Filevault 2で外付けドライブを暗号化のまとめ

OS X Mountain Lionではここに紹介してあることがマウスの右クリック経由で簡単に行えるようになりました。Time Machineの暗号化も以前みたいにボリュームを削除することなく行えるようになりました。


このブログでは外付けケースを集中的に扱っているので、大変気に入っているFilevault 2の外付けドライブの暗号化に関する部分をまとめてみました。ここではディスクユーティリティとdiskutilコマンドを使うやり方のみの紹介ですが、Automatorを使ってdiskutilコマンドを使うやり方にGUIを付けたサンプル(FV2Conv)を作ってみました。FV2Convについてはこちらをご覧ください

クイックリンク
  1. ディスクユーティリティを使うやり方
  2. diskutilコマンドを使うやり方
    1. 既存のボリュームを消去して暗号化されたボリュームを作る方法
    2. 既存のボリュームのファイル類を保存したまま暗号化されたボリュームにコンバートする方法
  3. 留意点
I.ディスクユーティリティを使うやり方
 ページトップに戻る

ディスクユーティリティを使う方法はボリューム作成に時間は全くかかりませんが、ボリュームを消去するのでファイル類も消去されます。また、元に戻すには暗号化されたボリュームを消去して新たにボリュームを作ることになります。

1.外付けディスクを接続して、ディスクユーティリティを立ち上げます。

2.下の画像のように、外付けドライブのボリュームを選択し、メニューの消去を選択。フォーマットにMacOS拡張(大文字/小文字を区別、ジャーナリング、暗号化)を選択し消去ボタンを押します。

Gui1


3.この後に暗号化されたボリュームを作って良いか訊いてきます。パスワードを設定して消去ボタンを押して終わりです。通常のフォーマットより僅かに時間がかかりますがあっという間です。暗号化されたボリュームのパスワードは別の方法で解除できず、解除するにはボリュームを消去するしかないので、パスワードは絶対に忘れないようにしましょう。
Gui2



II.diskutilコマンドを使うやり方
 ページトップに戻る

diskutilコマンドを使うやり方は二通りあります。ディスクユーティリティと同じようにボリュームを新たに作る方法と既存のボリュームのファイル類を保存したまま暗号化されたボリュームにコンバートする方法です。前者はボリューム作成に時間は全くかかりませんが、ボリュームを消去するのでファイル類も消去されます。また、元に戻すには暗号化されたボリュームを消去して新たにボリュームを作ることになります。後者はコンバートにすごく時間がかかりますが、既存のボリュームのファイル類を保存したまま暗号化できます。また暗号化の最中にファイルの保存等普通の作業をできますし、外付けドライブを取り外しても大丈夫です。中断された暗号化は、次に外付けドライブが接続された時に中断されたところから継続してバックで行われます。パスワード保護は暗号化コンバート開始と同時に有効になって、暗号化が終わるのを待つ必要はありません。更には暗号化コンバートされたボリュームは暗号化前のフォーマットに戻すことができます。

IIa. 既存のボリュームを消去して暗号化されたボリュームを作る方法

 ページトップに戻る 1.まずはDevice Identifierが必要ですので、diskutilコマンドのinfoを使ってディスクの情報を見ます。
diskutil info /Volumes/Toshiba320GB

この例ではToshiba320GBというボリュームの情報を見ています。
Cui1_1


2.次にdiskutilコマンドのcoreStorageのcreateを使ってlogical volume groupを作ります。この例ではdisk1s2にToshiba320GBというlogical volume group名を与えています。
diskutil cs create Toshiba320GB disk1s2

実行すると下の画像のように表示されますが、この中のCore Storage LVG UUIDが次に必要とされるので、コピーしておきましょう。
Cui1_2

3.次にやっとdiskutilコマンドのcoreStorageのcreateVolumeを使って暗号化されたボリュームを作ります。createVolumeの後に来るのは先程のCore Storage LVG UUID、フォーマット、ボリューム名、logical volume groupの割当サイズで、その後にパスワードの設定です。この例ではフォーマットがMacOS拡張(大文字/小文字をを区別、ジャーナリング)、ボリューム名がToshiba320GB、割当サイズは100%です。passphraseオプションの後にパスワードを書きますが、例ではmisahogehogebazookaです。
diskutil cs createVolume 374364F6-E77F-4553-8415-E54EA0DEDD33 jhfsx Toshiba320GB 100% -passphrase misahogehogebazooka

実行して、オペレーションが終わればできあがりです。
Cui1_3


IIb. 既存のボリュームのファイル類を保存したまま暗号化されたボリュームにコンバートする方法
 ページトップに戻る

これは優れたFilevault 2の機能の中でもとりわけありがたい機能です。コンバートに時間はかかりますが、コンバート中にドライブを取り外したり、ファイルの保存等の処理もできて、暗号化が終わるのを待っている必要はありません。また、設定したパスワードは暗号化開始と同時に有効になります。更にはTime Machineボリュームもコンバートできます。が、これについては注意すべきところもあるので留意点の4をご覧ください。RAIDはソフト・ハードともにコンバートはできません。

1.diskutilコマンドのcoreStorageのconvertを使って暗号化します。passphraseオプションの後にパスワードを書くのは前項の暗号化と同じです。イエローの部分はDevice Identifierまたはボリュームのパスを使います。
diskutil cs convert /Volumes/Toshiba320GB -passphrase misahogehogebazooka

実行すると、一度ボリュームがマウント解除された後、下の画像みたいに表示されて、暗号化処理がバックに移行します。
Cui2_1

2.途中経過を見たかったらdiskutil coreStorage (もしくは省略のcs)listと打って実行すれば、暗号化の進行度を見ることができます。
Cui2_2

3.暗号化したボリュームを元に戻したかったらconvertの部分をrevertに替えて実行すれば、暗号化解除が始まります。また例えコンバート中でも下記のコマンドを実行するとすぐにリバートが暗号化解除が始まります。ここで注意したいのは、暗号化解除を始めるとリバートが終わるまでは途中でコンバートには切り替えられないことです。時間がかかってもリバートしたい時のみやりましょう。
diskutil cs revert /Volumes/Toshiba320GB -passphrase misahogehogebazooka


III.留意点
 ページトップに戻る

前の方でも書きましたし、繰り返しになりますが、いくつか書いておきます。

1.これはディスクユーティリティを使ってもdiskutilコマンドを使っても同じなのですが、暗号化されたボリュームを消去すると、その後にできるボリュームは必ず名称未設定のMacOS拡張(ジャーナリング)ボリュームになります。diskutilコマンドのmanページに下記のように書いてあります。

delete lvgUUID Delete a CoreStorage logical volume group. All logical volume families with their logical volumes are removed, the logical volume group is destroyed, and the now-orphaned physical volumes are erased and partition-typed as Journaled HFS+.

ということで、別のフォーマットを使いたい人は新たにフォーマットしなおす必要がありますが、ディスクユーティリティを使って消去すると見かけ上は別のフォーマットも選択できてしまうので要注意です。

2.外付けドライブに保存されたファイルをそのままに暗号化したり暗号化解除をしたりできるのはdiskutilコマンドのconvertを使って暗号化した時のみですので、ボリュームを消去して暗号化されたボリュームを作った場合には、そのボリュームを消去しないと暗号化解除はできません。

3.AppleのLionのページにはFileVault 2は、外付けのUSBドライブとFireWireドライブの暗号化にも対応しますと書いてあり、eSATA等の他のポートについては言及がないですが、これは標準でeSATAポートが搭載されたMacがないからでしょう。eSATAポートのExpressCardを2枚試してみましたが、eSATAポート経由でもしっかり暗号化できました。画像はSeritek/6Gを使って暗号化した時のものです。

Filevault_esata

4.Time Machineボリュームも暗号化コンバートできますが、次の手順を守らないと、古いバックアップが消去されることはありませんがTime Machineがゼロからバックアップを取り直す可能性があります。

1)システム環境設定でTime Machineを切ります。
2)diskutilコマンドを使って暗号化コンバートを開始します。
3)暗号化コンバートが始まったら一度Time Machineボリュームをマウント解除します。
4)再びTime Machineボリュームをマウントしパスワードを入力します。
5)システム環境設定でTime Machineのスイッチを入れて完了です。

Appleはシステム環境設定ではこの方法を提供していませんので、リスクを理解の上お試しください。



5.RAIDはソフト・ハードともにコンバートはできません。


2017年5月
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

最近のトラックバック