파일볼트

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 버전 및 주요 기능
- 2.1. 레거시 파일볼트 (Mac OS X 10.3 ~ 10.6)
- 2.2. 파일볼트 2 (Mac OS X 10.7 ~ 현재)
3. 보안
- 3.1. 레거시 파일볼트의 보안 취약점
4. 성능
5. 기타 기능
- 5.1. 마이그레이션 (레거시 파일볼트)
- 5.2. 수동 암호화
6. 사용자 계정 없이 파일볼트 2로 OS 시작하기
참조

1. 개요

파일볼트는 macOS에서 제공하는 디스크 암호화 기능으로, 초기 버전은 사용자 홈 디렉터리만 암호화했지만, FileVault 2부터는 시동 볼륨 전체를 암호화한다. FileVault 2는 AES-XTS 128 또는 시큐어 엔클레이브를 사용하는 AES-XTS 256을 사용하여 디스크를 암호화하며, 암호 분실 시 복구 키를 설정할 수 있다. 이전 버전인 레거시 파일볼트는 보안 취약점이 존재했고, 성능 저하를 유발할 수 있었지만, FileVault 2는 AES 명령어 집합을 지원하는 CPU에서는 성능 저하가 적다.

더 읽어볼만한 페이지

암호 소프트웨어 - OpenSSL
OpenSSL은 1998년에 설립된 암호화 도구 프로젝트로, 다양한 암호화 알고리즘과 프로토콜을 지원하며, 아파치 라이선스를 채택했고, 보안 문제와 API 호환성 문제 등의 비판을 받았다.
암호 소프트웨어 - I2P
I2P는 2003년 Freenet에서 분기된 익명 P2P 분산 통신 계층으로, IP 주소 노출을 방지하며 다양한 소프트웨어와 익명성 응용 프로그램을 지원하고, 기부금으로 운영되며 6~8주마다 릴리스를 진행한다.
MacOS - 메일 (애플)
메일은 애플에서 개발한 이메일 클라이언트로, macOS에 통합되어 다양한 기능과 인터페이스 변화를 거쳤으며, iCloud 동기화, 이메일 추적 차단, 이메일 전송 취소, 예약 발송 등을 지원한다.
MacOS - 개러지밴드
애플이 개발한 개러지밴드는 로직 프로 기술을 기반으로 한 음악 제작 소프트웨어로, 가상 악기, MIDI 편집 기능, 팟캐스트 제작, 악기 레슨 등 다양한 기능을 제공하며 macOS와 iOS에서 아마추어부터 전문가까지 폭넓게 사용된다.

파일볼트 - [IT 관련 정보]에 관한 문서
개요
종류	디스크 암호화 소프트웨어
운영 체제	macOS
라이선스	사유
일반 정보
개발사	Apple
최신 버전	알 수 없음 (제공된 문서에 명시되지 않음)
출시일	알 수 없음 (제공된 문서에 명시되지 않음)
공식 웹사이트	FileVault 개요
기능
주요 기능	macOS 데이터 암호화
관련 정보	FileVault를 사용하여 Mac 데이터 암호화
문제 해결	M1 Mac의 "불량", "시작 불가" 문제 해결 방법
참고	MacOS 10.12.3의 FileVault 화면

2. 버전 및 주요 기능

맥 OS X 팬더에서 파일볼트가 처음 등장하였다.^[22] 초기 파일볼트는 시동 볼륨을 암호화하지 않고 사용자의 홈 디렉터리만 암호화했다. 맥 OS는 홈 디렉터리가 있는 볼륨을 암호화된 디스크 이미지(sparse disk image, 거대한 하나의 파일)를 암호화 시켰다. 맥 OS X 레퍼드와 맥 OS X 스노 레퍼드에서는 더욱 현대화된 sparse 번들 디스크 이미지를 사용했다.^[23] 이 번들 이미지에는 8 MB 이상의 데이터("bands"라 불러지는)가 흩어져 있었는데, 애플은 이 파일볼트를 가리켜 레거시 파일볼트라 일컫는다.^[24] Mac OS X v10.3에서 탑재된 버전으로 사용자의 홈 디렉토리를 AES-128을 사용하여 암호화할 수 있었다. 홈 디렉토리는 암호화된 파일로 저장되며 사용자의 로그인 시 마운트되었다. 초기 버전에서는 단일 암호화된 디스크 이미지가 사용되었지만, Mac OS X v10.5 이후 버전에서는 세분화된 스파스 번들^[18]이 사용되어 Time Machine에 대응했다.

이 버전에서는 마이그레이션 지원을 사용하여 사용자 데이터를 새로운 컴퓨터로 마이그레이션할 때 FileVault를 한 번 비활성화(암호화 해제)해야 했다.

Mac OS X 라이언과 이후 macOS는 '''FileVault 2'''를 사용하는데,^[24] FileVault 2는 특별히 재 디자인 한 물건이었다. 파일볼트는 전 macOS의 시동 볼륨을 암호화하였다. 이런 디스크 암호화로 인해, 허가받은 사용자의 정보는 암호화 되지 않은 시동 볼륨에서 불러오게 되었다.^[25] (partition/slice type Apple_Boot). FileVault를 활성화하면 디스크는 AES-XTS 128^[19], 애플 M1(macOS Big Sur) 이후를 탑재한 Mac에서는 시큐어 엔클레이브를 사용한 AES-XTS 256을 사용하여 암호화된다^[20]。 암호를 잊어버렸을 때를 대비하여 복구 키를 설정할 수 있다^[21]。

2. 1. 레거시 파일볼트 (Mac OS X 10.3 ~ 10.6)

파일볼트는 맥 OS X 팬더(10.3)에서 처음 도입되었으며,^[22] 사용자 홈 디렉터리만 암호화하고 시동 볼륨은 암호화하지 않았다.^[22] 맥 OS는 홈 디렉터리가 있는 볼륨을 암호화된 디스크 이미지(sparse disk image, 거대한 하나의 파일)를 이용하여 암호화했다.^[22] 맥 OS X 레퍼드(10.5) 및 맥 OS X 스노 레퍼드(10.6)에서는 스파스 번들 디스크 이미지를 사용하여 백업 및 복구 기능을 개선했다.^[23] 이 번들 이미지에는 8 MB 이상의 데이터("bands"라 불러지는)가 흩어져 있었는데, 애플은 이 파일볼트를 가리켜 레거시 파일볼트라 일컫는다.^[24]

Time Machine 백업은 사용자가 로그아웃된 상태에서만 가능했지만, Mac OS X Server를 Time Machine 대상으로 사용하면 로그인 상태에서도 가능했다.

FileVault 홈 디렉터리의 마이그레이션에는 두 가지 제한 사항이 있었다.^[5]

대상 컴퓨터로의 이전 마이그레이션이 없어야 한다.
대상에는 기존 사용자 계정이 없어야 한다.

Migration Assistant가 이미 사용되었거나 대상에 사용자 계정이 있는 경우, 마이그레이션 전에 FileVault를 소스에서 비활성화해야 했다.

내장 유틸리티를 사용하여 10.4를 사용하는 이전 Mac에서 새 컴퓨터로 FileVault 데이터를 전송하는 경우 데이터는 이전 스파스 이미지 형식으로 계속 저장되며, 사용자는 FileVault를 끄고 다시 켜서 새 스파스 번들 형식으로 다시 암호화해야 했다.

파일볼트는 다른 사용자의 프로세스가 사용자의 콘텐츠에 접근하는 방식을 제한하므로 일부 타사 백업 솔루션은 다른 컴퓨터 부분(다른 사용자의 홈 디렉토리 포함)이 제외된 경우에만 사용자의 파일볼트 홈 디렉토리 내용을 백업할 수 있었다.^[6]^[7]

2. 2. 파일볼트 2 (Mac OS X 10.7 ~ 현재)

Mac OS X 라이언(10.7)부터 '''파일볼트 2'''가 도입되었는데, 이는 완전히 새롭게 디자인된 버전이다.^[3]^[24] 파일볼트 2는 시동 볼륨을 포함한 전체 디스크를 암호화하며, 디스크 이미지 방식을 사용하지 않는다.^[4] 이러한 디스크 암호화를 위해, 허가받은 사용자의 정보는 암호화되지 않은 별도의 부팅 볼륨에서 불러온다.^[25]

파일볼트는 사용자의 로그인 암호를 암호화 암호로 사용하며, NIST가 권장하는 128비트 블록과 256비트 키를 사용하는 XTS-AES 모드의 AES를 사용하여 디스크를 암호화한다.^[15]^[11] Mac OS X Lion부터 디스크 전체를 암호화할 수 있게 되었으며, 파일볼트를 활성화하면 디스크는 AES-XTS 128로 암호화된다.^[19] 애플 M1(macOS Big Sur) 이후를 탑재한 Mac에서는 시큐어 엔클레이브를 사용한 AES-XTS 256을 사용하여 암호화한다.^[20] 암호를 잊어버렸을 때를 대비하여 복구 키를 설정할 수 있다.^[21] 잠금 해제된 사용자만 드라이브를 시작하거나 잠금 해제할 수 있으며, 잠금 해제된 후에는 다른 사용자도 컴퓨터를 종료할 때까지 사용할 수 있다.^[3]

3. 보안

현 FileVault2(이후 파일볼트로 칭함)는 사용자 로그인 비밀번호로 암호화 키를 생성한다. 파일볼트는 AES에 Xor-Encrypt-Xor(XEX)를 사용한 XEX-based tweaked-codebook mode, 즉 XTS-AES-128와 256비트 키로 디스크를 암호화 하는데, 이는 미국 NIST가 권장하는 방식이다.^[26]^[27] 키를 가지고 풀수 있는 사용자는 드라이브를 암호화하거나 풀수 있다. 한번 풀어지면, 다른 사용자는 맥이 종료 될때까지 사용할 수 있다.^[24]

파일볼트를 구동했을시, macOS는 복구 키를 보여주거나, 혹은 애플의 iCloud 계정으로 복구할 수 있는 옵션을 보여준다. 이 120 비트의 복구 키는 모든 문자와 1~9까지의 숫자로 구성되어 있으며, ` /dev/random`에서 읽는다. 그리고, 이로 인해 macOS에서 사용하고 있는 유사난수 생성기의 보안 여부와 직결된다. 2012년 암호분석에 의하면, 이 메커니즘은 안전한걸로 드러났다.^[30]

그리고 또한 이 복구키를 바꾸는 건 파일 볼트를 다시 암호화 하지 않는이상 불가능하다.^[24]

OS X 매버릭스와 그 이상버전의 macOS에서 파일볼트를 사용시, 암호화가 마쳤을 시 사용자가 키가 올바르게 작동되었는지 터미널에 `sudo fdesetup validaterecovery`를 넣어서 확인할 수 있다. 이 키는 `xxxx-xxxx-xxxx-xxxx-xxxx-xxxx`로 되어 있으며, 올바를시 Ture를 반환하도록 되어 있다.^[31]

FileVault가 활성화되면 시스템은 사용자에게 컴퓨터의 마스터 암호를 만들도록 요청합니다. 사용자 암호를 잊어버린 경우 마스터 암호 또는 복구 키를 사용하여 파일을 해독할 수 있다.^[3] FileVault 복구 키는 Mac 복구 키와 다르며, Mac 복구 키는 암호를 재설정하거나 Apple ID에 다시 액세스하는 데 사용되는 28자 코드이다.

파일볼트는 사용자의 로그인 암호를 암호화 암호로 사용합니다. NIST가 권장하는 대로 128비트 블록과 256비트 키를 사용하여 XTS-AES 모드의 AES를 사용하여 디스크를 암호화합니다.^[15]^[11] 잠금 해제된 사용자만 드라이브를 시작하거나 잠금 해제할 수 있습니다. 잠금 해제되면 다른 사용자도 컴퓨터를 종료할 때까지 사용할 수 있습니다.^[3]

FileVault 2가 시스템 실행 중에 활성화되면 시스템은 컴퓨터의 복구 키를 생성하고 표시하며, 선택적으로 사용자에게 키를 애플(Apple Inc.)에 저장하도록 제안합니다. 120비트 복구 키는 모든 문자 및 숫자 1~9로 인코딩되며, /dev/random에서 읽혀지므로 macOS에서 사용되는 PRNG의 보안에 의존합니다. 2012년 암호 분석 과정에서 이 메커니즘은 안전한 것으로 확인되었습니다.^[13]

복구 키를 변경하려면 FileVault 볼륨을 다시 암호화해야 합니다.^[3]

OS X 10.9 이상에서 FileVault 2를 사용하는 사용자는 암호화가 완료된 후 터미널에서 sudo fdesetup validaterecovery를 실행하여 암호화 후 키가 제대로 작동하는지 확인할 수 있습니다. 키는 xxxx-xxxx-xxxx-xxxx-xxxx-xxxx 형식이어야 하며, 올바르면 true를 반환합니다.^[14]

Mac OS X Lion부터 디스크 전체를 암호화할 수 있다. FileVault를 활성화하면 디스크는 AES-XTS 128^[19], 애플 M1(macOS Big Sur) 이후를 탑재한 Mac에서는 시큐어 엔클레이브를 사용한 AES-XTS 256을 사용하여 암호화된다^[20]。 암호를 잊어버렸을 때를 대비하여 복구 키를 설정할 수 있다^[21]。

3. 1. 레거시 파일볼트의 보안 취약점

구형 파일볼트(FileVault)는 여러 보안 취약점을 가지고 있었다. 1024비트 RSA 또는 3DES-EDE 암호 해독 공격에 취약할 수 있었다.^[8]

구형 파일볼트는 CBC 운용 모드를 사용했지만, 파일볼트 2는 더 강력한 XTS-AES 모드를 사용한다. 또한, macOS의 "안전한 절전" 모드에서 키가 저장되는 문제도 있었다.^[8] 2008년 연구에 따르면, 콜드 부트 공격을 통해 파일볼트의 암호화 키를 복구할 수 있었다. 이는 데이터 잔류 현상을 이용한 것으로, 연구 저자는 컴퓨터를 물리적으로 제어하지 않을 때는 전원을 끄도록 권장했다.^[9]

초기 버전의 파일볼트는 사용자의 암호를 시스템 키체인에 자동 저장하여 사용자가 직접 비활성화해야 했다.

2006년 카오스 커뮤니케이션 의회에서 "Unlocking FileVault: An Analysis of Apple's Encrypted Disk Storage System" 발표 이후, 제이콥 아펠바움과 랄프-필립 바인만은 암호화된 Mac OS X 디스크 이미지 파일을 해독하는 ''VileFault''를 공개했다.^[8]

디스크 유틸리티를 사용하여 빈 공간을 삭제해도 이전에 삭제된 파일의 상당 부분이 남아 있었고, 파일볼트 압축 작업도 이전에 삭제된 데이터의 일부분만 삭제했다.^[10]

4. 성능

파일볼트 2 사용 시 성능 저하가 발생할 수 있다. 네할렘 (마이크로아키텍처) 이후 세대 CPU에서는 AES 명령어 집합을 지원하여 성능 저하가 적다. (약 20~30%)^[28]^[29] 인텔 코어 CPU 등 AES 명령어 집합을 지원하지 않는 구형 CPU에서는 성능 저하가 더 클 수 있다. 인텔 코어 i 및 OS X 10.10.3 요세미티를 사용할 때는 약 3% 정도의 I/O 성능 저하가 보고되었다.^[12]

5. 기타 기능

5. 1. 마이그레이션 (레거시 파일볼트)

레거시 파일볼트에서 사용자 홈 디렉터리를 마이그레이션할 때에는 몇 가지 제한 사항이 있다.^[5]

대상 컴퓨터로의 이전 마이그레이션이 없어야 한다.
대상에는 기존 사용자 계정이 없어야 한다.

Migration Assistant가 이미 사용되었거나 대상에 사용자 계정이 있는 경우, 마이그레이션 전에 파일볼트를 소스에서 비활성화해야 한다.^[5]

내장 유틸리티를 사용하여 10.4를 사용하는 이전 Mac에서 새 컴퓨터로 FileVault 데이터를 전송하는 경우, 데이터는 이전 스파스 이미지 형식으로 계속 저장되며, 사용자는 FileVault를 끄고 다시 켜서 새 스파스 번들 형식으로 다시 암호화해야 한다.

5. 2. 수동 암호화

파일볼트 대신 디스크 유틸리티를 사용하여 암호화된 디스크 이미지를 직접 생성하고 홈 디렉토리의 하위 집합을 저장할 수 있다. 이 암호화된 이미지는 파일볼트 암호화된 홈 디렉토리와 유사하게 작동하지만 사용자가 직접 관리한다.

사용자의 홈 디렉토리 일부만 암호화하면 응용 프로그램이 암호화된 파일에 접근해야 할 때 문제가 발생할 수 있으며, 암호화된 이미지를 마운트하기 전까지는 접근할 수 없다. 이는 특정 파일에 대한 심볼릭 링크를 만들어 어느 정도 완화할 수 있다.

6. 사용자 계정 없이 파일볼트 2로 OS 시작하기

OS X 10.7.4 Lion 또는 10.8 Mountain Lion을 깨끗하게 설치하기 전에 시동에 사용될 볼륨을 지우고 암호화하는 경우, 볼륨에 대한 비밀번호가 존재한다. 깨끗하게 설치된 시스템은 설치 ''후'' 파일볼트가 활성화된 것처럼 즉시 작동한다. 복구 키가 없으며, 애플에 키를 저장할 옵션도 없지만, 시스템은 키가 생성된 것처럼 작동한다.

컴퓨터가 시작되면 EfiLoginUI에 ''디스크 비밀번호''가 나타난다. 이를 사용하여 볼륨을 잠금 해제하고 시스템을 시작할 수 있다. 실행 중인 시스템은 일반적인 로그인 창을 표시한다.

애플은 이러한 유형의 접근 방식을 ''디스크 비밀번호 기반 DEK''로 설명한다.

참조

_[1] 웹사이트 Apple Previews Mac OS X "Panther" https://www.apple.co[...] Apple 2013-01-21
_[2] 웹사이트 Live FileVault and Sparse Bundle Backups in Leopard http://macosx.com/fo[...] 2013-01-21
_[3] 웹사이트 OS X: About FileVault 2 http://support.apple[...] Apple Inc 2012-08-09
_[4] 웹사이트 Best Practices for Deploying FileVault 2 http://training.appl[...] Apple Inc 2012-08-17
_[5] 웹사이트 Archived - Mac OS X 10.3, 10.4: Transferring data with Setup Assistant / Migration Assistant FAQ https://support.appl[...] Apple 2013-01-21
_[6] 웹사이트 Using Encrypted Disks http://support.crash[...] CrashPlan PROe 2013-01-21
_[7] 웹사이트 Using CrashPlan with FileVault http://support.crash[...] CrashPlan 2013-01-21
_[8] 학회 Unlocking FileVault: An Analysis of Apple's disk encryption https://events.ccc.d[...] 2007-03-31
_[9] 학회 Lest We Remember: Cold Boot Attacks on Encryption Keys http://citpsite.s3.a[...] 2008-02
_[10] 웹사이트 File Vault's Dirty Little Secrets http://www.zdziarski[...] 2008-01-01
_[11] 간행물 Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices http://csrc.nist.gov[...] 2010-01
_[12] 웹사이트 How Fast is the 512 GB PCIe X4 SSD in the 2015 MacBook Pro? https://archive.tech[...]
_[13] 저널 Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption http://eprint.iacr.o[...] 2013-01-19
_[14] 웹사이트 fdesetup(8) Mac OS X Manual Page https://developer.ap[...] Apple 2014-08-09
_[15] 웹사이트 Best Practices for Deploying FileVault 2 http://training.appl[...] Apple, Inc 2012-08-17
_[16] 웹사이트 FileVault を使用して Mac のデータを暗号化する https://support.appl[...] 2024-07-23
_[17] 웹사이트 【Mac Info】 M1 Macの「不調」「起動不可」トラブル対処法をマスターしよう! https://pc.watch.imp[...] 2024-07-23
_[18] 문서 8MBごとに分割されたファイルで構成されるディスクイメージで、単一の巨大なディスクイメージファイルに比べて効率的な取り扱い(バックアップ等)が可能。
_[19] 문서 XEX ('''X'''or-Encrypt-Xor)-'''T'''CB(Tweakable CodeBlock Mode)-CT'''S'''(CipherText Stealing) の略である。
_[20] 웹사이트 データ保護の概要 https://support.appl[...] 2024-08-18
_[21] 문서 復旧キーは、オンラインでAppleへ保管を依頼する事ができる。
_[22] 웹인용 Apple Previews Mac OS X "Panther" https://www.apple.co[...] Apple 2013-01-21
_[23] 웹인용 Live FileVault and Sparse Bundle Backups in Leopard http://macosx.com/fo[...] 2013-01-21
_[24] 웹인용 OS X: About FileVault 2 http://support.apple[...] Apple Inc 2012-08-09
_[25] 웹인용 Best Practices for Deploying FileVault 2 http://training.appl[...] Apple Inc 2012-08-17
_[26] 웹인용 Best Practices for Deploying FileVault 2 http://training.appl[...] Apple, Inc 2012-08-17
_[27] 저널인용 Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices http://csrc.nist.gov[...] 2010-01
_[28] 웹인용 Back to the Mac: OS X 10.7 Lion Review http://www.anandtech[...] Anandtech 2013-01-21
_[29] 웹인용 FileVault 2 Benchmarks Show Full Disk Encryption is Faster Than Ever in OS X Lion http://osxdaily.com/[...] OS X Daily 2013-01-21
_[30] 저널인용 Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption http://eprint.iacr.o[...] 2013-01-19
_[31] 웹인용 fdesetup(8) Mac OS X Manual Page https://developer.ap[...] Apple 2014-08-09

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com