 – 22,8%
MBA Mojave 314.6 241.7 – 23.2% 698.1 576.2 – 17,5%
MBP 13 ″ 2015 582.5 301.8 – 48,2% 1361.3
MBP 15 ″ 1885.2 1502.6 – 20,2% 2146.5 1966.1 – 8.4%
MBP 13 ″ 2020 1111 1110 0% 1662 1660 0%

Después de revisar los resultados, pude sacar las siguientes conclusiones.

Entonces, ¿FileVault afecta el rendimiento? FileVault degrada significativamente el rendimiento del disco en todos los modelos antiguos de Mac. El impacto de FileVault en las escrituras de disco es el más alto, en algunos casos, hasta la mitad. El impacto en las lecturas del disco es de aproximadamente un 10-20%.

Sin embargo, el problema se solucionó con la introducción de chips T2 donde el cifrado y el descifrado se realizan a nivel de hardware.

Para saber si su Mac tiene un chip T2, haga clic en el logotipo de Apple, luego haga clic en Acerca de esta Mac y luego en Informe del sistema.

En la sección Controlador verá el nombre del modelo: Apple Chip de seguridad T2.

¿Qué es FileVault y cómo funciona?

Como se indicó anteriormente, FileVault es un mecanismo de cifrado. Solo los usuarios que estaban habilitados en el momento en que se activó FileVault pueden acceder y leer los archivos en el disco. FileVault es una de las herramientas proporcionadas por Apple para prevenir el robo de datos en casos de MacBooks robados o perdidos.

¿Qué tan bueno es el algoritmo de cifrado FileVault

FileVault utiliza encriptación XTS-AES-128 con una clave de 256 bits por lo que es muy seguro. El número de combinaciones de teclas en AES-128 es 3.4 10 ^ 38. Suponiendo que usamos una computadora que puede calcular un millón de claves por segundo durante un ataque de fuerza bruta, entonces el tiempo requerido para descifrar será 1.07 ^ 25 años o 10 millones de billones de billones de años.

Cálculos Número de segundos en un año = 365 x 24 x 60 x 60 = 31536000

Número de años para descifrar = (3,4 x 10 ^ 38) / (31536000 1000000) = 1,07 ^ 25 años

Incluso los gobiernos con sus supercomputadoras no pueden descifrar esas claves. Hay un artículo del Washington Post sobre un ex agente de la ley que se negó a ceder las contraseñas de sus MacBooks y no pudieron recuperar datos de ellos porque los ataques de fuerza bruta son ineficaces contra XTS-AES-128.

¿FileVault encripta mientras está dormido

No, FileVault solo encripta cuando la Mac está conectada al poder y está despierto.

¿Se puede pausar FileVault

Sí. FileVault requiere que Mac esté conectado a la alimentación. Para pausar el cifrado o descifrado de FileVault, desconecte la alimentación de Mac. Para reanudar el cifrado y descifrado, vuelva a conectar la alimentación.

El descifrado como el cifrado será p ause sin energía

¿Puedo reiniciar Mac mientras FileVault está encriptando

El cifrado en FileVault ocurre en segundo plano. Durante la encriptación, Mac lee cada archivo del disco, lo encripta y luego lo vuelve a guardar en el disco.

No realiza encriptaciones parciales de archivos, entonces es seguro reiniciar Mac mientras el cifrado está en progreso . FileVault reanudará su funcionamiento una vez que Mac se inicie después de reiniciar.

Un lado que no está en la clave de recuperación

Al encender FileVault, macOS le preguntará cómo desea restablecer su contraseña en caso de si lo olvida y proporciona dos opciones:

  • Use la cuenta de iCloud
  • Cree una clave de recuperación en su lugar de usar iCloud

Si bien iCloud parece ser más conveniente, es posible que tenga razones para no usar iCloud. En este caso, optará por la segunda opción.

Elija iCloud o la clave de recuperación para restablecer la contraseña

¿Qué es la clave de recuperación de FileVault? Una clave de recuperación es una secuencia de 24 símbolos que consta de letras y dígitos latinos. Se puede usar la clave de recuperación en caso de que se olvide la contraseña. Si la contraseña y las claves de recuperación no están disponibles, se perderán los datos en un disco con FileVault. Incluso Apple no puede recuperarla.

Si perdió la clave de recuperación, aún puede obtener una nueva si aún recuerda su contraseña. En este caso, primero debe apagar FileVault y volver a encenderlo otra vez. Cuando se hace de esta manera, obtiene otra clave de recuperación (no hay forma de recuperar la clave original).

Una nota sobre varios usuarios

Si tiene más de una cuenta usando su Mac luego, de forma predeterminada, activar FileVault impedirá que todos los demás usuarios inicien sesión. Debe habilitarlos a todos ingresando sus contraseñas (no las suyas) en la sección Seguridad y privacidad.

Necesita habilitar a todos los usuarios al encender FileVault

¿FileVault cifra el espacio libre

Después de probar con el mismo MacBook Pro con 67 GB y 10 GB de espacio utilizado, está claro que FileVault no cifra el espacio libre porque el tiempo para cifrar archivos de 10 GB fue aproximadamente 6 veces menor que el tiempo para cifrar datos de 67 GB.

Si FileVault cifró los s El ritmo del tiempo para cifrar en ambos casos sería el mismo.

¿FileVault cifra Time Machines

FileVault no cifra las copias de seguridad de Time Machine. Hay una opción para cifrar una copia de seguridad en las Preferencias de Time Machine.

Si la opción no está configurada, la copia de seguridad de la Mac con FileVault habilitado guardará una copia de seguridad sin cifrar en el disco externo. Escribí un artículo sobre Time Machine si necesita más información.

¿Ocupa más espacio

El espacio en disco con FileVault activado y el espacio en disco con FileVault desactivado es el mismo. El cifrado no necesita espacio adicional en Mac.

Si ya tiene el cifrado activado y no le gusta, siempre puede desactivarlo.

¿Cómo desactivo FileVault en Mac?

El proceso para apagar FileVault es el mismo que para encenderlo:

  1. Abra la sección Seguridad y Privacidad del Sistema Preferencias
  2. Haga clic en la pestaña FileVault.
  3. Haga clic en el icono del candado e ingrese la contraseña de administrador
  4. Haga clic en el botón Activar FileVault. Por cierto, así es como se sabe si FileVault está activado o desactivado. Si la etiqueta del botón dice “Activar”, FileVault está actualmente desactivado. Si la etiqueta es “Apagar”, entonces está activada.
  5. FileVault comenzará a descifrar.

Como puede ver en la Tabla 1, se necesitará un poco menos de tiempo para descifrar que para cifrar.

Si tenía habilitado el inicio de sesión automático antes de encender FileVault, estará deshabilitado. Para volver a activarlo, vaya a otra pestaña, General, en Seguridad y privacidad y desmarque la casilla de verificación “Desactivar inicio de sesión automático”.

Conclusión: FileVault vale para habilitar en Mac

Así que probamos el rendimiento de FileVault y discutimos diferentes preguntas relacionadas con el cifrado y estamos listos para responder la pregunta de si FileVault vale la pena.

Algunas personas argumentan que no almacenan nada sensible en sus Mac. Y yo diría que es muy probable que almacene credenciales de inicio de sesión para sus bancos, Facebook, PayPal, información de tarjetas de crédito en la memoria caché del navegador. También es posible que descargue y vea las declaraciones de impuestos de revisión u otros documentos que tengan su información incluido el SSN.

Sabemos que FileVault es seguro y los piratas informáticos no podrán obtener sus datos si el disco está encriptado.

Por otro lado, sabemos que FileVault ralentizará su Mac (excepto quizás los modelos más nuevos).

Mi opinión sobre este tema es la siguiente:

Si todo lo que hace en la MacBook es editar documentos de Word, navegar por Internet y ver videos, entonces póngalo encendido. Si en el futuro su patrón de uso cambia y necesita más energía, siempre puede deshabilitar FileVault.

Además, es posible tener solo una parte del almacenamiento encriptado sin encriptar todo el disco. Por ejemplo, aquí explico cómo puedes ocultar los documentos confidenciales en tu Mac.