Pourquoi FileVault ne fonctionne-t-il pas sur un volume RAID ?

La réponse précédente que j'ai donnée ici était fausse (tout comme la réponse de bmike).

La réponse précédente que j'ai donnée était que si vous avez ce problème, une solution de contournement consiste à créer une image disque cryptée qui couvre l'ensemble du jeu AppleRaid. Cela fonctionne, en théorie, mais c'est tellement lent (plus de 10 fois plus lent que l'accès au disque brut) que c'est pratiquement inutilisable, ce qui m'a conduit à examiner l'utilitaire de ligne de commande diskutil plus en détail. Et que savez-vous --- vous POUVEZ faire ce que vous voulez, cela demande juste un peu de travail. Vous devez le faire par la ligne de commande, et même là vous ne pouvez pas le faire avec les commandes les plus simples, mais c'est possible et c'est 100% légitimement supporté par Apple, pas un hack bizarre.

Supposons donc que vous avez votre volume Apple Raid, que vous avez créé d'une manière ou d'une autre, soit par l'intermédiaire de l'Utilitaire de disque, soit par la ligne de commande.

Note : Ce processus va formater votre RAID et le crypter. Sauvegardez toutes les données que vous souhaitez conserver (au moins deux fois) avant de poursuivre.

La première chose dont nous avons besoin est de connaître l'identifiant de bas niveau du système d'exploitation pour le volume Apple Raid qui nous intéresse :

diskutil list

qui vous donnera une liste des différents disques durs, partitions et disques durs logiques (par exemple, les volumes RAID d'Apple) de votre système. Regardez la liste et déterminez, en vous basant sur le nom, la taille, etc., quel est le volume Apple RAID que vous souhaitez crypter. Assurez-vous d'obtenir le BON identifiant, sinon vous allez détruire un autre volume. Il est sage, lors de cette opération, de déconnecter (manuellement --- débranchez les câbles !) tous les disques durs qui ne sont pas concernés par le problème, y compris, bien évidemment, vos disques de sauvegarde !

La liste nous indique donc que l'appareil qui nous intéresse est, disons, disque7

Ensuite, nous voulons créer une enveloppe LVG (Logical Volume Group) de Core Storage autour du périphérique. Je ne vais pas prétendre que je comprends la terminologie de Core Storage, et pourquoi ils utilisent un mot différent pour tout par rapport au RAID d'Apple, mais pour autant que je puisse dire, le LVG est essentiellement la version de Core Storage d'un disque dur logique. Donc, le type :

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG est le nom que nous donnons au disque dur logique que nous créons. Cette commande prend quelques secondes, puis sort une longue chaîne qui est le "nom" (l'UUID) du LVG que nous avons créé. Nous l'utiliserons à l'étape suivante.

Nous n'avons pas fini. Nous devons maintenant créer l'équivalent d'une partition (que Core Storage appelle un volume logique) sur ce disque dur logique. Voici la commande suivante :

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

Dans la commande ci-dessus : 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B est l'UUID du LVG que l'on vient de nous indiquer (assurez-vous d'utiliser le vôtre), et JHFS+ est le système de fichiers que nous voulons créer dans la partition. BackupImac sera le nom du volume créé dans cette partition. 100% dit combien d'espace nous voulons donner à cette partition. (Il existe plusieurs façons de spécifier les tailles, mais la plupart des gens utiliseront probablement 100%). -stdinpassphrase dit que nous voulons utiliser le cryptage.

La ligne de commande affichera alors l'invite suivante :

Passphrase for new volume:

Vous entrez le mot de passe, et c'est tout. (Notez qu'il n'y a pas d'interface utilisateur utile d'Apple FileVault ici ! Pas de proposition d'enregistrer votre mot de passe pour vous avec Apple, pas de deuxième demande du mot de passe pour s'assurer que vous l'avez tapé correctement).

Le résultat final de tout cela est exactement ce que l'on peut espérer et attendre. Un volume crypté avec toutes les performances du volume AppleRAID précédent. (Et si vous regardez la page de manuel de diskutil, vous verrez qu'ils listent explicitement les volumes Apple RAID comme cibles supportées pour diskutil cs createLVG, donc ce n'est pas un cas limite étrange qui n'est pas officiellement supporté).

Disk Utility.app ne met pas à jour son interface utilisateur (il est vraiment mauvais à cet égard --- c'est un problème récurrent dans OSX), alors quittez-le et redémarrez-le. Vous verrez maintenant, à côté de vos tranches RAID, un nouveau "disque dur" appelé BackupImacLVG (ou quel que soit le nom que vous lui donnez) avec une partition appelée BackupImac (ou quel que soit le nom que vous lui avez donné), avec un format de "Partition logique cryptée".

Une chose dont il faut être conscient. Le disque est monté pendant le processus de création sans demander de mot de passe (vous avez donné le mot de passe dans la ligne de commande).

Une fois que vous avez terminé, vous pouvez démonter le volume, mettre hors tension les disques durs du volume AppleRAID, les remettre sous tension et voir ce qui se passe. Si vous avez tout fait correctement, une fois que toutes les tranches de l'Apple RAID ont tourné et ont été détectées par le système d'exploitation, une fenêtre devrait apparaître à l'écran pour vous demander le mot de passe afin que le disque puisse être monté.

La réponse de Maynard Handley ci-dessus est toujours valable, mais avec APFS, il existe maintenant des moyens plus faciles de le faire. CoreStorage ne fonctionne pas non plus avec APFS puisqu'il est conçu pour leurs disques fusion. APFS, d'autre part, est destiné au stockage SSD.

Vous pouvez même le faire via l'interface graphique de l'Utilitaire de disque :

1. Créez le jeu RAID comme vous le feriez habituellement par le biais de Raid Assistant mais sélectionnez APFS.
2. Ensuite, cliquez avec le bouton droit de la souris sur le volume APFS (pas le jeu RAID), tapez " Create APFS Volume ".
3. Sélectionnez APFS (encrypted) dans le menu et donnez-lui un mot de passe

Tada, vous avez maintenant un volume APFS crypté au dessus de votre ensemble RAID. Si vous le souhaitez, vous pouvez supprimer le volume non crypté par défaut.

Si vous préférez la ligne de commande, diskutil apfs est utilisé pour interagir avec les volumes apfs. ex, diskutil apfs list :

+-- Container disk4 675DEF26-4DCB-428A-8B96-6232445EF9C9
    ====================================================
    APFS Container Reference:     disk4
    Size (Capacity Ceiling):      30877155328 B (30.9 GB)
    Capacity In Use By Volumes:   73904128 B (73.9 MB) (0.2% used)
    Capacity Not Allocated:       30803251200 B (30.8 GB) (99.8% free)
    |
    +-< Physical Store disk3 8FE0DEAB-F928-4808-A90A-228B389B2EA5
    |   ---------------------------------------------------------
    |   APFS Physical Store Disk:   disk3
    |   Size:                       30877155328 B (30.9 GB)
    |
    +-> Volume disk4s2 443DB768-782B-47DC-B3C4-71E42D045F3A
        ---------------------------------------------------
        APFS Volume Disk (Role):   disk4s2 (No specific role)
        Name:                      TestVolume (Case-insensitive)
        Mount Point:               /Volumes/TestVolume
        Capacity Consumed:         974848 B (974.8 KB)
        FileVault:                 Yes (Unlocked)

1. Créer l'ensemble Raid

   diskutil appleRAID create mirror RaidTest apfs disk2 disk5 (...etc)

2. Ajouter le volume crypté

   diskutil apfs addVolume disk4 APFS FooSecure2 -passphrase hello

--

Avec les volumes APFS, cela peut être un peu confus mais en gros :

• disk4 : conteneur APFS au dessus de disk3 (voir diskutil apfs list sous "disque de stockage physique")
• disk3 : Le volume RAID Apple virtuel (voir diskutil appleRAID list sous "nœud de dispositif")
• disk2 / disk5 : Les disques physiques réels qui font partie de l'ensemble RAID (cf. diskutil appleRAID list y diskutil list et avis "physique")