Дипломированные криптологи из Кембриджского университета в течение целого года анализировали, как работает система шифрования томов FileVault 2, представленная в Mac OS X 10.7 (Lion). Это система, аналогичная по функциональности PGP Whole Disk Encryption, TrueCrypt, Sophos SafeGuard, Credant, WinMagic SecureDoc и Check Point FDE.
Исследователям удалось идентифицировать большинство компонентов архитектуры FileVault 2, а также написать open source программу, которая может считывать тома, зашифрованные в FileVault 2.
Программа может пригодиться экспертам-криминалистам и следователям, которые изучают улики на компьютере подозреваемого и знают его шифровальный пароль. Теперь они могут извлечь файлы с зашифрованного жёсткого диска, не загружая операционную систему OS X — ведь владелец компьютера мог предусмотреть какой-нибудь хитрый механизм самоуничтожения данных, если операционная система будет загружена с паролем Б вместо пароля А.
Любопытно, что после столь длительного и тщательного изучения системы FileVault 2 исследователям так и не удалось найти в ней хоть какую-нибудь уязвимость: ни в энтропии блоков, ни в процедуре хранения ключей, ни в каком-нибудь другом модуле. Но зато они составили самый полный и независимый анализ безопасности этой шифровальной технологии, ведь для неё так и не существует ни документации, ни исходных кодов.
Авторы работы — Йоахим Мец (Joachim Metz), Феликс Гроберт (Felix Grobert) и Омар Чоудри (Omar Choudary). Результаты исследования опубликованы в отчёте Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption.
Программу для извлечения файлов с зашифрованных разделов можно скачать здесь.
