Tenía un ordenador Mac con MacOS 10.14.6 (creo) y configuré una copia de seguridad de Time Machine con encriptación en un disco duro. Está encriptada con HFS+ con una contraseña y una pista. La contraseña se guardaba en el llavero local y hacía copias de seguridad 3 veces por semana.
Luego me robaron el ordenador. Conecto la unidad encriptada a otro ordenador y no veo la pista (parece un cuestión no resuelta ):
Me puse en contacto con Apple para obtener asistencia y visité una tienda, pero se empeñaron en decir que la pista no está en la unidad, y que hacerlo sería un riesgo para la seguridad. Esto me parece retrógrado porque entonces no hay ninguna ventaja de tener una pista si sólo se muestra en el mismo dispositivo donde se puede guardar la contraseña en primer lugar.
Por casualidad Descubrí que las unidades APFS sí muestran una pista. En cuanto a HFS+:
[La pista se almacena en la entrada "PassphraseHint" de la estructura "CryptoUsers" en la estructura "com.apple.corestorage.lvf.encryption.context" en el plist XML de CoreStorage en la unidad cifrada. Puede leer los detalles aquí Cifrado de unidades FileVault
El mismo hilo muestra que este plist XML de CoreStorage en la unidad encriptada está codificado:
El PLIST se comprime usando DEFLATE y la propia pista puede estar codificada en base64. Tendrás que descomprimir los datos antes de buscar la pista, si quieres encontrarla manualmente de esa manera.
y que PLIST puede estar fuera de la partición encriptada :
El contexto de cifrado plist, ya sea el EncryptedRoot.plist.wipekey almacenado en la partición "Recovery HD" del disco del sistema que también contiene el volumen cifrado de FileVault, o los datos XML tipo plist identificados como "com.apple.corestorage.lvf.encryption.context" almacenados en los metadatos cifrados, contienen los VMK cifrados necesarios para desbloquear el volumen cifrado.
¿Cómo se puede mostrar el nombre del usuario antes de descifrar el disco, cuando FileVault está activado? maneja una pregunta relacionada donde una unidad tiene un Preboot volumen. Siguiendo esos pasos, corrí:
$ diskutil list
/dev/disk0 (internal, physical):
...
/dev/disk1 (synthesized):
...
/dev/disk2 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *240.1 GB disk2
1: EFI EFI 209.7 MB disk2s1
2: Apple_CoreStorage Time Machine Encryped 239.7 GB disk2s2
3: Apple_Boot Boot OS X 134.2 MB disk2s3
Offline
Logical Volume Time Machine Encryped on disk2s2
2930C7CC-4EE4-43AB-B1FB-81756A1CC0E5
Locked EncryptedDespués de una respuesta la pista debe estar en el Apple_CoreStorage volumen en sí. Monto ese volumen con:
$ sudo mkdir /Volumes/Apple_CoreStorage
$ sudo mount -t hfs /dev/disk2s2 /Volumes/Apple_CoreStoragey me pide la contraseña de encriptación de la misma manera que si lo hubiera montado:
¿Cómo puedo encontrar los bytes que contienen el plist XML de CryptoUsers o CoreStorage en la unidad encriptada, decodificarlos con base64 y ver la pista en texto plano?
