-
globale => «
FileVault» qui va encoquiller le système de fichiers entier de l'OS dans le coffre-fort d'un
CoreStorage Chiffré.
-
locale => tu crées par l'«
Utilitaire de Disque» un disque virtuel dans un format d'image
.sparseimage (= image-disque de faible densité). Tu peux lui donner une taille
potentielle très importante, genre 20 GB, le disque vide n'aura au départ qu'un poids
actuel de 50 Mo, et augmentera de taille effective seulement au fur et à mesure du remplissement de son volume par des données. Ce disque virtuel
.sparsimage, tu optes pour son chiffrement à la création (2 options :
AES-128 bits vs
AES-256 bits) avec un mot de passe de déverrouillage du disque permettant seul de monter le volume. Voici une image du panneau dans l'«
Utilitaire de Disque» d'«
El Capitan» comme exemple :
[Attention ! Il y a un bogue de présentation dans ce panneau de l'«Utilitaire de Disque 10.11» : l'exemple donné est 100 Mo, mais il ne faut absolument pas saisir les valeurs par rapport à l'octet, mais au byte => MB, GB (sinon, le commande plante et toute image-disque serait créée avec une taille par défaut de 100 Mo].
Le protocole utilisé dans les 2 cas («
FileVault» et le
.sparsimage chiffré) est strictement le même. Personne n'a réussi à ce jour à casser ce chiffrement, surtout si tu optes pour du
256 bits - la seule fragilité tient au mot-de-passe de déverrouillage. S'il est indevinable, autant dire que ton disque-image chiffré est inviolable. Donc, tu peux très bien avoir un OS non encapsulé dans un
CoreStorage Chiffré («
FileVault» désactivé), mais avoir dans ton dossier de compte, où tu veux (ou sur un disque externe, si tu préfères), ton
.sparseimage chiffré : pour accéder à ses données, tu montes le volume en le déverrouillant par ton-mot-de-passe (que tu peux même refuser de laisser enregistrer dans ton «
Trousseau de session») et toi seul peut manipuler les données, en rajouter etc.
Si tu préfères par commodité que le «
Trousseau» enregistre ton mot-de-passe de déverrouillage pour t'éviter d'avoir à le saisir chaque fois, ça reste assez sûr, car un petit malin qui ouvrirait ta session en ayant ré-initialisé ton mot-de-passe aurait par là désynchronisé le «
Trousseau de session» qu'il lui serait impossible de déverrouiller => donc il ne pourrait pas demander au «
Trousseau» de monter le volume du disque virtuel chiffré.