¿Convertir entre FileVault 2 y el cifrado de la Utilidad de disco?

Conozco dos formas de habilitar el cifrado de disco completo en macOS Sierra:

  • Encienda FileVault 2, o
  • Inicie la recuperación, vuelva a formatear el disco como cifrado y vuelva a instalar macOS.

He leído en varios lugares de la web que la tecnología de cifrado subyacente es la misma en ambos sentidos, y la diferencia es cómo se obtiene la clave de descifrado en el momento del arranque. Con FileVault, la contraseña de inicio de sesión de un usuario también sirve para desbloquear el disco, pero cuando cifra con la Utilidad de disco, elige una contraseña separada solo para el cifrado.

Descubrí que si el disco se cifró a través de la Utilidad de disco en el momento de la instalación, también puede permitir que un usuario lo desbloquee a través de la ventana de preferencias de FileVault. Luego, al inicio, puede desbloquear el disco utilizando la contraseña del disco o la contraseña de inicio de sesión del usuario.

Sin embargo, habiendo entrado en este estado híbrido, no veo la manera de salir de él. Lo que quisiera saber es:

  • Después de permitir que un usuario desbloquee el disco, ¿hay alguna manera de eliminar la contraseña del disco anterior (que se creó con la Utilidad de disco en el momento de la instalación) y reemplazarla con una clave de recuperación, por lo que es como una configuración normal de FileVault que simplemente utiliza contraseñas de usuario?
  • Alternativamente, ¿hay alguna forma de eliminar al usuario de FileVault para que solo funcione la contraseña del disco?

Y, en una nota relacionada:

  • Si FileVault se habilitó de la manera habitual (a partir de una Mac sin cifrar), ¿hay alguna manera de agregar una contraseña de disco que sea independiente de las contraseñas de inicio de sesión del usuario, como lo que tendría si hubiera cifrado a través de la Utilidad de disco en el momento de la instalación? ?

Respuestas (1)

Resulta que encontré las respuestas a la mayor parte de esto poco después de hacer la pregunta. El fdesetupprograma de línea de comandos ofrece algunas opciones adicionales.

Eliminación de la contraseña del disco

Ejecute sudo fdesetup list -extendedy busque el UUID etiquetado como "Frase de contraseña del disco". Luego corre sudo fdesetup remove -uuid <UUID>para eliminarlo.

Esto se puede usar para eliminar la contraseña del disco que se creó a través de la Utilidad de disco, dejando solo las contraseñas de inicio de sesión del usuario para desbloquear el disco.

Eliminar usuario de FileVault

Ejecute sudo fdesetup list( -extendedno es necesario) para ver qué usuarios están autorizados a desbloquear el disco, luego use sudo fdesetup remove -user <USER>o sudo fdesetup remove -uuid <UUID>.

Esto se puede usar para desautorizar a los usuarios para que solo se pueda usar la contraseña del disco.

Agregar clave de recuperación

corre sudo fdesetup changerecovery -personal_ Esto le pedirá una contraseña (cualquier cosa que esté actualmente habilitada para desbloquear el disco), luego mostrará la nueva clave de recuperación. (¡Escríbelo!)

Eliminación de la clave de recuperación

corre sudo fdesetup removerecovery -personal_ Como arriba, esto le pedirá una contraseña.

Agregar contraseña de disco

No pude encontrar una manera de hacer esto en el lugar; sudo diskutil cs passwdparece que debería funcionar, pero requiere que ya haya una contraseña de disco "antigua".

Sin embargo, puede desactivar FileVault utilizando la ventana de preferencias (que descifra el disco) y luego utilizarlo sudo diskutil cs encryptLV <UUID>para volver a cifrarlo con una contraseña de disco. Esto es lento, ya que tiene que descifrar y volver a cifrar todos los datos, pero funciona.

Tenga en cuenta que todo esto pertenece a HFS+ en Core Storage on Sierra. Probablemente todo sea reemplazado por la conversión a APFS.
¿Convertir entre FileVault 2 y el cifrado de la Utilidad de disco?
RespuestasAquíPolítica de privacidad1y, 0v