Quando a criptografia realmente acontece nos volumes criptografados do MacOS / OS X?

Percebi uma espécie de estratégia preguiçosa / pós-criptografia no MacOS / OS X com o FileVault ativado e em backups criptografados do Time Machine, e estou curioso quando a criptografia real acontece.

• Quando copio vídeos de volumes USB 3 externos não criptografados para o meu volume criptografado do FileVault, minhas velocidades de gravação são 100 + MB / s. No entanto, eu não acho que meu macbook (Intel Core i7-4980) seja capaz de criptografar tão rapidamente em tempo real.
• Quando eu concluo um backup da máquina do tempo, uma longa etapa de "criptografia ..." acontece, mas continua sem interrupção após a desmontagem / remontagem. Isso é mais óbvio quando a criptografia está acontecendo, mas os dados são expostos até que a criptografia seja concluída?

Quando a criptografia real acontece? Existe um período em que meus arquivos ficam vulneráveis ​​sem criptografia?

Na verdade, o seu mac é capaz de criptografar tão rápido (talvez você esteja confundindo com criptografia + compactação ).

Seu processador possui um conjunto de instruções Intel AES-NI especial, projetado especificamente para otimizar a velocidade de criptografia. Observando alguns benchmarks de desempenho para esse processador, o teste AES é executado em um impressionante núcleo de 8,87 GB / s e 2,94 GB / s em um único núcleo. Não há gargalo por lá, mas posso imaginar alguma latência ao processar milhares de arquivos pequenos em vez de um grande como no benchmark.

Para resolver a confusão na sua pergunta:

• Enquanto estiver conectado, a criptografia ocorrerá sempre que você ler / gravar de qualquer lugar em um disco criptografado do FileVault2.
• O Time Machine transfere dados não criptografados para o disco externo e depois criptografa. Meu palpite é que eles o projetaram dessa maneira para serem mais tolerantes a falhas com mídia externa mais lenta e complicada.

Quando você criptografa ou descriptografa, o macOS converte todos os dados no volume de armazenamento. Enquanto esse processo não for concluído, alguns dos dados da partição ainda poderão não ser criptografados, ou seja, desprotegidos. O processo pode ser pausado, por exemplo, quando você desliga o sistema. Ele continuará automaticamente quando você inicializar. Para verificar o status atual da criptografia, você pode usar:

diskutil cs list

ou

fdesetup status

A criptografia de dados on-the-fly é muito bem possível e normalmente você não deve notar um impacto no desempenho.