FileVault 暗号化とは何ですか?使用する価値はありますか? Mac OS X を使用して暗号化されたデータをクラウドに保存する FileVault とは

ハッカーに仕える Mac。パート 1 – ディスク暗号化

アレクサンダー・アンティポフ

最初の記事では、ディスク暗号化について説明します。これは、ビットやバイトに興味のある人物から保護するのに役立ちます。

偶然にも、ハッキングおよび侵入テストのガイドのほとんどは Linux ユーザーの視点から書かれています。もちろん、この規則には例外もありますが、一般に、この種のタスクに適したシステムは Linux OS だけであるようです。実際、セキュリティ専門家のニーズに合わせて Apple システムを適切に構成するのはそれほど簡単な作業ではないため、この考えは真実からそれほど遠くありません。

macOS が登場する前 (OS X があった頃)、Apple マシンでセキュリティ関連の調査を行うのは少し滑稽なことでした。適切なツールはほとんどなく、ハードウェアは特定のニーズに合わせて調整されました。その結果、OS X が占める市場シェアは小さく、本格的な作業にはほとんど役に立たなかったため、開発者は自分たちの作品を適応させる動機がほとんどありませんでした。その瞬間、Windows と Linux がシーンを支配していました。

しかし時代は変わり、macOS は現在、セキュリティ専門家の注目を集める強力な競争相手となっています。現在、このシステムは世界と米国でそれぞれ市場の 7.4% と 13% を占めています。

Apple マシンは、標準 POSIX と互換性のあるバージョンの UNIX OS を実行しており、ハードウェアは現代のコンピュータと何ら変わりはなく、ペネトレーションテスターが使用するユーティリティのほとんどを Mac OS 上で実行できます。さらに、Apple マシンは Windows と Linux の両方を簡単に実行できます。つまり、使いやすく保守も簡単な macOS は、少なくとも注目に値します。

この一連の記事は、macOS システムのセットアップに伴う最初のハードルを克服できるように設計されています。環境が準備できたら、ユーティリティを使用するのに問題はありません。
さらに、Linux と Mac の両方で機能が似ている Vim テキストエディターの基本を学ぶことは非常に役立ちます。

すべてのチュートリアルの指示を読んで従うと、Mac が構成され、侵入テストを実行できるようになります。さらに、これらのことが極めて重要である理由も理解できるでしょう。基本的なシステム構成ユーティリティはプラットフォームによって異なる場合がありますが、基本的な概念は同じです。 macOS だけでなく、他のすべてのプラットフォームでも役立つ知識を得ることができます。
最初の部分の話を始めると、macOS を備えたクリーンなシステムがあると仮定します。そうしないと、設定手順に差異が発生する可能性があります。

最初の記事では、ディスク暗号化について説明します。これは、ビットやバイトに興味のある人物から保護するのに役立ちます。さらに、闇の側でも明るい側でも、暗号化の使用はすでに標準となっています。暗号化方式が広く利用可能になると、公然と機能する理由はまったくなくなります。

FileVault (Mac OS に組み込まれているツール) を使用します。これにより、128 ビット XTS-AES モードでドライブを完全に暗号化できます。この暗号化スキームは NIST 推奨であり、FISA に準拠しており、政府や医療などの規制のある業界での使用に適しています。つまり、このスキームは非常に信頼性があります。

ステップ 1: タブに移動しますファイルボルト

「システム環境設定」に移動し、最初の行で「セキュリティとプライバシー」を選択します。あるいは、次のコマンドを使用することもできます (コマンドをターミナルにコピーして Enter キーを押すだけです)。 –b (バンドル識別子) オプションは、システム設定を含む Security.prefPane ファイルを開くように指示します。

open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane

図 1: システム設定パネル

次に、「セキュリティとプライバシー」セクションに移動し、「FileVault」タブを選択します。変更を加えるには、ウィンドウの左下部分とポップアップウィンドウにある鍵をクリックし、管理者アカウントのパラメータ (名前とパスワード) を入力する必要があります。

図 2: ディスク暗号化を設定するためのタブ

ステップ 2: 電源を入れるファイルボルト

[FileVault をオンにする] ボタンをクリックする前に、画面に表示される警告を読む必要があります。

警告: データにアクセスするには、ログインパスワードまたは回復キーが必要です。回復キーはセットアップ中に自動的に生成されます。パスワードと回復キーを忘れると、情報が失われます。

前の段落をもう一度読み直してください。パスワードとキーを失うことは、すべての情報を削除することと同じです。これはまさに Mac を正常な状態に戻すために行う必要があることだからです。
次に、「FileVault をオンにする」ボタンをクリックします。

iCloud 経由でサインインしているかどうか (Yosemite バージョン以降) に応じて、パスワードを紛失した場合に iCloud アカウントを使用するか回復キーを使用してパスワードをリセットするかを尋ねるダイアログボックスが表示されます。クラウドは本質的に誰かのコンピュータであるため、私はキーのコピーを安全な場所に保管しておくことを好みます。 (iCloud にサインインしていない場合は、回復キーがすぐに表示されます。)

キーの保存方法を決定したら、「続行」をクリックします。

図 3: ドライブのロック解除方法の選択

キーを安全に保管するために、続行する前に、テキストを文書にコピーし、紙に印刷し、その印刷物を安全な場所に保管します。 決して車にキーを付けたままにしないでください。パスワードを忘れた場合、キーにアクセスできなくなり、システムのロックを解除できなくなります。

キーを安全な場所に保存したら、もう一度「続行」をクリックします。

図 4: パスワードを紛失した場合のシステム回復キー

システム上に他のユーザーがいる場合は、ダイアログボックスが表示され、目的のユーザーに権限を付与できます。ドライブのロックを解除するには、対応するユーザーはパスワードを入力する必要があります。当然、管理者アカウントのロック解除を許可する必要があります。他のユーザーはあなたの裁量に任されています。次に、もう一度「続行」ボタンをクリックします。

図 5: ユーザーに対するドライブのロック解除権限

セットアップが完了すると、再起動メッセージが表示されます。必要に応じて、以前に行った作業を保存し、システムを再起動します。

再起動が開始されると、FileVault はバックグラウンドでディスクの暗号化を開始します。これにより、プロセス全体が完了するまで重大な速度低下が発生する可能性があります。暗号化時間はディスクのサイズによって異なります。 [FileVault] タブでプロセスの完了率を監視できます。

図 6: ディスク暗号化

注: SSD を備えた最新のシステムを使用している場合、暗号化と復号化のプロセスは HDD ドライブと比較してはるかに高速になります。ダウンロード速度が重要であり、ダークサイドに属しており、暗号化する必要がある場合は、このアドバイスが役立つでしょう。

ステップ 4: キーの検証

最後のステップは、キーをチェックして、いつでもディスクを復号化できることを確認することです (この機能は、Mavericks 以降のバージョンで利用できます)。テストするには、Applications ディレクトリ内の Utilities フォルダーにあるターミナルアプリケーションを使用します。

図 7: ターミナルのコマンドライン

ターミナルウィンドウで次のコマンドを入力し、Enter キーを押します。

sudo fdesetup validaterecovery

管理者パスワードの入力を求められます。入力時にパスワードの文字は表示されません。入力したら Enter を押します。

次に、回復キーの入力を求められます。回復キーは xxxx-xxxx-xxxx-xxxx-xxxx-xxxx の形式である必要があります。管理者パスワードと同様、入力したキー文字は表示されません。したがって、ゆっくり入力するか、テキスト文書にコピーして端末に貼り付けて Enter キーを押してください。

キーが正しい場合、シェルは true を返します。

図 8: 主要な検証結果

チェックが失敗する理由はいくつか考えられます。キーが間違って入力されたか、キーが間違ってコピーされたか、キーが破損しているかのいずれかです。キーが正しいことが確実な場合は、File Vault 設定に移動し、この機能を無効にして、手順 2 から始まるプロセス全体を繰り返す必要があります。

ドライブの準備が整いました

プロセスが完了すると、ディスクが暗号化されます。ドライブはコンピュータの電源がオフの場合にのみ保護されることに注意してください。

シルクロードプロジェクトの有名な運営者の 1 人であるロスウルブリヒト氏は、ラップトップを保護するためにディスク暗号化を使用していましたが、他のセキュリティルールには従いませんでした。 FBI捜査官はロスがログインしてディスクが復号化されるまで待ってから彼を逮捕した。その結果、ウルブリヒトは終身刑を受けた。

このような間違いを繰り返さないようにしてください。

次の記事では、KeePass、ターミナルアプリケーションなどを使用したディスクイメージの暗号化について説明します。

連絡を取り合ってください。

ほとんどの Mac ユーザーは、データやファイルを不正アクセスから保護するためにパスワードを使用します。しかし、それは一般に信じられているほど安全なのでしょうか? 結局のところ、完全ではありませんでした。パスワードをリセットして、Mac に保存されているすべての情報にアクセスできるようにする方法は数多くあります。ただし、この問題には FileVault という解決策があります。今日はそれについて話します。

FileVault とは何ですか

FileVault は、キー長 256 ビットの XTS-AES-128 アルゴリズムを使用するデータ暗号化システムであり、非常に高いレベルのセキュリティを提供します。暗号化キー自体は、PBKDF2 アルゴリズムを使用してユーザーのパスワードに基づいて生成されます。将来的には、すべての情報が 8 MB のフラグメントに保存される予定です。

奇妙なことに、この関数は非常に簡単に動作します。すべてのデータが暗号化されたディスクイメージにコピーされ、保護されていないスペースから削除されます。初期データ処理が完了すると、新しいファイルはバックグラウンドでオンザフライで暗号化されます。インスタントワイプがサポートされているため、回復することなくディスク上のすべての情報を安全に消去できます。さらに、このツールは Time Machine バックアップを暗号化する機能を提供します。

FileVault の仕組み

最初のセットアップ中に、パスワードの紛失から保護するために回復キーが作成されます。コードが失われるとデータは復元されないため、このキーは覚えておく必要があります。または、iCloud アカウントを使用してパスワードのリセットを設定することもできます。

FileVault をアクティブ化すると、セキュリティを確保するためにコンピュータの起動プロセスが変更されます。以前はアカウントのロード後にパスワードを入力する必要がありましたが、現在はその前に行われるため、既知の方法 (シングルユーザーモード、外部メディアからの起動、その他の方法) を使用してユーザーのパスワードをリセットする可能性さえ排除されます。

FileVault を使用する理由

ユーザーパスワードだけでは、完全なセキュリティとプライバシーを確保するには明らかに不十分です。コンピュータに物理的にアクセスできる場合、パスワードをリセットするのは時間の問題です。暗号化の場合、誰もデータにアクセスできないことが保証されます。さらに、このユーティリティは Apple によって開発され、すでにシステムに組み込まれており、システムと完全に統合されていることを示しています。

もう 1 つの利点は、暗号化の前後でデータ量が変わらないことです。

デメリットは何ですか

FileVault による暗号化は Mac のパフォーマンスに大きな影響を与えます。

パスワードと回復キーを忘れた場合、データを回復することはできません。

ドライブが故障すると、データも永久に失われます。

を使用してコンピュータを暗号化できることを知っている人はほとんどいません。 ファイルボルト2セキュリティを保証するだけでは完全に不十分です。場合によっては、暗号化を破るのに数時間しかかからず、攻撃者がデータにアクセスできるようになります。それを確保するために ファイルボルト2確実に保護するには、コンピュータを使用するときにいくつかの簡単な追加手順を実行し、いくつかのルールに従う必要があります。どのような場合にハッキングが行われるのか ファイルボルト2適切なソフトウェアを使用する中程度のスキルを持った専門家が行うことができますが、データはどのような場合に安全に保護されるのでしょうか?

最も明白な図は次のようになります。

この図から、Mac がスリープモードであるか、システムがユーザー選択段階でロード中であることがわかります (ユーザーアカウントがすでにログインしているかどうかに関係なく、重要なのはディスクにアクセスするためのパスワードです)。、攻撃者は開く機会があります。 ファイルボルト2コンピュータ上のデータにアクセスします。

このようなトラブルから身を守るには、3 つのパラメータを変更するだけで、それほど時間はかかりません。

その結果、デバイスをスリープモードから復帰させるたびに、ディスクへのアクセスとログインのためにアカウントのパスワードを 2 回入力する必要があり、少し不便に思えるかもしれませんが、安全です。

また、セキュリティのレベルを高めることについて話しているので、コンピュータに複数のユーザーがいる場合は、本当に必要なユーザーだけがセキュリティをオンにできるようにする必要があります (電源を入れた後にログインするか、電源を入れた後にウェイクアップする) 「深い」睡眠）。コマンド sudo fdesetup list を使用して、このアクションが許可されているユーザーのリストを確認できます。
リストからユーザーを削除する場合は、次のように入力します。
sudo fdesetup 削除 -user ユーザー名どこ ユーザー名- リストから削除するユーザーの短縮名。

ユーザーを追加するには、メニュー「システム設定」→「セキュリティと安全性」→「FileVault」を開き、「ユーザーを有効にする」ボタンをクリックします。
これは次の方法でも実行できます ターミナル。これを行うには、コマンド sudo fdesetup add -usertoadd を入力します。 ユーザー名どこ ユーザー名— ディスクへのアクセスを許可するユーザーの短縮名。また、すでにディスクにアクセスできるユーザーアカウントのパスワード (または、電源を入れたときに暗号化キーを作成した場合は暗号化キー) を入力する必要もあります。 ファイルボルト2)、および追加するユーザーのパスワード。

コンピュータをさらに保護するために、選択したブートドライブからのみシステムを起動できるようにするファームウェアパスワードを設定することもできます。これを行う理由と、ファームウェアパスワードが Mac 上のデータの保護にどのように役立つかについては、当社のいずれかで詳しく読むことができます。

その結果、通常 Mac を起動するときは、ユーザーアカウントのパスワードを入力するだけで済みますが、別のドライブからシステムを起動したり、リカバリモードでシステムを起動しようとすると、次のような画面が表示されて起動プロセスが中断されます。鍵のアイコンとファームウェアのパスワードを入力するフィールド。

ファームウェアのパスワードを紛失した場合、ほとんどの場合、Apple の公式サービスセンターの助けを借りないと Mac のロックを解除できないため、パスワードを忘れずに書き留めて安全な場所に保管することをお勧めします。

OS X 10.7.2 アップデートでは、ユーザーがログアウトすると Firewire の DMA が無効になり、ハッキングのリスクが軽減されますが、ログインしている場合はコンピューターが脆弱なままになります。また、Ivy Bridge プロセッサアーキテクチャ (2012 年以降に製造) および OS X バージョン 10.8.2 以降を搭載したコンピュータでは、ハードウェア仮想化 VT-D が使用され、ユーザーがすでにアカウントにログインしている場合でも、直接メモリアクセスを正常にブロックします。

ただし、によると、2015 年 3 月の時点で、使用されているデバイスの約 70% が依然としてこのような攻撃に対して脆弱であるため、不愉快な事態を避けるためには安全を確保する価値があります。特に機密データの保護に関しては、注意しすぎることはありません。

元の資料とこの記事への貢献については、Todd Garrison に感謝します。

システム管理に携わる多くの人々と同様、私も少し偏執的です。誰かが私のデータを盗もうとしていると思います。それらは実際には私以外の誰にも必要とされていないにもかかわらず（「そして、寝ながら私の写真、厳選された音楽、映画などを入手する方法を盗み見ている多くの攻撃者たち…」 - これらは私の内なる被害妄想の言葉です）、しかし、自分を守るのに害はありません。

ラップトップが盗まれた場合はどうなりますか?

最も単純なケースは、窃盗犯がすぐにディスクを再フォーマットし、クリーンバージョンのオペレーティングシステムをインストールすることです。残っているのは、新しいラップトップを購入し、Time Machine から復元して、落ち着いて作業を続けることだけです。このシナリオは、「Find My Mac」機能と Pray システムを知っている賢い泥棒にとって典型的なものです。

しかし、別のケースがあります - 泥棒は愚かであるか、好奇心が強いかのどちらかです。彼が愚かであれば、システムに触れずにラップトップを使い始めるでしょう。このような泥棒を捕まえた最近の経緯は、「なぜハッカーから盗まないのか」という記事で説明されています。すべては泥棒にとっては最悪の結末でしたが、ラップトップの所有者にとっては素晴らしい結末でした。

好奇心旺盛で賢い窃盗犯は、システムが誤ってインターネットにアクセスしないように、すぐにネットワークインターフェイスを無効にし、何が利益になるかを研究し始めます。

彼はドキュメントを調べ始め、キーにアクセスし、キーチェーンにアクセスしようとし、シェル内のコマンド履歴を調べ、おそらくパスワードに遭遇するでしょう (私の経験では、非常に速い同僚が管理者パスワードをパスワードに入力したというケースがありました)。非常に好奇心が強いユーザーのセッションですが、パスワード要求フィールドには入力せず、シェルにのみ入力し、管理者パスワードは .history になってしまいました。臨床ケースでは、システムと 1Password データベースのパスワードを同じにすることができます。継続する必要はありません。そして、侵入または脅迫のいずれかです。

ログイン時にパスワードを要求すると誰も止められないと思いますか? ファームウェアパスワードは (少なくとも以前は) いくつかのメモリスティックの 1 つを取り外し、PRAM をクリアすることによってリセットされました。次に、シングルユーザーモード、いくつかのコマンド、およびパスワードが変更されます。ファームウェアパスワードを気にしたくない場合は、ディスクをラップトップから取り外し、別のコンピュータに接続すると、すべてのデータにアクセスできるようになります。

上記の状況から保護するために、FileVault が実装されました。最初のバージョンでは、ユーザーのホームディレクトリは暗号化されたコンテナ (スパースバンドルイメージ) に配置され、そのキーはユーザーのパスワードでした。パスワードが分からないとコンテナを開けることができませんでした。パスワードが推測される可能性を排除する必要はありませんが、パスワードが複雑であれば、データは完全に安全です。

セキュリティの料金を支払わなければなりません。データを Time Machine にバックアップするには、アカウントからサインアウトする必要がありました。 Time Machine インターフェイスを介して選択的復元を実行することはできませんでした。暗号化を有効にすると、ファイル操作のパフォーマンスが 50% 低下することがありました。他にも小さな困難がありました。

OS X Lion には、XTS-AES 128 アルゴリズムを使用したフルディスク暗号化システムである FileVault 2 という改良版が含まれています。

この問題を研究する過程で、私は MacFixIt の記事「OS X 10.7 Lion の FileVault 2 について」と ArsTechnica の「Lion でのファイルシステムの変更」に目を向けました。

数学的モデルを理解したい人は、「ブロック指向ストレージデバイス上のデータの暗号化保護に関する IEEE P1619TM/D16 標準」および「それほど怖くない、XTS-AES」を読むことができます。

EFI と Recovery HD を含むパーティションは暗号化されないままになります。

$ discutil list /dev/disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme *160.0 GB disc0 1: EFI 209.7 MB disc0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disc0s3

ハードウェアを初期化した後、EFI は Recovery HD を見つけて、このパーティションにあるブートローダー /System/Library/CoreServices/boot.efi に制御を移します。
ブートローダーには 2 つのオプションがあります。com.apple.boot.x から EfiLoginUI を起動し、ログインパスワードを求めるスタート画面を表示するか、Option と R の組み合わせが押された場合は、com.apple.recovery.boot からシステム回復シェルを表示します。。
ディスクを復号化するためのキーは、/com.apple.boot.x/System/Library/Caches/com.apple.corestorage ディレクトリの EncryptedRoot.plist.wipekey ファイルに保存されます。ユーザーのパスワードは、このファイルにあるディスクキーを復号化します。その後、それらはメモリに保存され、ディスクの内容はその場で復号化されます。ユーザーのパスワードが変更され、新しいユーザーが追加され、同様の操作が行われるたびに、EncryptedRoot.plist.wipekey が再生成されます。

FileVault は、OpenDirectory 経由でログインしているユーザーに対しても機能します。ディレクトリサーバーへの接続がない場合に備えて、ユーザーのアクセス属性がキャッシュされます。

Anandtech のテストによると、FileVault 2 を有効にした場合のディスク操作のパフォーマンスは 20 ～ 30% しか低下せず、十分許容範囲内です。ただし、プロセッサとディスクへの依存があることを考慮する価値があります。新しいインテルプロセッサーは、AES-NI 命令セットを使用して AES インテル® アドバンスト暗号化標準命令 (AES-NI) を高速化し、古い Core 2 Duo プロセッサーよりもディスク暗号化をより適切に処理します。誰もが自分のハードウェアに基づいて独自の決定を下します。

Mac が盗まれた場合、データにアクセスすることはほぼ不可能になります (複雑なパスワードと、Apple からのキー回復の質問に対する明確ではない答えが条件となります)。新しい Mac を購入するだけで済み、パスワードが漏洩したりデータが使用されたりすることをあまり心配する必要はありません。

Time Machine はアカウントからログアウトしなくても動作するようになりました。次に、Time Machine データを保護する必要があります。そのデータを暗号化されたパーティションに配置することをお勧めします (これを行う方法については、「Mac OS X Lion FileVault 2 と Time Machine 外部ドライブの暗号化」の記事で説明されています)。

覚えておく必要がある「機能」の 1 つは、Option を押したまま起動すると、「Recovery HD」セクションにアクセスできなくなることです。そこから起動するには、Command + R キーの組み合わせを押し続ける必要があります。

アクティベーション

FileVault 2 のアクティブ化は簡単です。システム環境設定/セキュリティとプライバシー/FileVault、ロックをクリックして変更し、FileVault をオンにします。キーとキー回復の質問への回答を安全で暗号化された場所に保存することが不可欠です (Apple に保存することを選択した場合)。システムは再起動を求めるメッセージを表示します。ロードするとすぐにパスワードが要求され、ログイン後すぐに作業できるようになります。パーティションが暗号化されるまで何時間も待つ必要はありません。この操作は、作業中にバックグラウンドで実行されます。

iCloud の開始に伴い、「Find My Mac」機能が登場します。この機能では、「Find My iPhone/iPad」と同様に、Mac がネットワーク上に現れたときに音声信号、ロック付きのメッセージを表示できます。 Mac を削除したり、暗号化されたディスクの内容を破壊したりすることさえあります (暗号化キーが削除され、ディスクは無用のデータ配列になると考えられます)。

フラッシュドライブの容量が絶えず増加し、逆に価格が下がっているため、フラッシュドライブの人気が高まっています。特に魅力的なのは、ポータブル USB ドライブに大量のデータを転送できることです。ただし、その携帯性にはマイナス面もあります。非常に紛失しやすいのです。このレシピでは、USB フラッシュドライブを紛失した場合に機密データを不正アクセスから保護する方法を説明します。今日、書き換え可能なポータブル USB フラッシュドライブでコンピュータからコンピュータにデータを転送する利便性に異論を唱える人はいないでしょう。ただし、この利便性にはマイナス面もあります。それは、機密データのセキュリティに対するリスクです。ポータブルメディアの容量は増大しており、ポータブルメディア自体もますます小型化しています。しかし、デバイスが小さいほど、紛失しやすくなります。この問題が発生した場合、デバイス自体とそこに保存されているデータが失われるだけではありません。実際、このデータがあなたにとって価値のあるものである場合、または機密データである場合は、情報の漏洩を許可していることになります。

実のところ、USB フラッシュドライブを紛失した場合、ほとんどの場合、この小さな不思議を見つけた人は、あなたのデータにはあまり興味がなく、デバイス自体に自分のデータを保存するために興味を持つでしょう。そしてここでもう一つ注意しなければならない点があります。あなたは Mac で USB フラッシュドライブを使用していますが、ほとんどのユーザーは依然として Windows を実行しています。 Windows を実行しているコンピュータに USB ドライブを接続すると、Windows はすぐにフォーマットするように求めるメッセージを表示するため、Windows ユーザーが、紛失したメディアに保存されている内容に興味があったとしても、ファイルを読み取ることができる可能性はほとんどありません。

しかし問題は、発見者があなたのフラッシュドライブの内容に本当に興味を持っていて、同時に自由に使えるMacを持っているかどうかです。一方で、ドライブを文字通り Mac の隣に置いたまま (忘れて) しまう可能性もあります。その場合、通りすがりのランダムなユーザーがそのドライブをこの Mac に接続し、たとえば、あなたのドライブを取り出してコピーすることさえできます。自分自身のためのデータ。これは非常に不快なシナリオであり、このような事態の発生を防ぐには、USB ドライブを単に管理するだけでは十分ではありません。私たちは皆人間であり、人間にはぼんやりしたり物忘れしたりするという特徴があります。言い換えれば、貴重なデータが保存されているメディアを紛失しないという保証はありません。この場合、明らかに、データはパスワードを使用して不正アクセスから保護される必要があります。これは、ディスクユーティリティアプリケーションを使用して行うことができます。

USBドライブの暗号化

最初に決定する必要があるのは、パスワードで保護されたデータ用に USB ドライブ上のどのくらいのスペースを割り当てるかを把握することです。一般に、良い解決策はすべてのデータを保護することです。この場合、USB ドライブのバックアップコピーをデスクトップに作成します (USB ドライブに保存されているすべてのファイルとフォルダを別のフォルダにドラッグアンドドロップするだけです)。目的を達成するには、フラッシュドライブからすべてのデータを消去する必要があるため、バックアップが必要です。

バックアップを作成したら、ディスクユーティリティ (/Applications/Utilities フォルダにあります) を実行し、それを使用して USB ドライブを再フォーマットします。再フォーマット後、Mac OS X は新しいボリュームを自動的に作成し、Untitled という名前を付けます。この名前は変更しないままにすることも、自由裁量で他の名前を割り当てることもできます。

これでディスクが暗号化されるはずです。このステップでは、暗号化された .dmg ファイルをその上に作成します。このファイルは、ディスク上に保存されているディスクのように見えます (これは少し難しく見えるかもしれません)。このタスクを完了するには、[ディスクユーティリティ] ウィンドウに戻り、[新しいイメージ] ボタンをクリックします。 [新しいイメージ] ボタンをクリックするとすぐにダイアログボックスが表示され、作成された .dmg ファイルのさまざまなオプションを設定できます。最初に注意する必要があるのは、新しい .dmg ファイルの場所を選択することです。このファイルをデスクトップ上に作成して USB ドライブに移動できますが、宛先ドライブに直接作成することもできます。

.dmg ファイルの場所を設定したら、そのサイズを設定できます。ディスクユーティリティには、一般的なメディア (CD、DVD など) の標準容量に適合する事前定義されたサイズの .dmg ファイルを作成するためのオプションが多数用意されていますが、メディアのサイズに一致するオプションが存在しない可能性が高くなります。 USBドライブ。したがって、[ボリュームサイズ] ドロップダウンリストから [カスタム] オプションを選択します。物理ディスクの実際のサイズより小さいサイズを指定する必要があるのは明らかですが、さらに、ディスクのフォーマットのオーバーヘッドも考慮する必要があります。たとえば、2 GB USB フラッシュドライブでは、最大イメージファイルサイズは 1.7 GB でした。

.dmg ファイルの場所とサイズを設定したら、作成するイメージのタイプを指定する必要があります。この場合、イメージは読み取りと書き込みの両方が可能であり、同時に暗号化されている必要があります。暗号化イメージを作成するためのオプションの設定例を図に示します。 3.41。

混乱を避ける注: 暗号化されたイメージを作成するときは、まず [新しいイメージ] ボタンをクリックしたときにどのドライブも強調表示されていない (つまり、選択されていない) ことを確認してください。いずれかのドライブが選択されている場合、ディスクユーティリティは、新しい未変更のイメージを作成する代わりに、選択したドライブのイメージを作成しようとします。ただし、この間違いを犯しても、リソースが使用中であるというエラーメッセージが表示されることを除いて、ひどいことは起こりません。

[作成] ボタンをクリックすると、タスクはほぼ完了します。 Mac OS X では、パスワードの入力と確認を求められます。その後、新しい暗号化されたディスクイメージが USB ドライブに作成されます。

パスワードの作成には MAC OS X を使用してください: Mac OS X には、パスワードを生成するための便利なユーティリティであるパスワードアシスタントが含まれています (図 3.42)。 Mac OS X は、入力したパスワードを評価するだけでなく、さまざまなレベルのクラック耐性を持つパスワードを生成することもできます。「パスワード」フィールドの右側にある鍵ボタンをクリックすると、Mac OS X がパスワードを評価します。「タイプ」フィールドの右側にある 2 つの三角形の矢印の画像が付いたボタンをクリックします。オプションのリストが開き、そこからパスワードの種類を選択できます。

新しいイメージの使用

したがって、すべての準備作業はすでに完了しています。あとは、新しい暗号化された USB ドライブを使い始めるだけです。 .dmg ファイルは入れ子人形のように USB ドライブに埋め込まれていますが、デスクトップ上では 2 つの別々のボリュームとして表示されます。ファイルをディスクの暗号化された領域に配置するには、マウスでファイルをそこにドラッグします。その後、暗号化されたデータをどこにでも簡単に移動できます。暗号化されたディスクからデータをコピーする必要がある場合は、USB ドライブをコンピュータに接続し、添付された .dmg ファイルを開いてパスワードを入力すると (図 3.43)、暗号化されたファイルを操作できるようになります。