配备 T2 芯片的 Mac 为什么开启 FileVault 之后开机依然需要输密码才能引导？

输入的是用户的密码，和 FileVault 没关系吧

配备 T2 的电脑 FileVault 可以关了。对于有 T2 的 Mac 来说密码只是第二层防护，T2 对于启动盘的加密是默认的。

@chendy 不是的，用户密码是开机读条完成后再输的。
@ynyounuo 嗯嗯，我也想关。不过能防止离线攻击吗？

因为苹果不保存用户的密钥。不管是设备上还是服务器上。苹果都不保存这个密钥。
这样，当有人向苹果索取用户数据的时候，苹果最多只能提供加密之后的数据，无法对其进行解密。

如果苹果在 T2 保存了密码，那 filevault 就完全没有意义了。因为别人只要拿到设备，理论上就拿到了密钥。

@yuzenan888 离线攻击你是指外部引导获取内部硬盘解密内容吗？如果不改默认的不允许从外部硬盘引导那么不考虑未知漏洞的情况下应该不能通过外部引导的方式获取你电脑内部硬盘的解密信息。

当然，你的离线攻击是说网上那种什么通过电流抖动破解 AES 256 那我就不清楚了，我觉得挺扯的…

@ynyounuo 哈哈，离线攻击我指的是把硬盘颗粒吹下来，放到专门的设备上读取。通过电流抖动破解的这种方式成为旁路攻击，这个当然就不考虑了。

@yuzenan888 你的 Mac 里保存里这么有价值的东西么，值得别人花这么大代价去破解

如果有一天你想试试用 u 盘重装系统, 你会发现更智障的东西

@tulongtou 这个……我觉得有。反正只属于自己的东西落到别人手里都会觉得不爽。
@wu67 之前出 13 寸 MBP 的时候重装过一次，把安全启动关掉就行了，没发现什么问题。

如果说 2016 年之前的 Pro 和 Air，对于一些保密需求一般高的人士来说需要开启 FileVault 的话。那么配备 T2 的几乎不需要了。可以参考苹果的文档。（/HT208344 ）（关于新 Mac 上的加密储存）
T2 的设备就算不开启 FileVault，SSD 上的数据也会自动加密。也就是说，哪怕被拆机，NAND 吹下来放在专用设备上读取到的也不会是原始文件。
但是不开启 FileVault 的话这个加密是在开机时被自动解密以便你访问的，开启后需要开机输入密码手动解密。

@KevZhi 谢谢！这篇之前看过，现在可以放心的关掉 FileVault 了。

@tulongtou 俺今天就发现智障的东西的
步骤是这样的
1.原有系统格式化后；
2.想从 Upan 安装，结果死循环，永远不让你设置从 U 盘启动。。。

这样只能通过在线安装这样乌龟的方式装老系统先了。

@VVTA 在线安装并不慢，主要还是看网速