Monterey ne monte pas les volumes chiffrés

Question

Monterey ne monte pas les volumes chiffrés

Demandé el 4 de Décembre, 2021: Quand la question a-t-elle été
286 affichage: Nombre de visites la question a
2 Réponses: Nombre de réponses aux questions
Résolu: Situation réelle de la question

Je n'arrive pas à faire en sorte que Monterey décrypte les volumes au démarrage sur mon MacBook Pro M1. Cela fonctionne sur un autre Mac exécutant Catalina où j'utilise BootUnlock. Je l'ai initialement installé directement à partir du téléchargement mais c'était la version x86, alors je l'ai reconstruit, nettoyé les restes de la version x86 et réinstallé la version à double architecture :

root@samhain ~ # file /Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/*
/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock:   Mach-O universal binary with 2 architectures: [x86_64:Mach-O 64-bit executable x86_64] [arm64e:Mach-O 64-bit executable arm64e]
/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock (for architecture x86_64):     Mach-O 64-bit executable x86_64
/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock (for architecture arm64e):     Mach-O 64-bit executable arm64e
/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/diskutil.xsl: ASCII text
/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/helper.sh:    Bourne-Again shell script text executable, ASCII text
/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/update.sh:    Bourne-Again shell script text executable, ASCII text
root@samhain ~ #

Il avait correctement réglé l'accès aux volumes :

Cependant, lorsque je l'ai redémarré et que je me suis connecté, il m'a demandé l'autorisation d'accéder au trousseau de clés :

Avez-vous des idées pour faire fonctionner BootUnlock ou des suggestions d'outils ou de méthodes alternatives ?

Mise à jour 1

J'ai configuré une VM Monterey sur mon Mac Pro (2019, x86) et installé BootUnlock - et ça marche. À première vue, il s'agit d'un problème de M1. Le journal ( /var/log/BootUnlock.log ) sur le MacBook Pro M1 a des entrées comme ceci :

Trying to unlock volume "sTimeMachine" with UUID ED793E20-4F9D-4A8E-9185-B2735A1164B0 ...
NOTICE: could not find the secret on the System keychain, skipping the volume.

Mise à jour 2

C'est très simple, le binaire est tué :

root@samhain ~ # /Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock
zsh: killed     /Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock
root@samhain ~ #

Cela se produit lorsque vous essayez d'exécuter la mauvaise architecture mais comme indiqué ci-dessus BootUnlock possède les deux architectures.

Demandé el 4 de Décembre, 2021 par Philip Kearns

0 votes

Honnêtement, j'ai du mal à trouver le cas d'utilisation de cet outil. Vous voulez que les disques se déverrouillent automatiquement au démarrage, sans avoir à fournir d'informations d'identification ? Pourquoi ne pas simplement les désencrypter. Même résultat final.

Commenté el 4 de Décembre, 2021 par Tetsujin

1 votes

Parce que s'ils n'étaient pas cryptés, ils pourraient être lus par tout le monde. Et n'oubliez pas qu'il est impossible d'effacer les disques SSD de manière sécurisée, vous ne devez donc rien laisser en clair sur ces disques.

Commenté el 4 de Décembre, 2021 par Philip Kearns

0 votes

S'ils sont déverrouillés sans l'intervention de l'utilisateur au démarrage, alors le seul gain est réalisé lorsque les disques sont jetés. Toute personne ayant accès à l'ordinateur a accès aux données des disques avec un auto-déverrouillage.

Commenté el 4 de Décembre, 2021 par Tetsujin

Afficher 9 autres commentaires

Answer 1

2 Réponses

Answer 2

2voto

Jose Chavez Points 645

Les Silicon Macs d'Apple exigent que tous les exécutables soient signés. Lorsque vous exécutez un exécutable non signé, il n'est pas autorisé à s'exécuter - et il apparaîtra dans le shell comme "tué".

Comme vous avez compilé l'outil vous-même, vous avez probablement laissé de côté le codesigning. Vous pouvez le faire après la compilation en exécutant cette commande dans le Terminal :

codesign -s - /Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock

Le "-" signifie qu'il s'agit d'une signature ad-hoc. La signature qui en résulte n'utilise pas d'identité spécifique et le programme ne pourra être exécuté que sur votre propre machine locale. Si vous disposez d'un abonnement de développeur auprès d'Apple, ou si vous avez créé un certificat gratuit avec votre identifiant Apple, vous pouvez l'utiliser pour la signature.

UPDATE :

J'ai trouvé le dépôt de sources pour le programme en question, et je peux voir que les BootUnlock n'est pas un nouveau binaire unique, mais plutôt une simple copie de la fonction intégrée /usr/bin/security programme. Comme on sait que ce programme fonctionne et qu'il est codé de manière appropriée, ce serait une bonne idée de modifier le script pour qu'il appelle simplement /usr/bin/security au lieu de BootUnlock .

Répondu el 7 de Décembre, 2021 par Jose Chavez (645 Points )

0 votes

Merci pour la suggestion, mais ça n'a pas marché. J'ai essayé codesign -s - il a dit qu'il était déjà signé. J'ai essayé codesign -f -s - il a remplacé la signature. Mais ça le tue toujours. Dans son répertoire de construction pour BootUnlock, il inclut une construction script qui fait pkgbuild y productbuild - peut-être qu'ils le signent. Je peux coller le build script dans ma question ci-dessus si cela peut aider.

Commenté el 7 de Décembre, 2021 par Philip Kearns

0 votes

Ce programme a-t-il des dépendances ? (c.-à-d. charge-t-il par exemple une bibliothèque ou un cadre partagé ?) - Si c'est le cas, elles doivent également être codées. Essayez "codesign -vv /Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/BootUnlock" pour afficher des informations sur l'état de la signature.

Commenté el 7 de Décembre, 2021 par Jose Chavez

0 votes

C'est vraiment étrange : il sort deux lignes, BootUnlock: valid on disk y BootUnlock: satisfies its Designated Requirement . Cela suggère que sa certitude n'est pas la raison pour laquelle il est tué.

Commenté el 7 de Décembre, 2021 par Philip Kearns

Afficher 15 autres commentaires

Answer 3

0voto

Philip Kearns Points 243

Ce n'est pas une réponse en soi c'est juste un contournement plutôt laid. Si je trouve une solution, je la posterai. Avec l'aide et la perspicacité de @jksoegaard, j'ai trouvé la meilleure solution de contournement pour le problème de BootUnlock.

Téléchargez BootUnlock depuis son site
Installez le paquet comme d'habitude
Il y a un bug dans l'installation qui fait que si vous sélectionnez le mauvais volume, vous vous ne pouvez pas l'annuler (je dois essayer de corriger ce bug), donc assurez-vous que vous de sélectionner les bons volumes. Il vous demandera les mots de passe de chaque Volume.

Une fois qu'il est installé comme Root, vous devrez le modifier :

/Library/PrivilegedHelperTools/au.com.openwall.BootUnlock/helper.sh

Remplacer ${0%/*}/BootUnlock avec /usr/bin/security

Ouvrez Keychain, sélectionnez Système sur la gauche, et trouvez les entrées pour vos disques. Pour chaque disque, ouvrez son entrée, par exemple :

Sélectionnez "Contrôle d'accès" (votre mot de passe vous sera demandé) et vous verrez les éléments suivants BootUnlock est déjà présent. Appuyez sur '+' pour ajouter une autre application. Naviguez jusqu'à la racine du disque de démarrage, appuyez sur Shift-Command- . . pour voir tous les fichiers. Naviguez vers /usr/bin/security et l'ajouter :

Appuyez sur "Enregistrer les modifications" (votre mot de passe vous sera à nouveau demandé).

Redémarrez et vérifiez que les disques sont bien déverrouillés et montés.

Répondu el 9 de Décembre, 2021 par Philip Kearns (243 Points )

Monterey ne monte pas les volumes chiffrés

Mise à jour 1

Mise à jour 2

Réponses

Questions en vedette

Top Tags

LesApples.com

Powered by:

Monterey ne monte pas les volumes chiffrés

Mise à jour 1

Mise à jour 2

Réponses

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

Powered by: