Lion: Full Disk Encryption auf externen Platten

  • Schritt 1: Wir öffnen das Terminal (über Spotlight oder im Dienstprogramme/Utilities Ordner zu finden)
  • Schritt 2: Devicenamen vom Datenträger finden. Diesen findet man in der Identifier Spalte
diskutil list

/dev/disk2
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *8.0 GB     disk2
   1:                        EFI                         209.7 MB   disk2s1
   2:                  Apple_HFS sonyvault               7.7 GB     disk2s2

Im Beispiel hier mit einem USB Stick wäre das disk2s2, sollte über den Namen des Datenträgers beziehungsweise über seine Größe leicht ermittelbar sein.

  • Schritt 3: Das Device umwandeln und damit das Passwort nicht direkt sichtbar zu lesen ist geben wir das über die Standardeingabe ein.
diskutil corestorage convert {device} -stdinpassphrase
  • Bonus Schritt 4: Nachschauen wie weit die Konvertiertung fortgeschritten ist.
diskutil corestorage list

oder für die ganz ungeduldigen:

watch -n2 diskutil corestorage list

Bei der internen Platte geht das auch bequemener Systemeinstellungen/Sicherheit/FileVault und für die Time Machine Festplatte über das zugehörige PrefPane.

Nun haben wir wenn der Rechner aus ist eine schöne verschlüsselte Platte. Dank Firewire und Thunderbolt gibt es die Möglichkeit direkt auf den Arbeitsspeicher zuzugreifen (DMA), was im Grunde etwas Gutes ist, aber in unserem Fall schlimmstens bedeutet dass das Passwort für die Festplatte/n direkt aus dem Arbeitsspeicher gelesen werden kann. Beim Aufwachen aus dem Standby sollte dieser Angriff erfolglos sein, aber um sicher zu gehen das der Schlüssel beim Wechsel in den Standby Modus verworfen wird sagen wir das dem Power Management nochmal explizit.

sudo pmset -a destroyfvkeyonstandby 1