¿Cómo crear una clave de recuperación para una imagen de disco cifrada?

Navega tus respuestas
1

FileVault 2 está calculando una clave de recuperación cuando decido activar este modo de seguridad. Esta clave de recuperación es un cinturón de seguridad obligatorio cuando alguien quiere utilizar la criptografía serious .

¿Es posible crear una clave de recuperación de la misma manera para una imagen de disco cifrada creada con Disk Utility o hdiutil ?

Estoy buscando una solución alrededor de hdiutil para Lion , Mountain Lion , Mavericks y que podría estar en futuras versiones de MacOS X.

    
pregunta daniel Azuelos 22.08.2014 - 11:42

1 respuesta

3

Es posible hacer esto usando hdiutil y openssl. La esencia de la solución es usar la opción -certificate de hdiutil . Este campo espera un certificado con formato DER que se utilizará durante el cifrado. El certificado se puede usar más adelante para descifrar el volumen a través de la opción -recover de hdutil .

La duración de 10 años se usa en los certificados a continuación, puede usar términos más largos si lo desea. No he probado el efecto de un certificado caducado en la capacidad de descifrar el volumen.

¡Pruebe completamente que puede descifrar usando el certificado de recuperación antes de confiar el volumen cifrado con sus datos!

Los pasos son:

  1. Cree una Autoridad de certificación (CA) que se utilizará para firmar su certificado de recuperación. Se le pedirá una contraseña. Esto debería ser único para esta clave de firma. La CA creada puede utilizarse para firmar muchos certificados. 

    % openssl genrsa -des3 -out ca.key 4096
% openssl req -new x509 -days 3650 -key ca.key -out ca.crt

  2. Crear una solicitud de firma de certificado protegida por contraseña (csr). La contraseña solicitada en este paso es su "clave de recuperación". 

    % openssl genrsa -des3 -out recovery.key 4096
% openssl req -new -key recovery.key -out recovery.csr

  3. Cree el certificado firmado en formato PEM. 

    % openssl x509 -req -days 3650 -in recovery.csr \
-CA ca.crt -CAkey ca.key -set_serial 01 -out recovery.crt

  4. Convierta el certificado firmado al formato DER 

    % openssl x509 -in recovery.crt -inform pem \
-out recovery.der -outform der

  5. Agrupe el certificado PEM y la clave privada en un paquete PKCS # 12. Este paquete se puede importar posteriormente al llavero en una Mac donde se necesita recuperar un volumen. Proteja este paquete, ya que se puede usar para acceder a cualquier volumen cifrado utilizando el certificado contenido. Por ejemplo, póngalo en una unidad de disco USB que se guarda en un lugar seguro. 

    % openssl pkcs12 -export -in recovery.crt -inkey recovery.key -out recovery.p12

  6. Use hdiutil con las opciones -agentpass y -certificate para crear el volumen cifrado. 

    % hdiutil create -type SPARSE -encryption aes-256 \
-certificate ~/recovery.der -agentpass -fs HFS+J \
-volname "Secure Docs" -size 20g ~/Secure

Puede encontrar más información sobre este tema en: enlace

Las instrucciones anteriores son una combinación de mis propias notas sobre la creación de certificados para sitios web más instrucciones en el sitio anterior.

    
respondido por el KenB 26.08.2014 - 16:07

Lea otras preguntas en las etiquetas

Porcentaje de saltos de caracteres Terminal Una forma fácil de cargar imágenes con acceso directo o línea de comando o arrastrar y soltar