เสริมความแข็งแกร่งให้ Mac ของเราด้วย FileVault

macOS เป็นระบบที่มีความปลอดภัยสูงมาก ๆ มีกลไกหลาย ๆ อย่างที่จะเข้ามาช่วยให้ระบบ และ ข้อมูลของเราปลอดภัยมากขึ้นเยอะมาก ๆ และวันนี้เราจะพามาทำความรู้จักกับเครื่องมือที่จะช่วยปกป้องข้อมูลสำคัญของเราให้ปลอดภัยด้วย FileVault ระบบการเข้ารหัสข้อมูลระดับ Volume เลย ใช้ได้ตั้งแต่บ้าน ๆ ยัน Enterprise ได้เลย

จริง ๆ แล้ว Mac ใหม่ ๆ มีการเข้ารหัสข้อมูลอยู่แล้ว

หลาย ๆ คนอาจจะยังไม่ทราบมาก่อนว่า จริง ๆ แล้วพวกเครื่อง Mac รุ่นใหม่ ๆ มันมีการเข้ารหัสข้อมูลมาตั้งแต่เราซื้อเครื่องมาแล้ว ตั้งแต่ Mac ที่มี T2 Chip จนมาถึง Apple Silicon เลย เขามีการฝังความสามารถนี้มาให้อยู่แล้ว

ดังนั้นถ้าเกิดเราเก็บข้อมูลสำคัญ หรือเป็นความลับเอาไว้ และถ้ามีความพยายามที่จะเอาข้อมูลในเครื่องออกมา เอาแบบง่าย ๆ เช่น การพยายามเสียบ Mac อีกเครื่องให้มันพยายาม Mount Volume เหมือนเราเสียบ External HDD จนไปถึงการ เลาะ NAND Flash ออกมาจาก Logic Board ของเครื่องเลย ระบบการเข้ารหัสบนเครื่อง Mac ใหม่ ๆ จะป้องกันได้เป็นอย่างดี

เพราะข้อมูลที่เขาอ่านออกมาได้ มันจะเป็นอะไรก็ไม่รู้เลย ยากมากที่จะประติดประต่อออกมาเป็นข้อมูลต้นฉบับได้เลย มันไม่ได้เข้าแค่ตัวข้อมูลด้วยนะ แต่มันเข้ายันว่า ใน SSD ของเรามีชื่อไฟล์อะไรบ้าง (Metadata Encryption) เรียกว่าเข้ารหัสแบบปิดมิดด้ามเลย คนที่ไม่มีกุญแจเข้ามาจะเห็นเป็นอะไรไม่รู้เต็มไปหมด ไม่เห็นยันชื่อไฟล์อะไรทั้งสิ้น  หรือถ้าเราพยายามที่จะถอดรหัส ด้วยวิธีการเข้ารหัส AES-XTS 256 Bits ก็คือ ต้องใช้เวลามหาศาล และ Supercomputer แล้วละ ถ้าจะทำจริง ๆ ก็คือน่าจะต้องเป็นข้อมูลที่มูลค่ามหาศาลมาก ๆ แล้วละ

Mac เข้ารหัสข้อมูลเรายังไง

การจะเข้ารหัสได้ มันจะต้องมีองค์ประกอบ 3 อย่างด้วยกันคือ ข้อมูลที่ต้องการเข้ารหัส ซึ่งก็คือ ข้อมูลใน SSD ของเรา, วิธีการเข้ารหัสอันนี้ Apple เลือกมาให้เราแล้ว และ กุญแจที่จะใช้เข้ารหัส อันนี้แหละที่ยังขาดอยู่

อันนี้แหละที่ทำให้เราเชื่อมั่นในความปลอดภัยของ Apple Device มาก ๆ คือ เขาจะมี Security Hardware มาให้ เช่น ในการเข้ารหัสข้อมูลพื้นฐานเลย กุญแจเขาจะทำจาก Hardware Key ที่อยู่ใน Chip ถ้าเป็นพวก Intel-Mac ก็อยู่ใน T2 Chip และถ้าเป็น Apple Silicon ก็จะฝังอยู่ในนั้นเลย มาผูกรวมกับ xART Key เพื่อป้องกันพวก Anti-Replay อันนี้เราไม่เล่าละกันยาว แต่สั้น ๆ คือ มันป้องกัน ในกรณีที่เราเปลี่ยน Key ใหม่ มันจะป้องกันการเอา Key เก่ามาเสียบเพื่อถอดรหัสได้ ลดโอกาสการถูกโจมตีไปได้เยอะอยู่เหมือนกัน

สำหรับคนที่อ่านแล้วยังไม่เข้าใจสรุปง่าย ๆ คือ การเข้ารหัสพื้นฐานที่สุดของ Mac ก็คือการเอารหัสที่ฝังไว้ในเครื่อง รวมกับพวกรหัสสำหรับป้องกันต่าง ๆ มาเข้ารหัสข้อมูลใน SSD ของเรา ก็จะมีความปลอดภัยในประมาณนึงแล้วละ แต่ถ้าเราต้องการความปลอดภัยมากขึ้นละ FileVault จะเข้ามาตอบโจทย์เราทันที

FileVault

FileVault จะเข้ามาอยู่ในกระบวนการคือการเพิ่มกุญแจเข้าไปอีกดอกนึง จากเดิมที่เป็น Hardware Key + xART Key มันจะเพิ่ม Password ที่เรากำหนดเองเข้าไปด้วย แต่ถ้าแค่นั้นมันง่ายไป มันต้องเฉพาะเจาะจงกับเครื่องนั้น ๆ Apple เลยเลือกที่จะเอารหัสผ่านที่กำหนดเอง ผสมกับ Hardware Key ก่อนแล้วค่อยเอามาผสมกับอีกสองส่วนที่เหลือ เพื่อเพิ่มความปลอดภัยเข้าไปอีกชั้นนึง

ดังนั้น ตัวเครื่องเอง มันไม่สามารถถอดรหัสเองได้แล้ว มันจะต้องอาศัย รหัสผ่านจากเราด้วย เผื่อทำการ ถอดรหัสข้อมูล อย่างที่เราบอกไปคือ มันเข้ารหัสระดับ Volume เลย ดังนั้น ข้อมูลของ macOS หรือพวกส่วนประกอบต่าง ๆ ที่ใช้ในการเริ่มระบบ มันก็อยู่ในนั้นหมด ทำให้เมื่อเราเปิดการใช้งาน FileVault แล้ว เวลาเราจะเปิดเครื่อง มันจะให้เราใส่รหัสผ่านก่อนแล้วเครื่องถึงจะ Boot ต่อได้นั่นเอง

ซึ่งถ้าเราต้องการจะเปิดการใช้งาน FileVault ทำได้ง่ายมาก ๆ คือการเข้าไปที่ System Settings > Privacy & Security เลื่อนลงไป จะเจอกับ FileVault ให้เรากด Turn On

จากนั้นมันจะถามว่า เราจะอนุญาติให้ใช้ iCloud Account ของเราเป็นกุญแจถอดรหัสได้ด้วยมั้ย ในกรณีที่เราอาจจะลืมรหัส ก็เลือกได้เลย ถ้าเราไม่ไว้ใจให้ Apple เก็บกุญแจไว้ให้ กลัวเขาเข้ามาดู และเรามั่นใจว่า เราสามารถเก็บกุญแจสำรองไว้เองได้ เราก็เลือกเป็น ไม่ให้ใช้ iCloud ก็ได้ อันนี้เราแนะนำสำหรับคนที่ต้องการความปลอดภัยสูงมาก ๆ เช่นกรณีที่เรากลัวว่า ถ้ามีการเรียกร้องจากรัฐบาลให้ถอดรหัสตามกฏหมายพวกนั้น ถ้าเราเก็บกุญแจไว้ที่ iCloud ตัว Apple ก็อาจจะเอามาถอดได้ เป็นต้น แต่สำหรับคนทั่ว ๆ ไปที่เปิดเพื่อป้องกันการโจรกรรมข้อมูลเมื่อเครื่องเราหาย การเก็บกุญแจไว้บน iCloud ก็เป็นตัวเลือกที่สะดวกกว่าเยอะมาก

กดไปแว่บเดียวเท่านั้นแหละ การเข้ารหัสก็เสร็จแล้ว หลาย ๆ คนอาจจะเห้ยยย ทำไมมันเร็วจัง มันเข้าทั้ง Volume ไว้แล้วนะ ที่เป็นแบบนั้นเป็นเพราะ อย่างที่เราบอกว่า ปกติเริ่มต้นมันเข้ารหัสไว้อยู่แล้ว ดังนั้น การที่เราเปิด FileVault มันเหมือนเป็นแค่การเพิ่มกุญแจเข้าไปอีกดอกเท่านั้นเลยทำให้การเข้ารหัสตอนที่เราสั่งเปิด FileVault มันเร็วมาก ๆ

และสุดท้าย ถ้าเราต้องการปิด FileVault เราก็สามารถกด Turn Off ได้เลย มันก็จะกลับไปใช้กุญแจจากเครื่องเหมือนเดิม ย้ำว่า ไม่ใช่การปิดการเข้ารหัสหมดเลยนะ มันจะกลับไปเป็นค่าเริ่มต้นเท่านั้นนะ

มันเข้ารหัสตลอดเวลาแบบนี้ไม่ทำให้เครื่องช้าเหรอ

ถ้าเป็นเมื่อก่อนนานแล้วตอนที่ Apple เปิดให้ใช้ FileVault ตอนนั้น เราบอกเลยว่า เมื่อเราเปิดไป มันมีผลต่อประสิทธิภาพของเครื่องอยู่เหมือนกัน เพราะการเข้ารหัสมันจะต้องทำอยู่ตลอดเวลา เครื่องจะต้องเข้ารหัส ถอดรหัสอยู่ตลอดเวลาเลย ทำให้มันกินเครื่องเยอะมาก ๆ

แต่ตั้งแต่ Apple เปิดตัว T2 Chip จนมาถึง Apple Silicon ทาง Apple ใส่หน่วยประมวลผลที่ออกแบบมาเพื่อการเข้า และ ถอดรหัสโดยเฉพาะเลย ทำให้งานที่เกี่ยวกับการเข้า และ ถอดรหัส ทำแยกออกไปจาก CPU เลย นั่นส่งผลให้มันไม่มีผลกระทบกับประสิทธิภาพการทำงาน และการกินไฟด้วยความที่เป็นหน่วยประมวลผลที่ออกแบบมาเฉพาะทางมาก ๆ ทำให้การกินไฟมันต่ำมาก ๆ จนเราแทบไม่รู้สึกหรอก กับอีกอย่างที่ทำให้เราไม่รู้สึกแน่ ๆ เพราะไม่ว่าเราจะเปิด FileVault หรือไม่ การเข้ารหัสนี้ก็ทำงานอยู่ตลอดอยู่แล้ว

ดังนั้น การเปิดใช้งาน FileVault บน Mac รุ่นที่มี T2 และ Apple Silicon ทั้งหมดจะไม่มีผลกระทบกับประสิทธิภาพการทำงาน และ Battery เลย

FileVault ไม่ใช่เรื่องใหม่อะไร

อ่าน ๆ มาทำไมมันดูวิเศษ Magic ขนาดนั้น เอาจริง ๆ มันไม่ได้เป็นเรื่องใหม่อะไรเลย การเข้ารหัสลักษณะนี้ เราทำกันมานานมาก ๆ แล้ว หรือ FileVault เองก็มีมาใน macOS ก่อนหน้านั้นมานานมาก ๆ แล้วละ

เรายกตัวอย่างฝั่ง Windows เองก็มี Software สำหรับการเข้ารหัสในลักษณะนี้มาให้เหมือนกัน คือ Bitlocker ในเครื่องที่มีพวก TPM (Trusted Platform Module) ก็จะทำให้มันสามารถใช้งานพวก Hardware Key ได้เหมือนกับฝั่ง FileVault เลย แต่ความเหนือกว่าของ Mac คือ Apple เป็นคนทำ Hardware เองดังนั้นเขาสามารถบังคับให้ Mac รุ่นใหม่ทั้งหมดใส่พวก Hardware Security มาทั้งหมด

ต่างจากฝั่ง Microsoft ที่ไม่สามารถบังคับได้นะว่า ให้เครื่องทุกเครื่องจะต้องใส่ TPM มาให้ นอกจากนั้น การเปิดใช้งาน BitLocker การเข้าและถอดรหัสทั้งหมดจะส่งผลกระทบกับประสิทธิภาพการทำงานนิดหน่อย เพราะมันไม่มี Hardware เฉพาะสำหรับการทำงานเหมือนฝั่งเครื่อง Mac ก็ยังดีที่ใน CPU Generation ใหม่ ๆ เขามีหน่วยประมวลผลที่ออกแบบมาเพื่อทำเรื่องแบบนี้โดยเฉพาะ แต่สุดท้ายมันก็ยังต้องไปเรียก CPU ซึ่งมันมีข้อจำกัดหลาย ๆ อย่างอยู่ดี

ส่วนใหญ่ เราเลยจะเห็นคนที่เปิด BitLocker ก็จะเป็นเครื่องระดับ Enterprise ซะเยอะนะ เราไม่ค่อยเห็นเครื่องบ้าน ๆ เปิดเท่าไหร่ เพราะมันส่งผลกับประสิทธิภาพ และ Battery นี่แหละ

สรุป

การเปิดใช้งาน FileVault ก็เป็นการเสริมความปลอดภัยให้กับข้อมูลของเรามากขึ้น โดยเฉพาะกับคนที่เก็บข้อมูลสำคัญ หรือ Sensitive ไว้ในเครื่องของเรา ทำให้ถ้าเครื่องของเราโดนโจรกรรมไป หรือหายอะไรก็ตาม โอกาสที่ขโมยจะดึงข้อมูลออกจากเครื่องเราได้ก็ต่ำลงเช่นกัน (เว้นแต่เราจะยื่นรหัสให้มันเองอะนะ) และด้วย Security Hardware บน Mac ใหม่ ๆ ก็ทำให้เรื่องนี้มันสะดวกขึ้น เสริมความมั่นคงของข้อมูลได้โดยที่เราไม่ต้องสูญเสียประสิทธิภาพการทำงานอะไรเลยด้วยซ้ำ เลยเป็นตัวเลือกที่น่าสนใจมาก ๆ สำหรับคนที่ต้องการความปลอดภัยของข้อมูลระดับสูง

อยากรู้เพิ่มเข้าไปอ่านในเว็บของ Apple ได้ใน Apple Platform Security