Die APFS-Volumes auf den internen SSDs moderner Notebooks und Desktops aus Cupertino sind stets verschlüsselt. Bei Intel-Macs kommt hierfür der T2-Chip zum Einsatz, bei Computern mit Apple Silicon ist die benötigte Secure Enclave in die M1- und M2-Prozessoren integriert. Selbstverständlich lassen sich auch externe Datenträger mithilfe des Apple File System verschlüsseln. Dabei kommt aber ein anderes Verfahren zum Tragen, was sich unter Umständen auf die Performance auswirkt (siehe ). Zudem unterscheidet sich der Mount-Prozess, welcher nach dem Anschluss einer SSD oder Festplatte per USB oder Thunderbolt abläuft. Howard Oakley, der sich unter anderem wegen einiger von ihm entwickelten macOS-Tools einen Namen gemacht hat, hat diesen Vorgang jetzt genauer analysiert.


Kryptografischer Volume-Schlüssel ist selbst verschlüsselt
macOS bindet zunächst den auf dem externen Datenträger zu findenden Container ein und untersucht diesen auf ein oder mehrere verschlüsselte Volumes. Sind diese vorhanden, sendet APFS eine Anforderung an eine Routine namens „Effaceable Storage“. Sie ist dafür zuständig, den kryptografischen Schlüssel (Volume Encryption Key, VEK) des Volumes zu ermitteln. Dieser ist ebenfalls verschlüsselt, und zwar mit einem Key Encryption Key (KEK), der sich nur mithilfe des bei der Initialisierung des Volumes festgelegten Passworts auslesen lässt. macOS fragt dieses folglich ab, erst nach der korrekten Eingabe des Codes wird dann zum normalen Mount-Prozess übergegangen und das verschlüsselte Volume steht zur Verfügung. Die genauen Schritte dokumentiert Oakley in einem mit entsprechenden Grafiken illustrierten Beitrag auf The Eclectic Light Company.

Mounten von Snapshots und Cryptexes
Deutlich weniger aufwendig gestaltet sich das Einbinden der Snapshots von Time-Machine-Backups auf einem externen Laufwerk. Beim Mounten kommt es allerdings zu einer Besonderheit: macOS aktualisiert einen Zähler namens „Copy on Write exempt count“, da bei Snapshots nicht das standardmäßige CoW-Feature zum Einsatz kommt. Komplizierter stellt sich hingegen das Verfahren dar, mit welchem macOS auf die sogenannten Cryptexes zugreift. Bei diesen „cryptographically-sealed extensions“ handelt es sich um Erweiterungen für das System-Volume, sie dienen unter anderem der Beschleunigung von Updates und dem Einspielen von Hotfixes im Rahmen der Rapid Security Response (siehe ). Die Cryptexes werden zunächst auf Inhalte und Metadaten überprüft sowie anschließend anhand von Hash-Werten authentisiert und validiert. Im Erfolgsfalle stehen sie dann dem System zur Verfügung und lassen sich bis zum Shutdown des Rechners nicht aushängen.