3 votes

Wobin avatar

Qu'est-ce que l'APFS "Disk User" et comment ajouter plusieurs utilisateurs cryptographiques via diskutil ?

Demandé el 22 de Octobre, 2020
Quand la question a-t-elle été
1234 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment appris qu'il est possible de crypter un volume APFS dans un conteneur à partir de l'interface de ligne de commande en utilisant la commande diskutil comme ceci :

diskutil apfs encrypt -user disk disk3s1

disk3s1 est le seul volume dans le conteneur APFS sur mon disque externe.

L'utilisateur disk est mentionné dans la page de manuel de diskutil, mais je ne comprends pas ce que c'est. De plus, si je comprends correctement, crypter le disque de démarrage de MacOS en utilisant l'onglet "Préférences Système" -> "Sécurité et confidentialité" -> "FileVault" -> bouton "Activer FileVault" réalise essentiellement la même chose. D'après ce que je peux voir, la différence entre les deux approches concerne les utilisateurs qui peuvent décrypter le disque. En utilisant l'approche des "Préférences Système", mon utilisateur (BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB ci-dessous) a la permission de décrypter le disque, tout comme la clé de récupération (utilisateur CCCCCCCC-CCCC-CCCC-CCCC-CCCCCCCCCCCC ci-dessous) qui a été générée lorsque j'ai appuyé sur le bouton "Activer FileVault". Les différences peuvent être vues en utilisant à nouveau diskutil :

# Volume sur le disque externe :
diskutil apfs listkeys disk3s1
# Utilisateur cryptographique pour disk3s1 (1 trouvé)
# |
# +-- AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA
#     Type : Utilisateur de disque

# Volume de données sur le disque interne de mon MacBook :
diskutil apfs listkeys disk1s2
# Utilisateurs cryptographiques pour disk1s2 (2 trouvés)
# |
# +-- BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB
# |   Type : Utilisateur de répertoire local ouvert
# |
# +-- CCCCCCCC-CCCC-CCCC-CCCC-CCCCCCCCCCCC
#     Type : Utilisateur de récupération personnel

J'ai fait quelques recherches sur internet mais je n'ai pas trouvé de réponses satisfaisantes aux questions suivantes ; toute aide est appréciée. Merci d'avance.

  1. Qu'est-ce que l'utilisateur "disk" ? Est-il spécial ? Est-il universel parmi toutes les installations de MacOS ?
  2. Puis-je ajouter des utilisateurs de cryptographie supplémentaires à disk3s1 via diskutil ou une autre commande CLI ?
  3. Puis-je ajouter un utilisateur de récupération personnel/clé de récupération après le fait (par exemple, à disk3s1 comme indiqué ci-dessus) via diskutil ou une autre commande CLI ?
  4. Puis-je supprimer des utilisateurs cryptographiques après coup ?

Références

Voici quelques articles que j'ai lus avant de créer ce post, listés sans ordre particulier, certains étant plus pertinents que d'autres.

Demandé el 22 de Octobre, 2020 par Wobin

Réponse

Trop de publicités?

4voto

bowmasters avatar
bowmasters Points 101

Version courte:

  1. Le disque "utilisateur" équivaut à n'avoir qu'un seul mot de passe pour décrypter le disque.

  2. Vous pouvez ajouter des utilisateurs supplémentaires pour le volume de démarrage en utilisant la commande fdesetup add. (voir fdesetup help pour plus de détails)

  3. Vous pouvez ajouter ou changer la clé de récupération après coup en utilisant fdesetup changerecovery

  4. Vous pouvez supprimer des utilisateurs ultérieurement en utilisant fdesetup remove et vous pouvez également supprimer la clé de récupération avec fdesetup removerecovery

Je ne sais pas encore comment ajouter ou supprimer des utilisateurs/clés sur des disques APFS chiffrés qui ne sont pas le volume de démarrage.

Version longue:

La convention d'avoir plusieurs utilisateurs cryptographiques sur un disque a été principalement mise en place pour faciliter les disques de démarrage FileVault. En raison de cette convention, le concept de "disque utilisateur" a été créé pour permettre aux disques d'être chiffrés avec une seule clé de chiffrement pour les disques non de démarrage.

Le disque "utilisateur" est ce qui serait créé si vous chiffriez un disque en utilisant une méthode autre que la méthode "Activer FileVault" que vous avez décrite ci-dessus. Cela équivaut à avoir un disque chiffré par un seul mot de passe, au lieu d'avoir plusieurs utilisateurs capables de décrypter le disque avec leurs propres mots de passe.

Le fait d'avoir plusieurs utilisateurs capables de décrypter un disque est important pour un disque de démarrage avec FileVault car cela leur permet d'entrer leur propre nom d'utilisateur et mot de passe au démarrage pour décrypter le disque et se connecter. Sinon, ils devraient connaître le mot de passe de chiffrement du disque (le disque "utilisateur") et le saisir au démarrage, puis se connecter avec leurs propres identifiants utilisateur à l'écran de connexion une fois le démarrage terminé.

C'est pourquoi FileVault ajoute automatiquement des clés de chiffrement supplémentaires pour les utilisateurs sur votre disque de démarrage lorsque vous l'activez (dans ce cas, une pour votre utilisateur et une pour la clé de récupération principale de FileVault au cas où un utilisateur oublierait son mot de passe et aurait besoin de le réinitialiser). Mais si vous chiffrez un disque non de démarrage, avoir accès à plusieurs utilisateurs peut ne pas être utile voire même souhaitable. C'est pourquoi le chiffrement du disque à partir de l'interface de ligne de commande ne crée que le disque "utilisateur". (Je crois que c'est également le cas lorsque vous chiffrez en utilisant l'application Utilitaire de disque ou depuis le Finder).

Vous pouvez bien sûr chiffrer un disque de démarrage avec un seul disque "utilisateur" et aucun autre utilisateur cryptographique ou clé de récupération. Vous verrez un prompt de mot de passe au démarrage et un icône de disque s'affichera au lieu d'une icône utilisateur, et vous devrez saisir le mot de passe de chiffrement du disque au lieu de votre mot de passe utilisateur. Tout utilisateur sur la machine qui ne connaît pas ce mot de passe sera incapable de décrypter le disque et de se connecter à la machine.

Édition: Je tiens à ajouter ce qui suit: Notez que le disque "utilisateur" ne sera ajouté à la liste des utilisateurs cryptographiques que lorsque vous chiffrez d'abord le disque en utilisant la cli (diskutil apfs) ou via le Finder ou Utilitaire de disque. Le disque utilisateur ne sera pas ajouté si vous activez FileVault dans les Préférences Système, et il ne pourra pas être ajouté ultérieurement à un disque qui a déjà des utilisateurs cryptographiques.

À noter également, le disque utilisateur aura toujours l'UUID du disque lui-même.

Répondu el 20 de Décembre, 2020 par bowmasters (101 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X