Quelle différence entre chiffrer un disque et file vault ?

Karvan

Membre confirmé
29 Mai 2014
14
0
Bonjour,
Je cherche quelle est la différence entre activer file vault et l'option "chiffrer" dans le menu contextuel lors d'un clic droit sur un disque.
Je n'ai rien trouver de pertinent avec google ni sur le site d'apple.
Plein d'info sur file vault et son système d'encryptage mais rien sur "chiffrer"
Merci
 
Salut Karvan.

Superbe question ! Je t'improvise ce que j'en discerne.

"Chiffrer" (menu contextuel du Finder) et "Activer FileVault" (Menu /Préférences Système/Sécurité et confidentialité/FileVault) ont exactement le même effet terminal sur un volume-cible. À savoir, la génération préalable d'un format spécial dit CoreStorage sur la partition de la Table de Partition GUID (requise) à laquelle correspond le volume-cible du chiffrement.

Un "volume" n'est jamais qu'un système de fichiers contenu dans les limites "spatiales" de la partition-disque qu'on considère à l'état "monté". Cela étant, un format CoreStorage "décolle" ledit système de fichiers (format jhfs+ = Mac OS étendu journalisé requis) du "plancher des vaches" de la partition, et glisse en intercalaires 3 instances logiques : en bas (sur la partition) : un Physical Volume (qui émule un disque dur) ; au milieu : une Logical Volume Family (qui contient les paramètres du volume à monter lus par le pilote) ; au sommet : un Logical Volume (qui est le volume logique exporté) ; dans ce Volume Logique (comme l'huître dans sa coquille) : le même système de fichiers jhfs+ initial ; en appendice : un Boot OS X (pilote ou driver de montage du Volume Logique à partir du Volume Physique par lecture des instructions de la Famille de Volumes Logiques). Tout cet ensemble constitue un Groupe de Volumes Logiques CoreStorage (figure-toi un énorme disque virtuel .dmg plaqué sur la partition d'un disque et capable de monter l'image-disque d'un volume selon un protocole complexe)

C'est seulement un Volume Logique ressortissant d'un Groupe de Volumes Logiques CoreStorage qui peut être "encrypted" = "Chiffré" d'après le protocole XTS-AES 128 bits. Ce "chiffrement" équivaut à une espèce de découpage en bandelettes du Volume Logique, chacune associée à un nombre. Au démontage du volume, les bandelettes sont dissociées et dispersées de façon aléatoire. Elles ne peuvent être ressoudées pour remontage que si la bonne séquence numérique des chiffres de bandelettes est renseignée. Cette fonction est gérée par une clé de déchiffrement, qui ne s'active qu'a partir de la saisie d'un mot-de-passe utilisateur ad-hoc. Une fois le Volume Logique reconstitué d'un seul tenant, le système de fichiers jhfs+ y recelé n'est pas plus chiffré qu'il n'y a de beurre en broche : il est clonable, par exemple, sans qu'aucun chiffrement n'adhère au système de fichiers, avec les données contenues, de destination.

--------------------
Je t'ai résumé le «terminus ad quem» --> tous les chemins du chiffrement mènent à Rome : la ville unique bâtie sur les 3 Collines du CoreStorage. Ce qui permet de donner une orientation spécifique à ta question inaugurale : « quelle est la différence entre activer FileVault et l'option "chiffrer" dans le menu contextuel du Finder » ? Cette différence concerne non la fin, mais les moyens ; non le terme, mais le commencement : les "chemins" qui mènent à la Rome du CoreStorage Chiffré.

D'où vient qu'il y a des chemins divergents à l'origine ? C'est qu'il existe des volumes de nature divergente à l'origine. 2 grandes espèces de volumes, d'abord : les volumes dits de "stockage" (ex. celui d'un DDE de données), dont le système de fichiers n'est pas intrinsèquement démarrable ; et les volumes dits "démarrables" (ex. celui d'OS X), dont le système de fichiers recèle un Système d'Exploitation (avec un moteur logique qui peut être lancé). Et, pour ce qui concerne les volumes "démarrables", 2 grands états possibles : «Actuellement démarré» et «Actuellement éteint».

«FileVault-2», par rapport à ce ternaire, est une application qui ne concerne que le chiffrement d'un volume démarrable exclusivement, à l'exclusion des volumes de "stockage" non démarrables. Les volumes "démarrables" sont chiffrés par un programme UNIX spécialisé intitulé : fdsetup (FileVault Disk Encryption Setup). Les relations «FileVault-2» <=> fdesetup sont absolument comparables à celles du binôme : «Utilitaire de Disque» <=> diskutil. D'un côté, l'interface graphique ; de l'autre, le binaire exécutable. Pour le dernier binôme : il est possible d'initier un processus de partitionnement à partir de l'interface graphique : «Utilitaire de Disque» et la commande est passée au programme exécutable UNIX : diskutil ; inversement, il est possible de déclencher en ligne de commande («Terminal») le programme diskutil, et alors l'interface graphique de l'«Utilitaire de Disque» reflète les effets opératoires du programme diskutil. Il est possible enfin de lancer certaines opérations depuis une fenêtre d'infos du Finder, qui passe une commande à diskutil, et le processus opératoire se répercutera dans l'affichage graphique de l'«Utilitaire de Disque».

Pareil pour le binôme : «FileVault-2» <=> fdesetup. Tu peux, depuis le «Terminal», passer une commande d'activation directe à fdesetup sur un volume démarrable démarré. Tu peux même, toujours depuis le «Terminal», la passer en mode indirect, via le programme diskutil qui comporte une spécificité CoreStorage --> diskutil, avec une commande ad-hoc, devient un passeur d'ordre à des programmes subalternes, dont fdesetup (on appelle un tel programme capable de déléguer des sous-actions à des programmes élémentaires un "wrapper" : un enveloppeur <un "brasseur de services">...). Mais tu peux aussi passer par le Finder pour demander le chiffrement d'un volume démarrable. Enfin : tu peux passer par l'interface «FileVault» du panneau des Préférences Système (qui va t'afficher, par exemple, l'état du chiffrement : actif / désactivé - en cours / achevé...).

Il faut savoir que le programme fdsetup (le programme UNIX qui fait le boulot de chiffrement / déchiffrement d'un volume démarrable) ne fonctionne que pour autant que le volume-cible est démarré. En cas de demande de chiffrement / déchiffrement depuis un autre volume démarré, la commande est enregistrée, mais ne s'active qu'au démarrage du volume en question ; et se suspend (si processus inachevé) pour toute extinction de ce volume.

--------------------
☞ ce bref aperçu (long pour un message de fil, mais désespéremment court pour cerner la problématique en question) montre, en résumé, que si tous les chemins mènent à Rome = une même destination (un Volume Logique chiffré) ; il y a de multiples chemins empuntables pour y parvenir.

Personnellement parlant (et uniquement en mode personnel), je ne recommande absolument pas le chiffrement d'un Volume Logique démarrable : c'est acheter la "sécurité" du chiffrement au prix d'un sacré "risque" : le plantage du re-montage du Volume Logique Chiffré. Si tu m'as suivi ci-dessus, tu t'es aperçu de la terrible complexité impliquée par le chiffrement d'un Volume Logique. Les organes logiques de démarrage de l'OS (boot_loader : boot.efi + kernelcache) sont scellés dans le système de fichiers contenu dans le coffre-fort du Volume Logique. Comment on démarre alors, sans démarreur (à moins d'avoir la voiture révolutionnaire sans moteur de «Tintin au pays des Soviets») ? Uniquement via le boot_loader auxiliaire - seul disponible hors coffre-fort - de la... «Recovery HD». Y'a pas intérêt à la planter celle-là... Ce boot_loader auxiliaire va afficher l'écran de saisie d'un mot-de-passe utilisateur d'activation de la clé de déchiffrement. Qui va passer au pilote du Groupe de Volume Logiques le sésame de remontage du Volume Logique. Alors seulement, le moteur logique du système de fichiers de l'OS sera déclenchable. Ça craint ! Un vrai cauchemar logistique... Et un format CoreStorage tout court (impliqué par le chiffrement), c'est pas du gâteau intrinsèquement...

Mais quitte à activer le chiffrement sur un volume démarrable, je recommanderais de passer par l'interface de «FileVault-2» (panneau "Sécurité et confidentialité" des "Préférences Système") qui permet de visualiser l'état des lieux, plutôt que de lancer des processus de coulisses dont on ne sait jamais où ils en sont de la tâche impliquée, à part de dégainer sans arrêt le «Terminal»...

--------------------​
 
Dernière édition par un modérateur:
  • J’aime
Réactions: Karvan et Sly54
Salut à vous deux.

Une petite précision :
Sur El Capitan, l'option "Chiffrer" n'est disponible que sur les volumes autres que le disque de boot.
Sur le disque de boot et sur ce seul disque, seul FileVault est disponible.
En tout cas c'est ce que j'en vois.:)

@+
 
:coucou: Jean.

Ça doit être à cause du SIP (System Integrity Protection) qui se met en place en amont du déploiement de l'OS «El Capitan», en limitant la capacité d'impacter le Système en mode root. L'option "Chiffrer" du Finder (qui implique une authentification par mot-de-passe) se trouvant invalidée à ce titre. Il y a des chances qu'une commande root de type : fdesetup enable soit rejetée de la même façon. Seule l'interface «FileVault» des Préférences Système gardant alors le privilège de la «violence légitime» sur l'état du Système dans le contexte du SIP...
 
Un respectueux merci pour ton explication encyclopédique Macomaniac :up:
Je comprends maintenant la différence et retiens ta mise en garde au chiffrement d'un volume logique bootable.