1 votos

zimbatm avatar

¿Cómo puedo descifrar un volumen APFS que está marcado como "Cifrado en reposo" (Mac equipado con T2)?

Preguntado el 12 de Diciembre, 2020
Cuando se hizo la pregunta
141 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Véase también: ¿Qué significa "FileVault: No (Cifrado en reposo)"?

Como desarrollador e investigador, necesito algunos volúmenes APFS en un T2 Mac descifrados hasta el punto de que la lectura de sus bloques en bruto, por ejemplo con el dd me mostrará el contenido no encriptado. ¿Cómo puedo conseguirlo, siempre que tenga acceso total (y autenticación) al Mac y a sus datos en el disco?

Necesitaría una forma de desencriptar los bloques después de leerlos (por ejemplo, desde /dev/diskXsY ), o necesitaría que MacOS los desencripte completamente, al igual que algunos volúmenes ocultos ("Preboot", "Recovery", "Update") ya lo están por defecto.

Con los Macs anteriores a la T2, esto era fácil: emitía el comando diskutil apfs decrypt diskXsY . Pero en un T2 Mac, esto lleva al mensaje:

APFS Volume diskXsY is not FileVaulted

¿Cómo puedo acceder al contenido no cifrado de los bloques de estos volúmenes? Ya sea utilizando algún comando para descifrarlos permanentemente, o consiguiendo la información sobre cómo escribir código para descifrar los bloques sobre la marcha.

Nota: No tengo intención de quitar el SSD del Mac - sólo quiero ser capaz de escanear las estructuras APFS de estos volúmenes mientras están dentro de ese Mac, y para eso los necesito descifrados.

Otra ventaja de responder a esta pregunta: Desencriptar los volúmenes de forma permanente debería permitir al usuario clonar el disco en bruto (es decir, sus contenedores) en otro Mac, donde se podrían volver a encriptar los datos (si hay un proceso para ello).

Para aclarar, esto es lo que diskutil apfs list muestra para tal contenedor APFS:

+-- Container disk1 82B4467A-B907-49BC-8214-DE7918D34304
    ====================================================
    APFS Container Reference:     disk1
    Size (Capacity Ceiling):      100000002048 B (100.0 GB)
    Capacity In Use By Volumes:   44633624576 B (44.6 GB) (44.6% used)
    Capacity Not Allocated:       55366377472 B (55.4 GB) (55.4% free)
    |
    +-< Physical Store disk0s7 A61C9E41-132C-47D7-A5F8-B926D4F8B7C7
    |   -----------------------------------------------------------
    |   APFS Physical Store Disk:   disk0s7
    |   Size:                       100000002048 B (100.0 GB)
    |
    +-> Volume disk1s1 7D4442EE-B26A-4662-A790-EEED80416C3D
    |   ---------------------------------------------------
    |   APFS Volume Disk (Role):   disk1s1 (No specific role)
    |   Name:                      Mojave (Case-insensitive)
    |   Mount Point:               Not Mounted
    |   Capacity Consumed:         41805852672 B (41.8 GB)
    |   Sealed:                    No
    |   FileVault:                 No (Encrypted at rest)
    |
    +-> Volume disk1s2 FB52B358-7F67-4783-AE80-6F766FA26BCC
    |   ---------------------------------------------------
    |   APFS Volume Disk (Role):   disk1s2 (Preboot)
    |   Name:                      Preboot (Case-insensitive)
    |   Mount Point:               Not Mounted
    |   Capacity Consumed:         45334528 B (45.3 MB)
    |   Sealed:                    No
    |   FileVault:                 No
    |
    +-> Volume disk1s3 985D7AF0-DA65-4099-AF64-FEEEA78C0297
    |   ---------------------------------------------------
    |   APFS Volume Disk (Role):   disk1s3 (Recovery)
    |   Name:                      Recovery (Case-insensitive)
    |   Mount Point:               Not Mounted
    |   Capacity Consumed:         510398464 B (510.4 MB)
    |   Sealed:                    No
    |   FileVault:                 No
    |
    +-> Volume disk1s4 F253A522-1F28-468A-A723-0B438D536035
        ---------------------------------------------------
        APFS Volume Disk (Role):   disk1s4 (VM)
        Name:                      VM (Case-insensitive)
        Mount Point:               Not Mounted
        Capacity Consumed:         2147504128 B (2.1 GB)
        Sealed:                    No
        FileVault:                 No (Encrypted at rest)

Los volúmenes que muestran "FileVault: No (Encrypted at rest)" son los que causan el problema: sus bloques están encriptados al leerlos desde el dispositivo de disco, mientras que los bloques de los que muestran "FileVault: No" muestran estructuras APFS legibles. Una solución sería poner todos los volúmenes en el estado "FileVault: No".

Preguntado el 12 de Diciembre, 2020 por zimbatm

Respuesta

¿Demasiados anuncios?

1voto

zimbatm avatar
zimbatm Puntos 2525

Un amable pajarito me lo dijo:

  1. Desbloquear el volumen APFS ( apfs unlock <volume's uuid> -nomount ) -- esta es la parte en la que todavía necesitas conocer la contraseña, es decir, no hay manera de burlar el cifrado si no estás autorizado.
  2. Crear un dir vacío ( mkdir /tmp/apfs ).
  3. Montar el volumen ( mount_apfs -c -o ro /dev/diskXsY /tmp/apfs ). Aparecerá en el directorio "/tmp" como "fake-mount".
  4. Lee dos archivos en el volumen recién montado: "nx" y "apfs". El primero contiene los mismos bloques que el contenedor original. El otro contiene los mismos bloques, pero descifrados con el VEK del volumen (Ver Referencia del sistema de archivos APFS ).

Esto me permite ver los bloques de la estructura del volumen APFS descifrado tanto en MacOS 10.13.6 con un volumen APFS cifrado normal (no T2) como en MacOS 11.1 con un volumen cifrado T2.

Respondido el 19 de Diciembre, 2020 por zimbatm (2525 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X