Чи можете ви перевстановити OS X на шифрований накопичувач FileVault 2?

Я досліджував FileVault 2, щоб переконатися, що я його зрозумів, перш ніж увімкнути його на своєму Mac. Читаючи Повний посібник Macworld по FileVault 2 у Леві , я зіткнувся з несподіваним застереженням (моє наголос):

Напевно, варто згадати, що той, хто краде Mac з підтримкою FileVault, ніколи не може вимкнути або перезапустити машину, не втративши доступ до пристрою запуску завантаженої машини. (Хоча вони, мабуть, не усвідомлюють це лише після вимкнення або перезавантаження.) Це також означає, що вони не можуть встановити оновлення, які потребують перезавантаження, нехай акумулятор заряджається до нуля або навіть стирає жорсткий диск і перевстановлює ОС. отримати «робочий» комп’ютер .

Це не має для мене сенсу. У моїй ментальній моделі FileVault 2 під час завантаження завантажується крихітна програма дешифрування, що зберігається на жорсткому диску. Ця програма запитує у користувача ключ і використовує його для початку розшифровки накопичувача та запуску ОС. Якщо ви мали б перевстановити ОС, вона перезаписала б програму дешифрування та завантажилась нормально.

Чому ви не можете перевстановити ОС на зашифрованому накопичувачі FileVault 2?

Якщо ви спробуєте запустити інсталятор OS X, він відмовиться встановлювати на диск, зашифрований FV2, а Disk Utility відмовиться розділити або видалити томи FV2.

Це було сказано, якщо ви знаєте свій клі-фу, ви можете знищити розділи за допомогою програми Terminal, що входить до програми інсталятора (що я зробив, хоча зараз не пам'ятаю, чи використовував я, diskutilчи просто грубо примусив його, перезаписавши розділ таблиці з dd, маючи на увазі, що це можна зробити).

Якщо ви не переймаєтесь даними, вони досить стандартні (майже не мають якості "клі-фу"); З Recovery HD ви можете це все зробити в Terminal (Утиліти> Термінал)

Спочатку зробіть a, diskutil cs listщоб побачити інформацію про гучність CoreStorage. Візьміть довгий UUID групи логічних томів, яку ви хочете запустити (як правило, у верхній частині виводу; прокрутіть вгору). Тепер diskutil cs delete UUID(де UUID є UUID LVG). Не вимагає знання ключа або авторизованого користувача. Просто здуває гучність.

Знову ж таки, якщо вас не цікавлять дані. Цілком законним прикладом цього є ноутбук, який мій попередник використовував для тестування FileVault 2. Не використовував інституційний ключ або локальний, який він залишив, де хто-небудь міг його знайти, і його обліковий запис був єдиним авторизованим користувачем.