Come creare una chiave di ripristino per un'immagine disco crittografata?

1

FileVault 2 sta calcolando una chiave di ripristino quando decido di attivare questa modalità di sicurezza. Questa chiave di ripristino è una cintura di sicurezza obbligatoria quando qualcuno vuole utilizzare la crittografia seria .

È possibile creare una chiave di ripristino allo stesso modo per un'immagine del disco criptata creata con Disk Utility o hdiutil ?

Sto cercando una soluzione intorno a hdiutil per Lion , Mountain Lion , Mavericks e quale potrebbe stare sulle versioni future di MacOS X.

    
posta daniel Azuelos 22.08.2014 - 11:42
fonte

1 risposta

3

È possibile farlo usando hdiutil e openssl. L'essenza della soluzione è utilizzare l'opzione -certificate di hdiutil . Questo campo richiede un certificato formattato DER che verrà utilizzato durante la crittografia. Il certificato può essere utilizzato in un secondo momento per decodificare il volume tramite l'opzione -recover di hdutil .

La durata di 10 anni viene utilizzata sui certificati di seguito, è possibile utilizzare termini più lunghi se lo si desidera. Non ho testato l'effetto di un certificato scaduto sulla capacità di decrittografare il volume.

Verifica completamente che puoi decodificare utilizzando il certificato di recupero prima di affidare il volume crittografato ai tuoi dati!

I passaggi sono:

  1. Crea un'autorità di certificazione (CA) che verrà utilizzata per firmare il certificato di recupero. Ti verrà chiesta una password. Questo dovrebbe essere unico per questa chiave di firma. La CA creata può essere utilizzata per firmare molti certificati.

    % openssl genrsa -des3 -out ca.key 4096
    % openssl req -new x509 -days 3650 -key ca.key -out ca.crt
    
  2. Creare una richiesta di firma del certificato protetta da password (csr). La password richiesta in questo passaggio è la "chiave di ripristino".

    % openssl genrsa -des3 -out recovery.key 4096
    % openssl req -new -key recovery.key -out recovery.csr
    
  3. Crea il certificato firmato in formato PEM.

    % openssl x509 -req -days 3650 -in recovery.csr \
    -CA ca.crt -CAkey ca.key -set_serial 01 -out recovery.crt
    
  4. Converti il certificato firmato in formato DER

    % openssl x509 -in recovery.crt -inform pem \
    -out recovery.der -outform der
    
  5. Combina il certificato PEM e la chiave privata in un pacchetto PKCS # 12. Questo pacchetto può essere successivamente importato nel portachiavi su un Mac in cui è necessario recuperare un volume. Proteggi questo pacchetto in quanto può essere utilizzato per accedere a qualsiasi volume crittografato utilizzando il certificato contenuto. Ad esempio, mettilo su una chiavetta che viene conservata in un luogo sicuro.

    % openssl pkcs12 -export -in recovery.crt -inkey recovery.key -out recovery.p12
    
  6. Utilizza hdiutil con entrambe le opzioni -agentpass e -certificate per creare il volume crittografato.

    % hdiutil create -type SPARSE -encryption aes-256 \
    -certificate ~/recovery.der -agentpass -fs HFS+J \
    -volname "Secure Docs" -size 20g ~/Secure
    

Altre discussioni su questo argomento sono disponibili su: link

Le indicazioni di cui sopra sono una combinazione delle mie note sulla creazione di certificati per i siti web oltre alle istruzioni nel sito in alto.

    
risposta data 26.08.2014 - 16:07
fonte

Leggi altre domande sui tag