У macOS 26 Tahoe Apple змінила спосіб роботи з ключами шифрування у FileVault — функції, яка захищає дані вашого Mac шляхом повного шифрування диска.
Користувачі з попередніми налаштуваннями одразу змін не відчують, але зрештою всім доведеться перейти на новий стандарт — і, на мою думку, він кращий. Водночас, якщо ви покладалися на Apple у збереженні ключа відновлення, варто заздалегідь подумати про нову стратегію. Стаття може здатися трохи складною, адже вона розрахована на досвідчених користувачів macOS. Але я намагатимусь пояснювати простими словами, щоб матеріал був зрозумілий якомога ширшій аудиторії.
Як працює FileVault
Ми вже писали про те як працює сучасне шифрування на Mac, але я стисло нагадаю.Сучасний FileVault вперше з’явився ще в Mac OS X 10.7 Lion,і тоді перша інтеграція цього механізму шифрувала лише Домашню теку. Нинішня версія FileVault забезпечує як захист завантаження, так і захист диска: потрібно ввести пароль користувача ще до запуску операційної системи, і лише після цього відкривається ключ шифрування, який дає доступ до стартового тому, що інакше залишався б повністю заблокованим.
Під час першого налаштування FileVault macOS створює ключ відновлення(Recovery Key)
Зазвичай диск розшифровується шляхом входу в систему за допомогою пароля, але якщо частина диска, що містить дані для входу, пошкоджується, ключ відновлення є єдиним альтернативним способом розшифровки даних. Це дуже рідкісний випадок, але якщо він трапиться, необхідний альтернативний спосіб відновлення. Саме ним і є ключ відновлення.
Раніше у вас було два варіанти зберігання цього ключа: ви могли переглянути його один раз і обов’язково записати (або, частіше сфотографувати чи зберегти в менеджері паролів). Або ви могли вибрати використання iCloud escrow, де ключ зберігався як частина ваших даних на серверах Apple без додаткової безпеки — будь-хто, хто мав доступ до вашого облікового запису Apple, міг отримати його і розблокувати Mac. Apple змінила опцію iCloud в Tahoe, підвищивши рівень безпеки та змінивши спосіб доступу до неї, що, я впевнений, було зроблено для кращої загальної безпеки та конфіденційності.
Однак ця зміна означає, що ви несете набагато більшу відповідальність за управління критично важливим компонентом відновлення з активним FileVault. У цьому є деякі нюанси, про які я розповім далі.
Тотальне шифрування
Раніше люди переживали щодо крадіжки вмісту жорсткого диска. Хтось боявся реального викрадення комп’ютера з дому чи офісу, але найбільший ризик — залишити ноутбук без нагляду або втратити його. Apple завжди турбувалось за конфіденційність данних своїх користувачів.
Частково вирішує цю проблему повне шифрування диска (FDE), коли захищається весь простір. Для цього розробили спеціальний режим: після завантаження, але до повноцінного сеансу роботи, диск монтується і шифрується вперше, тоді як при наступних перезавантаженнях запитує ключ для розшифрування.
Сам процес початкового шифрування міг бути дуже повільним, але це трапляється разово. Далі читання і запис даних із шифруванням трохи гальмує роботу, але не критично (старі жорсткі диски і так були не дуже швидкі). Деякі виробники навіть впроваджували FDE у свої пристрої на апаратному рівні, що прискорювало процес, а згодом підтримка шифрування з’явилася у процесорах, і операційні системи змогли швидко шифрувати диски. Перехід на SSD також пришвидшив читання і запис навіть при повному шифруванні.
Apple прийняла рішення шифрувати стартові диски для всіх комп’ютерів: спочатку через T2 Security Chip на Intel, а потім — для всіх Apple silicon на базі M-серії. Для цих комп’ютерів FileVault — це захист на етапі завантаження; шифрування завжди активне і не може бути вимкнене.
Ілюзія стартового екрану
Цей прихований складний процес працює, якщо не трапиться збій. Дані для boot-розділу можуть бути знищені чи пошкоджені. Або ви можете забути потрібний пароль, особливо якщо давно не користувалися Mac і не зберегли свій пароль для таких випадків . Опинитися без способу розблокування стартового тому — це реальний ризик.
Apple передбачила це, створивши Відновлювальний ключ FileVault, що може розблокувати диск у критичних ситуаціях. Як не втратити до нього доступ?
Як до цього часу працювало зберігання ключа
Що змінилося
Крім того, Recovery Key знаходиться у Паролях. За умови активного iCloud Keychain можна отримати доступ до ключа з інших пристроїв. В macOS у додатку Паролі є повний запис із деталями, включаючи серійний номер Mac (прихований для конфіденційності); в iOS/iPadOS запис більш мінімальний — лише тип паролю Recovery Key і сам ключ.
Я не думаю, що новий підхід знижує рівень безпеки. Якщо хтось отримав доступ до розблокованого Mac чи іншого пристрою, то йому все одно буде потрібно підтвердження через Touch ID, Face ID або знання паролю для запуску пристрою. Проста фізична присутність не дозволить отримати Recovery Key.
Тепер ключ можна переглядати без вимкнення FileVault, а також отримувати до нього доступ із інших пристроїв із end-to-end шифруванням. Це робить схему більш зручною, хоча й вимогливою щодо відповідальності власника.
Але це означає, що власник комп’ютера тепер повністю відповідає за збереження ключа. Якщо ви раніше обирали iCloud-ескроу і вирішили вимкнути FileVault чи мусите це зробити після перевстановлення macOS, обов’язково переконайтеся, що Recovery Key є в iCloud Keychain, у менеджері паролів чи записаний і збережений у надійному місці. В будь-якому випадку, подбайте, щоб мати доступ до ключа, якщо Mac не дозволяє запустити ваш обліковий запис.
У macOS 26 змінився підхід до роботи з Recovery Key. Тепер його можна подивитися одразу після створення, без необхідності вимикати FileVault. У Tahoe ключ доступний у будь-який момент: достатньо натиснути «Показати» й підтвердити дію через Touch ID або пароль.
Ще одна важлива зміна — зберігання в iCloud Keychain. Ключ автоматично потрапляє до захищеного, end-to-end зашифрованого сховища й стає доступним у додатку «Паролі» на всіх ваших пристроях. У macOS там зберігається повний запис із деталями, зокрема серійним номером Mac (прихованим для конфіденційності), тоді як в iOS та iPadOS інформація спрощена й містить лише сам Recovery Key.
Натомість Apple відмовилася від варіанту зберігання ключа через Apple ID (iCloud escrow). Це означає, що простого входу в Apple Account тепер недостатньо для відновлення доступу до зашифрованого диска. Потрібен або інший довірений пристрій із активним iCloud Keychain, або записаний Recovery Key у менеджері паролів чи надійному місці.
Такий підхід не знижує безпеку. Щоб переглянути ключ, у будь-якому випадку потрібна автентифікація — Touch ID, Face ID або пароль. Фізичної присутності біля пристрою недостатньо, аби отримати Recovery Key. Водночас система стала зручнішою: тепер ключ можна переглянути без вимкнення FileVault і мати до нього доступ з інших пристроїв із наскрізним шифруванням.
Саме головне
Якщо ви не втратили цікавість і все-таки дочитали до цього пункту — я вас щиро вітаю! До цього моменту йшлося переважно про технічні деталі: як працював FileVault раніше, що змінилося в macOS Tahoe та де тепер зберігається Recovery Key. Але головне не в самому механізмі, а в тому, що відтепер саме ви несете повну відповідальність за цей ключ.
Раніше більшість користувачів покладалися на «магію Apple» — натискали «ОК», не читаючи попереджень, і були впевнені, що якщо щось станеться, доступ завжди можна буде відновити через Apple ID. Тепер такого варіанту більше немає. Якщо ви забудете пароль чи втратите доступ до акаунта, жодні чарівні механізми Apple не допоможуть. Єдиний вихід — це ваш власноруч збережений Recovery Key. Подбайте про нього заздалегідь: залиште копію в iCloud Keychain, у надійному менеджері паролів чи навіть на папері, схованому у безпечному місці. Це єдина гарантія, що у критичний момент ви не втратите доступ до своїх даних.
