¿Qué es el sistema de archivos APFS cifrado?
APFS (del inglés Apple File System) es un sistema de archivos patentado de nueva generación diseñado por Apple. Se usa de forma predeterminada en sus productos más nuevos, incluidas las computadoras Mac en macOS 10.13 High Sierra o posterior. Este formato ha sido desarrollado con un enfoque en la seguridad, por lo que incluye la función de cifrado. Los datos almacenados en un volumen con APFS cifrado se cifran mediante algoritmos sofisticados y nadie sin las credenciales correctas puede leerlos. Y cuando se ingresa una contraseña o clave correcta, el contenido se descifra y se puede acceder y leer de manera habitual.
Para esto, APFS emplea el esquema AES-XTS con una clave de 128 o 256 bits de longitud. Dado que el cifrado se realiza a nivel del sistema de archivos, APFS no requiere envolverse en ninguna capa adicional para proteger los datos, a diferencia de HFS+, la opción estándar anterior para Mac. Antes de la aparición de APFS, esta función sólo podía implementarse a través de CoreStorage, un sistema de volumen virtual responsable de la funcionalidad detrás de FileVault 2.
El cifrado se puede aplicar a cualquier almacenamiento de datos con el formato APFS, desde la unidad de inicio de una Mac hasta diversos HDD o SSD externos y unidades de memoria USB. Sin embargo, según el tipo de dispositivo de almacenamiento y el sistema subyacente, puede haber dos variantes claramente diferentes del mismo:
- Cifrado de hardware
Este se utiliza para cifrar los almacenamientos internos de las computadoras Mac basadas en Intel y provistas de los chips de seguridad Apple T2 y de éstas con los procesadores Apple Silicon. En este caso, el cifrado se aplica de forma inmediata y se vincula a un dispositivo en particular. Dichas computadoras Mac están equipadas con el módulo Secure Enclave que se utiliza para almacenar y manejar los detalles relacionados con el cifrado, incluidas diferentes claves criptográficas. La información que contiene el módulo está protegida con las técnicas de hardware avanzadas que permiten que el sistema operativo interactúe con este componente, pero bloquean el acceso a sus datos raw reales. Hoy en día, no existen ningunos métodos conocidos de recuperar estas claves de hardware específicas. Esto también imposibilita la transferencia de una unidad cifrada de una computadora a otra.
- Cifrado de software
El cifrado de software se implementa en todos los dispositivos de almacenamiento de datos externos, así como en las unidades internas de Mac que no soportan el cifrado de hardware, en su mayoría lanzados antes de 2017. En este caso, se utilizan los mecanismos puramente de software para cifrar datos, sin que intervenga ninguna información generada por el hardware. Cada volumen se cifra con una clave individual secreta (llamada clave de cifrado de volumen, del inglés Volume Encryption Key o VEK). Esta clave se almacena de manera segura en los metadatos del contenedor de APFS y está cifrada con otra clave denominada Clave de cifrado de clave (Key Encryption Key o KEK). Esta última, a su vez, existe en múltiples copias, cada una cifrada con una clave diferente basada en un mecanismo de protección particular. Esto permite realizar el descifrado y, por lo tanto, obtener acceso al volumen mediante los siguientes métodos:
- Contraseña de usuario – una serie de caracteres definida por el usuario que se solicita cada vez que inicia sesión en la cuenta de usuario de Mac o accede a un dispositivo externo cifrado con APFS.
- Clave de recuperación – una cadena de 24 caracteres alfanuméricos que se genera automáticamente cuando la unidad del sistema se formatea con APFS (cifrado) o al habilitar FileVault. La clave debe anotarse o imprimirse y mantenerse en privado para poder descifrar el almacenamiento en caso de que la contraseña de usuario se pierda o deje de funcionar.
- Cuenta de iCloud – la cuenta asociada con la computadora Mac cuya unidad de inicio está protegida con FileVault o formateada con APFS (cifrado). Si se elige esta opción al configurar el cifrado, la Clave de recuperación se vincula a la información de la cuenta para que iniciar sesión en la última sea suficiente para desbloquear el almacenamiento en ausencia de la contraseña de usuario. Mientras tanto, la clave en sí no está expuesta al usuario.
- Clave de recuperación institucional – una clave opcional que se instala en las computadoras Mac corporativas antes de cifrarlas y permite acceder a cualquiera de ellas cuando esto no se puede hacer con la Clave de recuperación personal del usuario.
Así que, el descifrado generalmente se puede realizar con la ayuda de la contraseña de cualquier usuario válido o con una de las claves de recuperación. No obstante, todos esos detalles se almacenan en forma de texto cifrado en los metadatos de APFS. Si ciertas áreas críticas del almacenamiento se dañan como resultado de la corrupción o un defecto físico, ya no será posible verificar las credenciales para hacer que los datos vuelvan a ser legibles, incluso si son correctas.
¿Cómo se activa el cifrado en un dispositivo?
Excepto los casos del cifrado de hardware, el formato APFS en sí no está cifrado de manera predeterminada. Hay una serie de escenarios en los que se cifra:
-
El usuario puede cifrar cualquier unidad existente excepto aquella del sistema a través de Finder, o formatearla con APFS (cifrado) usando la línea de comando o la Utilidad de disco.
-
El usuario puede ir a "Preferencias de seguridad y privacidad" en cualquier momento y activar FileVault para bloquear acceso al volumen de inicio del sistema.
-
El volumen del sistema también se puede cifrar durante la instalación de macOS, siempre que el usuario habilite la opción correspondiente en el Asistente de configuración.
-
Durante la migración a APFS, un volumen cifrado basado en HFS+ y la tecnología CoreStorage heredada se convierten al sistema APFS (cifrado) de manera automática.
La tecnología antes descrita es compatible con los siguientes productos de software:
-
UFS Explorer Professional Recovery Soporte completo*
-
Recovery Explorer Professional Soporte completo*
-
UFS Explorer RAID Recovery (a partir de la versión 9.0) Soporte completo*
-
UFS Explorer Network RAID (a partir de la versión 9.0) Soporte completo*
-
UFS Explorer Standard Recovery (a partir de la versión 9.0) Soporte completo*
* El cifrado de hardware no es compatible con el software debido a que implica el uso de mecanismos de protección física que no se pueden manejar mediante programas.