1 votos

Cómo crear una clave de recuperación para una imagen de disco cifrada?

FileVault 2 es el cálculo de una clave de recuperación cuando me decido a activar este modo de seguridad. Esta clave de recuperación es un obligatorio del cinturón de seguridad cuando alguien quiere usar grave de la criptografía.

Es posible la creación de una clave de recuperación de la misma manera para un crypted imagen de disco creada con Disk Utility o hdiutil?

Estoy buscando una solución en torno hdiutil para Lion, Mountain Lion, Mavericks y que podría estar en las futuras versiones de MacOS X.

3voto

KenB Puntos 236

Es posible hacer esto usando hdiutil y openssl. La esencia de la solución es el uso de la -certificate opción de hdiutil. En este campo se espera un DER formato de certificado que se utilizará durante el cifrado. El certificado puede ser usado más tarde para descifrar el volumen a través de la -recover opción de hdutil.

10 años de duración se utiliza en los certificados de abajo, usted podría utilizar más términos, si se desea. Yo no he probado el efecto de un certificado caducado en la capacidad de descifrar el volumen.

Totalmente de prueba de que puede descifrar mediante el certificado de recuperación antes de confiar el volumen cifrado con sus datos!

Los pasos son:

  1. Crear una Autoridad de certificación (CA) que será utilizado para firmar el certificado de recuperación. Se le pedirá una contraseña. Este debe ser único para esta clave de firma. La CA puede ser utilizado para firmar certificados.

    % openssl genrsa -des3 -out ca.key 4096
    % openssl req -new x509 -days 3650 -key ca.key -out ca.crt
    
  2. Crear una contraseña protegida solicitud de firma de certificado (csr). La contraseña solicitada en este paso es su "clave de recuperación".

    % openssl genrsa -des3 -out recovery.key 4096
    % openssl req -new -key recovery.key -out recovery.csr
    
  3. Crear el certificado firmado en formato PEM.

    % openssl x509 -req -days 3650 -in recovery.csr \
    -CA ca.crt -CAkey ca.key -set_serial 01 -out recovery.crt
    
  4. Convertir el certificado firmado formato DER

    % openssl x509 -in recovery.crt -inform pem \
    -out recovery.der -outform der
    
  5. El paquete de los PEM certificado y la clave privada en un PKCS#12 paquete. Este paquete puede ser más tarde importados en el llavero de un mac en un volumen debe ser recuperado. Proteger este paquete puede ser usado para acceder a cualquier volumen encriptado usando la contenida en el certificado. Por ejemplo, ponerlo en un pendrive que se mantiene en un lugar seguro.

    % openssl pkcs12 -export -in recovery.crt -inkey recovery.key -out recovery.p12
    
  6. Uso hdiutil con el -agentpass y -certificate opciones para crear el volumen cifrado.

    % hdiutil create -type SPARSE -encryption aes-256 \
    -certificate ~/recovery.der -agentpass -fs HFS+J \
    -volname "Secure Docs" -size 20g ~/Secure
    

Más discusión sobre este tema se puede encontrar en: http://thelowedown.wordpress.com/2008/11/27/data-encryption-for-mac-osx-sparse-images-with-enterprise-recovery/

Las instrucciones de arriba son una combinación de mis propias notas sobre la creación de certificados para los sitios web más instrucciones en el sitio anterior.

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X