FileVault (macOS) använder kryptering av hela disken och bygger på flera olika nycklar som hanteras i lager. Apple lagrar inte en “färdig” dekrypteringsnyckel i klartext, men vissa nyckelkomponenter kan vara knutna till hårdvaran och till ditt konto beroende på hur du har konfigurerat FileVault.
Här är huvudprinciperna.
FileVault har en volymnyckel som faktiskt krypterar disken
När FileVault är påslaget finns en huvudnyckel som används för att kryptera och dekryptera data på lagringsenheten. Den nyckeln ligger inte sparad som en enkel sträng du kan läsa ut, utan är skyddad och “inlåst” så att den bara kan användas när rätt upplåsning sker.
Nyckeln skyddas i sin tur av “wrap-nycklar”
I stället för att lagra volymnyckeln öppet lagras den i ett “inlindat” (krypterat) format. För att kunna använda volymnyckeln måste macOS först låsa upp den med en annan nyckel som i praktiken kommer från:
- Ditt lösenord (eller en användares lösenord som är godkänd för FileVault-upplåsning)
- Secure Enclave/hårdvaruskydd (på nyare Macar)
- En återställningsnyckel (Recovery Key), om du använder det
Det är alltså inte så att din inloggning “är” nyckeln, utan ditt lösenord används för att låsa upp nyckelmaterial som i sin tur låser upp volymnyckeln.
På nyare Macar skyddas nycklarna av Secure Enclave
På Macar med Apple Silicon (och Intel med T2) finns ett hårdvarubaserat skydd där nyckelmaterial kan bindas till enheten. Secure Enclave kan lagra nycklar eller nyckeldelar så att de inte går att extrahera, och så att upplåsning kräver både rätt användaruppgifter och rätt hårdvara.
Det betyder i praktiken att även om någon kopierar hela disken bit för bit, så räcker det inte utan upplåsning via rätt mekanism.
Återställningsnyckeln kan hanteras på två sätt
När du aktiverar FileVault kan du välja mellan två modeller:
Lokalt sparad Recovery Key (du ansvarar för den)
Då finns ingen automatisk “Apple-kopia” som du kan få tillbaka om du tappar den. Tappar du både lösenord och Recovery Key kan datan bli oåtkomlig.
Recovery Key knuten till Apple ID (kontoåterställning)
Väljer du att kunna återställa via ditt Apple-konto lagras inte din volymnyckel hos Apple som en dekrypteringsnyckel i klartext. I stället används en modell där återställning sker via Apple ID-flödet, vilket i praktiken innebär att du kan låsa upp FileVault genom kontobaserad återställning om du klarar Apples verifiering.
Företagsmiljö: nycklar kan även lagras via MDM
I organisationer kan FileVault-återställningsnycklar ofta lagras (escrow) i ett MDM-system (till exempel Jamf eller Intune). Då är det inte Apple som “har nyckeln”, utan organisationens hantering.
Sammanfattning
Apple lagrar inte en direkt dekrypteringsnyckel till din FileVault-disk i klartext. FileVault-nycklarna ligger skyddade i flera lager, där upplåsning kräver en kombination av användaruppgifter och (på nyare Macar) hårdvaruskydd via Secure Enclave. Väljer du Apple ID-återställning finns en Apple-kopplad återställningsmekanism, men inte som en enkel, läsbar nyckel som Apple kan plocka fram och använda utan ditt konto och verifiering.
Apple kan alltså inte lämna ut någon nyckel som kan användas för att låsa upp en låst och krypterad Mac-dator där att Apple inte har någon nyckel att lämna ut.
Läs mer:
https://www.macken.xyz/2026/01/hur-saker-ar-din-windows-dator-egentligen/
