Barrapunto

buscando más información sobre el FileVault para cifrar los /home llego a la web de apple http://www.apple.com/macosx/features/filevault/ [apple.com]. Ahí leo dos cosas:

• el cifrado es transparente al usuario.
  • Eso significa q no tiene q poner la clave de cifrado. Entonces, de dónde saca el sistema la clave de 128 bits para cifrar? Usa el password de sistema? Entonces, q pasa si el usuario cambia el pass? A re-cifrar todo el /home? O si lo olvida? Por otra parte, si se olvida la contraseña, todo el /home a tomar por saco.
  • o bien el sistema guarda la clave en algún lugar. Eso supone un aujero de seguridad considerable. Supongo q en ese caso estará guardada en algun shadowed...
• También dice q se pueden gestionar las claves de cifrado de manera corporativa. El admin de sistemas de la empresa las gestiona de manera centralizada. A parte de q a mi parecer, eso siempre és problematico en la gestión de claves, eso significa q el panther mantiene una copia de la clave en el sistema? Entonces estamos como en el punto anterior...
  No sé, me plantea dudas. Igual q los loopback cifrados de linux... pero de momento parece q aguantan...
  
  saludos,
  hari
  

¿De verdad vienes del enlace que citas?. Mac OS X es tan transparente para el usuario como el usuario quiere que sea. Si no haces nada, se tomará tu login de usuario como contraseña, pero sí puedes definir contraseñas maestras para la encriptación de cualquier cuenta que tenga el sistema. Master password With security that strong, you don’t want to lose your key. Company administrators can set up a computer-wide master password as a safeguard in the event someone forgets his or her login password. This can be useful for computer or system administrators whose users either forget their passwords or in corporate situations where an employee is no longer with the company and the data left behind needs to be recovered.

Entonces, de dónde saca el sistema la clave de 128 bits para cifrar? Usa el password de sistema? Entonces, q pasa si el usuario cambia el pass? A re-cifrar todo el /home? O si lo olvida?

Por lo que sé el Hasefroch XP utiliza el password del usuario para codificar los datos y, si cambias de contraseña, la cosa no parece que sea demasiado costosa, nunca lo he visto pasarse un rato "recodificando" después de cambiarla. Supongo que si los de Redmond pueden hacerlo de forma eficiente, los genios de Apple también.

Y lo de si se olvida la contraseña... pues para eso está el root con acceso a todo, para ver cuál era tu contraseña y decírtela o para ponerte una nueva eliminando la vieja.

o bien el sistema guarda la clave en algún lugar. Eso supone un aujero de seguridad considerable

No necesariamente, al fin y al cabo, la contraseña del root siempre está escrita en alguna parte del disco duro y eso nunca ha supuesto un agujero de seguridad.

Lo que no es útil para la colmena no es útil para la abeja, Marco Antonio

El password que teclea el usuario no es el la clave usada para cifrar/descifrar el sistema de ficheros, sino el usado para cifrar/descifrar la clave que cifra/descifra el sistema de ficheros, y que esta no se modifica por el hecho de que el usuario cambie su contraseña de entrada.

Es algo similar al funcionamiento del gpg/PGP: estas usando claves de encriptación de 1024 bits, pero tu contraseña tiene muchos menos bits, y puedes modificar la contraseña sin tener que modificar tu claves públicas y privadas.

Por eso el cambiar la contraseña no es costoso, ya que sólo se recifra la clave y ya está.

En MacSlash [macslash.com] hay este hilo [macslash.org] abierto sobre las cosas a favor y en contra de FileVault.