Da ein USB-Stick gerne mal verloren geht oder auch längere Zeit z.B. am Arbeitsplatz für jeden erreichbar liegt und entwendet werden kann (z.B. Mittagspause, Meetings), ist es nur von Vorteil wenn der USB-Stick verschlüsselt ist und somit nicht für andere einsehbar ist.
Hier gibt einem Apple seit Mac OS in der Version 10.7 Lion mit Core Storage eine nützliche Funktion in die Hand, verschlüsselte Partitionen auch auf externen Datenträgern zu erstellen, um sich vor ungewollter Einsicht in seine Daten zu schützen.
Korrektes Medium ermitteln
Im ersten Schritt muss das korrekte Medium ermittelt werden. Hier im Beispiel verwende ich meinen USB-Stick mit 64 MiB Kapazität, der unter /dev/disk2 angesprochen werden kann.
/dev/disk2 #: TYPE NAME SIZE IDENTIFIER 0: FDisk_partition_scheme *65.9 MB disk2 1: DOS_FAT_32 NO_NAME 65.9 MB disk2s1
CoreStorage logical volume group erstellen
Nun muss eine CoreStorage logical volume group erstellt werden.
sommteck:~ franky$ diskutil coreStorage create USB-Stick /dev/disk2 Started CoreStorage operation Unmounting disk2 Repartitioning disk2 Unmounting disk Creating the partition map Rediscovering disk2 Adding disk2s1 to Logical Volume Group Creating Core Storage Logical Volume Group Switching disk2s1 to Core Storage Waiting for Logical Volume Group to appear Discovered new Logical Volume Group "EA1AFCC1-D33A-4948-B210-8A765E0BE902" Core Storage LVG UUID: EA1AFCC1-D33A-4948-B210-8A765E0BE902 Finished CoreStorage operation
Die Core Storage LVG UUID sollte notiert werden, da diese für den nächsten Schritt in dem eine CoreStorage logical volume erstellt wird benötigt wird.
CoreStorage logical volume erstellen
In der CoreStorage logical volume group wird nun ein CoreStorage logical volume erstellt. Als UUID wird die vom vorherigen Befehl ausgegebene EA1AFCC1-D33A-4948-B210-8A765E0BE902 angegeben. Der Parameter jhfs+ steht für HFS+ mit Journaling, danach folgt der Name des Volumes und die Grösse (hier 100%). Der letzte Parameter -passphrase sorgt dafür, dass ein verschlüsseltes Volume angelegt wird. Das Passwort wird beim erstellen des Volumes eingegeben und wird immer abgefragt, wenn das Volume gemountet wird.
sommteck:~ franky$ diskutil coreStorage createVolume EA1AFCC1-D33A-4948-B210-8A765E0BE902 jhfs+ USB-Stick 100% -passphrase Passphrase for new volume: Confirm new passphrase: Started CoreStorage operation Waiting for Logical Volume to appear Formatting file system for Logical Volume Initialized /dev/rdisk3 as a 27 MB HFS Plus volume with a 512k journal Mounting disk Core Storage LV UUID: A1A760EF-AD75-44FB-948D-30D5A5978A72 Core Storage disk: disk3 Finished CoreStorage operation
Einstellungen prüfen
sommteck:~ franky$ diskutil coreStorage list CoreStorage logical volume groups (2 found) | +-- Logical Volume Group ... | ========================================================= | Name: ... | | ... | | +-- Logical Volume Group EA1AFCC1-D33A-4948-B210-8A765E0BE902 ========================================================= Name: USB-Stick Sequence: 2 Free Space: 0 B (0 B) | +- Logical Volume Family C1410A87-179F-4085-BDEF-51017F06C5B3 ---------------------------------------------------------- Sequence: 2 Encryption Status: Unlocked Encryption Type: AES-XTS Encryption Context: Present Conversion Status: NoConversion Has Encrypted Extents: Yes Conversion Direction: -none- | +-> Logical Volume A1A760EF-AD75-44FB-948D-30D5A5978A72 --------------------------------------------------- Disk: disk3 Status: Online Sequence: 2 Size (Total): 28065792 B (28.1 MB) Size (Converted): -none- Revertible: No LV Name: USB-Stick Volume Name: USB-Stick Content Hint: Apple_HFS
Wie an Has Encrypted Extents: YES zu erkennen ist, wurde erfolgreich ein verschlüsseltes Volume angelegt. Wurde der Parameter -passphrase beim Anlegen der CoreStorage logical volume vergessen, so steht hier no.
Und wie ich schon zu Anfang erwähnte, habe ich für den Versuch einen uralten USB-Stick mit 64 Megabyte verwendet. Das Kuriose dabei ist, dass das GUI- „Festplattendienstprogramm“ (engl.: Disk Utility) unter Mac OS X Lion prinzipiell beim Versuch ein Logical Volume zu erstellen immer abstürzte. Deswegen habe ich das ganze Prozedere auf dem Terminal mit dem Befehl diskutil durchgeführt. Man muss ausserdem dazu sagen, dass je geringer die Speicherkapazität des Medium ist, umso weniger für die restlich verfügbare Kapazität bleibt. Im Fall meines USB-Stick bleiben von den 64 nur noch 28 Megabyte an nutzbaren Speicher übrig. Der Rest geht für die Metadaten drauf. Das macht mir aber in diesem Fall nichts aus, da ich diesen Stick als ein weiteres Backup-Medium für die KeyChain der Schlüsselbundsoftware von Mac OS und für weitere asymmetrische Schlüsselpaare der SSH und OpenVPN nutze. Das macht bei mir nur ein bis zwei Megabyte aus.
Bei Mac OS X Montain Lion hat zwar Apple die Stabilität vom Festplattendienstprogramm verbessert, aber der kleine USB-Stick lässt sich sowohl unter diesen als auch mit dem diskutil-Terminalbefehl nicht mehr zu einem logical Volume verwandeln. Hier moniert das Programm, dass das Medium dafür über zu wenig Speicher verfüge. Einen Sinneswandel, den ich technisch überhaupt nicht verstehen kann.
Danke für den guten Beitrag, ist gerade in der heutigen Zeit mal wieder zu sehen, dass es notwendig ist, sich so zu schützen!