Es posible hacer esto usando hdiutil y openssl. La esencia de la solución es el uso de la -certificate
opción de hdiutil
. En este campo se espera un DER formato de certificado que se utilizará durante el cifrado. El certificado puede ser usado más tarde para descifrar el volumen a través de la -recover
opción de hdutil
.
10 años de duración se utiliza en los certificados de abajo, usted podría utilizar más términos, si se desea. Yo no he probado el efecto de un certificado caducado en la capacidad de descifrar el volumen.
Totalmente de prueba de que puede descifrar mediante el certificado de recuperación antes de confiar el volumen cifrado con sus datos!
Los pasos son:
-
Crear una Autoridad de certificación (CA) que será utilizado para firmar el certificado de recuperación. Se le pedirá una contraseña. Este debe ser único para esta clave de firma. La CA puede ser utilizado para firmar certificados.
% openssl genrsa -des3 -out ca.key 4096
% openssl req -new x509 -days 3650 -key ca.key -out ca.crt
-
Crear una contraseña protegida solicitud de firma de certificado (csr). La contraseña solicitada en este paso es su "clave de recuperación".
% openssl genrsa -des3 -out recovery.key 4096
% openssl req -new -key recovery.key -out recovery.csr
-
Crear el certificado firmado en formato PEM.
% openssl x509 -req -days 3650 -in recovery.csr \
-CA ca.crt -CAkey ca.key -set_serial 01 -out recovery.crt
-
Convertir el certificado firmado formato DER
% openssl x509 -in recovery.crt -inform pem \
-out recovery.der -outform der
-
El paquete de los PEM certificado y la clave privada en un PKCS#12 paquete. Este paquete puede ser más tarde importados en el llavero de un mac en un volumen debe ser recuperado. Proteger este paquete puede ser usado para acceder a cualquier volumen encriptado usando la contenida en el certificado. Por ejemplo, ponerlo en un pendrive que se mantiene en un lugar seguro.
% openssl pkcs12 -export -in recovery.crt -inkey recovery.key -out recovery.p12
-
Uso hdiutil
con el -agentpass
y -certificate
opciones para crear el volumen cifrado.
% hdiutil create -type SPARSE -encryption aes-256 \
-certificate ~/recovery.der -agentpass -fs HFS+J \
-volname "Secure Docs" -size 20g ~/Secure
Más discusión sobre este tema se puede encontrar en: http://thelowedown.wordpress.com/2008/11/27/data-encryption-for-mac-osx-sparse-images-with-enterprise-recovery/
Las instrucciones de arriba son una combinación de mis propias notas sobre la creación de certificados para los sitios web más instrucciones en el sitio anterior.