Зашифрованный .dmg-файл - встроенный способ Apple положить чувствительные данные в контейнер, защищённый паролем. Без сторонних программ, без абонентской платы, с шифрованием уровня государственных тайн (AES-256). Открывается двойным кликом, монтируется как обычный диск, после работы - зашифрованный архив с любыми файлами внутри.
В этой статье научимся создавать защищённые .dmg через графический Disk Utility и через Terminal для продвинутых сценариев. Разберём когда AES-256 оправдан, когда хватит AES-128, и какие альтернативы есть если .dmg не подходит.
Зачем это нужно
- Паспортные данные, сканы документов - хранить на диске в открытом виде опасно
- Финансовые данные, копии договоров, налоги - персональные данные
- Криптокошельки, seed-фразы - одна из самых критичных вещей
- Рабочие файлы - NDA обязывает хранить в зашифрованном виде
- Перед продажей Mac - если нельзя полноценно очистить старую информацию
- Облачная синхронизация - Dropbox/Google Drive хранят в открытом виде, .dmg добавляет слой защиты
Что понадобится
- Mac с любой современной macOS (Big Sur, Monterey, Ventura, Sonoma, Sequoia)
- Встроенный Disk Utility (Applications → Utilities)
- Свободное место на диске - минимум в 2 раза больше объёма, который будете зашифровывать
- Надёжный пароль (рекомендуется 12+ символов со всеми типами)
- Место для хранения пароля - KeePassXC или Bitwarden
Метод 1: Создать пустой .dmg через Disk Utility
Подходит когда нужен «сейф» для будущих файлов. Создаёте образ фиксированного размера, добавляете файлы по мере надобности.
Пошагово
- Откройте Disk Utility (Finder → Applications → Utilities → Disk Utility)
- В меню сверху: File → New Image → Blank Image
- В открывшемся окне:
- После выбора Encryption система попросит пароль. Введите дважды. Не ставьте галку Remember password in my keychain - иначе смысл шифрования теряется
- Нажмите Save - создание образа занимает от 10 секунд до нескольких минут
Использование
- Двойной клик на .dmg → вводите пароль → монтируется как диск
- Перетаскивайте файлы внутрь как в обычную папку
- Размонтировать (eject) → .dmg снова зашифрован
- Файлы на реальном диске шифруются - извлечь без пароля невозможно
Метод 2: Зашифровать папку с данными в .dmg
Когда данные уже есть в папке, и хочется просто положить их в защищённый контейнер.
- Подготовьте папку - положите все нужные файлы внутрь
- Откройте Disk Utility
- Меню: File → New Image → Image from Folder
- Выберите вашу папку → Choose
- В следующем окне:
- Введите пароль дважды
- Save - создастся зашифрованный .dmg со всем содержимым папки
После успешного создания - оригинальную папку с открытыми файлами можно удалить. Только убедитесь что .dmg открывается с вашим паролем!
AES-128 vs AES-256: что выбрать
AES-128:
- Скорость создания ~2× быстрее
- Монтирование (открытие) ~2× быстрее
- Защищённость - достаточная для 99% задач, взлом невозможен при жизни
AES-256:
- Теоретически более стойкий (но AES-128 и так не взломаешь брутфорсом за миллион лет с текущими технологиями)
- Стандарт для secret/top-secret данных в госучреждениях США (NSA, FBI)
- Медленнее при большом объёме
Для обычных задач (документы, фото, пароли) AES-128 более чем достаточно. AES-256 имеет смысл если:
- Данные могут попасть в руки государственных структур
- Данные должны храниться защищёнными 50+ лет (квантовая угроза)
- Требует регулятор (GDPR, HIPAA в некоторых интерпретациях)
Метод 3: Через Terminal (продвинуто)
Terminal даёт больше опций и удобнее для скриптов.
Создание пустого зашифрованного .dmg
hdiutil create -size 500m -encryption AES-256 -stdinpass -volname "Secrets" -fs APFS secrets.dmgПараметры:
- -size 500m - размер (k/m/g)
- -encryption AES-256 - AES-128 или AES-256
- -stdinpass - пароль через stdin (безопаснее чем в командной строке)
- -volname - имя тома
- -fs APFS - файловая система
Пароль введите когда терминал попросит.
Зашифровать существующую папку
hdiutil create -encryption AES-256 -stdinpass -srcfolder ~/Documents/Secret -volname "Secrets" secrets.dmgСмонтировать из Terminal
hdiutil attach secrets.dmgЗапросит пароль, смонтирует в /Volumes/Secrets.
Отмонтировать
hdiutil detach /Volumes/SecretsИзменить пароль
hdiutil chpass secrets.dmgПримеры использования
Сейф для паспортных данных. Создаёте documents.dmg 500 МБ. Скан паспорта, ИНН, СНИЛС, водительские права - всё внутри. Синхронизируете через iCloud Drive / Dropbox - в облаке хранится зашифрованный .dmg.
Бэкап seed-фраз крипто-кошельков. Создаёте crypto.dmg 10 МБ. Внутри - текстовые файлы с seed-фразами, скриншоты qr-кодов. Один физический бэкап .dmg на флешке в сейфе, один в облаке.
Обмен файлами с клиентом. Для передачи чувствительного контракта - запаковываете в .dmg, пароль передаёте через Signal/Telegram отдельно от файла. Клиент открывает на своём Mac.
Контейнер для рабочих файлов. Рабочие материалы с NDA - в work.dmg. После окончания рабочего дня размонтирование. Утром пароль → работа.
Подготовка к ремонту / продаже Mac. Копируете всю папку Documents в зашифрованный .dmg на внешний SSD. Потом Erase Mac. После - восстанавливаетесь из .dmg.
Проблемы и их решения
Забыл пароль
Восстановить невозможно - это же и есть смысл шифрования. Apple не может расшифровать. Единственный шанс - брутфорс, но для сложного пароля это миллионы лет. Храните пароли в KeePassXC или Bitwarden.
.dmg повреждён, не открывается
Попробуйте: hdiutil verify secrets.dmg - проверит целостность.
Если повреждена структура - Disk Utility → File → Open Disk Image → иногда восстанавливает.
Если повреждены данные внутри - потеря. Поэтому всегда делайте бэкап .dmg файла в двух местах.
Образ растёт, а свободного места в нём нет
Obразы фиксированного размера нельзя увеличить напрямую. Создаёте новый большего размера → перекладываете содержимое → удаляете старый.
Или используйте sparse image (образ, растущий по мере наполнения):
hdiutil create -type SPARSE -size 1g -encryption AES-256 -stdinpass secrets.sparseimageSparse image растёт, но не уменьшается после удаления файлов
Необходимо сжать вручную:
hdiutil compact secrets.sparseimageМедленный доступ к большим файлам
Зашифрованный .dmg имеет накладные расходы 5-15% на чтение/запись. Для видео-редактирования в .dmg - не подходит, используйте обычный зашифрованный диск FileVault.
iCloud синхронизирует .dmg целиком при каждом изменении
При открытии/закрытии .dmg дата изменения меняется - iCloud скачивает его полностью. Для частых изменений лучше использовать sparse image (sparsebundle), который синхронизирует изменённые блоки, не весь файл.
hdiutil create -type SPARSEBUNDLE -size 1g -encryption AES-256 -stdinpass cloud.sparsebundleАльтернативы .dmg
FileVault - зашифровать весь диск
System Settings → Privacy & Security → FileVault → Turn On. Шифрует весь системный диск прозрачно. Минус - нет отдельного «сейфа», всё или ничего. Плюс - полная защита при потере ноутбука.
Зашифрованный ZIP
Keka или встроенная утилита zip -e secret.zip files/. Работает в любой ОС (Windows, Linux), но шифрование слабее AES-256 в .dmg (ZIP обычно AES-128 ZipCrypto). И кросс-платформа - плюс.
7z с паролем
Через Keka - 7z формат с AES-256. Открывается в Windows, Linux. Единственный минус vs .dmg - нельзя монтировать как диск, нужно распаковать.
Cryptomator
Open-source инструмент для зашифрованных «vault» поверх любой облачной папки. Dropbox/Google Drive видят только зашифрованные blob'ы. Хорош для длительного хранения в облаке.
VeraCrypt
Professional-уровень шифрования. Кросс-платформенный. Сложнее в использовании, но максимум контроля над параметрами.
Безопасность пароля
Зашифрованный .dmg настолько же стоек, насколько стоек пароль.
Плохие пароли:
- 123456, password, qwerty
- Имя + год рождения
- Одно слово из словаря
- Короткие (меньше 10 символов)
Хорошие пароли:
- 16+ символов
- Буквы верх/ниж + цифры + спецсимволы
- Случайно сгенерированные (KeePassXC, Bitwarden)
- Парольная фраза из 6+ случайных слов
Идеально: 20-символьный пароль из random-генератора. Запоминать не нужно - хранится в менеджере паролей. Сам менеджер - под мастер-паролем и 2FA.
Альтернативы из каталога
- KeePassXC - хранить пароль от .dmg в open-source менеджере
- Bitwarden - облачный менеджер паролей с синхронизацией
- Keka - создать зашифрованный ZIP/7z как альтернатива .dmg
Итог
Зашифрованный .dmg - встроенная в macOS, бесплатная и крайне надёжная защита. Disk Utility позволяет создать его за 30 секунд - пустой или из папки. AES-128 достаточно для 99% задач, AES-256 - для параноиков и регулируемых данных.
Не забывайте: потеря пароля = потеря данных. Храните пароль в менеджере и делайте бэкап самого .dmg файла в двух независимых местах. Тогда ваши документы будут в безопасности даже если Mac украдут, облако взломают или вы случайно загрузите всё в публичный репозиторий.
Комментарии (0)