Sull’ultimo numero della rivista MacTech, un interessante articolo spiega che da OS X 10.8 Mountain Lion, il tool fdsetup, permette la gestione di FileVault dalla riga di comando. Il comando in questione permette di comprendere se la cifratura è attiva o no, gestire il recovering delle chiavi, aggiungere utenti al meccanismo di cifratura, sincronizzare le credenziali sfruttando le directory di OS X.
Funzionalità per gli amministratori di sistema permettono di aggiungere, modificare e cancellare le chiavi di recovering, preservando la sicurezza dei dischi cifrati anche in caso di furto di password da parte di malintenzionati. Questa possibilità consente l’adozione del meccanismo di protezione in particolari ambienti dove è necessario sfruttare protezioni cifrate e certificate. Solo da OS X 10.8 in poi, il meccanismo di cifratura in questione ha ottenuto la certificazione FIPS (Federal Information Processing Standard) 140-2, uno standard definito dal governo degli Stati Uniti che descrive i requisiti di crittografia e di sicurezza associati che i prodotti IT devono soddisfare quando si gestiscono dati riservati ma non classificati.
Lo scopo è garantire che un prodotto utilizzi solo procedure di sicurezza appropriate, ad esempio metodi e algoritmi di crittografia sicuri e approvati. Specifica inoltre le modalità di autorizzazione di individui e altri processi che utilizzano il prodotto e come devono essere definiti i moduli e i componenti per interagire in modo sicuro con altri sistemi. Lo standard FIPS 140 definisce quattro livelli di sicurezza. La certificazione FIPS 140-2 assegnata ad Apple per FileVault indica il secondo livello di sicurezza. Di seguito i vari livelli
- Livello 1 – In genere utilizzato per prodotti dotati di crittografia solo software, impone requisiti di sicurezza molto limitati. Tutti i componenti devono soddisfare i requisiti di commercializzazione e non devono essere presenti difetti evidenti che ne mettano a repentaglio la sicurezza.
- Livello 2 – Richiede l’autenticazione basata sui ruoli, ma non è necessaria l’autenticazione del singolo utente. Richiede inoltre che sia possibile rilevare manomissioni fisiche mediante l’apposizione di sigilli o la presenza di barriere fisiche.
- Livello 3 – Richiede anche resistenza a interventi di manomissione fisica a scopo di disassemblamento o alterazione, rendendo estremamente difficile interferire con il prodotto. Se viene rilevata una manomissione, il dispositivo deve potere cancellare i parametri di sicurezza critici. Il livello 3 include anche una potente protezione crittografica e gestione delle chiavi, autenticazione basata sull’identità e separazione fisica o logica tra le interfacce utilizzate per immettere e accedere ai parametri di sicurezza critici.
- Livello 4 – Include un sistema avanzato di protezione da manomissioni ed è rivolto a prodotti che vengono utilizzati in ambienti fisicamente non protetti
Apple ha un po’ di tempo addietro pubblicato un interessante documento in formato PDF nel quale è spiegato dettagliatamente il funzionamento di FileVault 2, tecnologia per la protezione dei dati di serie con il sistema operativo che da OS X 10.7 in poi consente di cifrare non solo la cartella Inizio ma tutto il disco: ne abbiamo parlato in dettaglio qui. Il documento di Apple spiega in linea generale il funzionamento della tecnologia, le implicazioni e come gestire al meglio i volumi cifrati in base alle necessità e al tipo di utente che usa il computer. Sono anche spiegati vantaggi e svantaggi, fornendo indicazioni utili in particolare per gli utenti che usano il Mac in ambito aziendale.
Da OS X 10.8 in poi, Apple ha integrato la possibilità di cifrare con la tecnologia FileVault i volumi di backup per Time Machine selezionando l’unità desiderata con il tasto destro del mouse (o facendo ctrl-click sull’icona) e scegliendo la voce “Codifica”. Sono supportate soltanto unità nelle quali è presente una tabella di partizione GUID e ovviamente la protezione dell’intero disco è riconosciuta da Mac con OS X 10.7.x o seguenti: collegando un disco cifrato con FileVault 2 a un computer con un sistema operativo di precedente generazione, compare una finestra con un messaggio che avvisa dell’impossibilità di riconoscere il nuovo formato con le versioni precedenti di OS X.