Criptografia de Disco do Mac OS X - Automação

Eu quero configurar um servidor Mac Mini com uma unidade externa criptografada. No Finder, posso usar a opção de criptografia de disco completo. No entanto, para vários usuários, isso pode se tornar complicado.

O que eu quero fazer é criptografar o volume externo e, em seguida, configurar as coisas para que, quando a máquina inicializar, o disco seja desbloqueado para que todos os usuários possam acessá-lo. É claro que as permissões precisam ser mantidas, mas isso é desnecessário.

O que estou pensando em fazer é configurar um script launchd de nível raiz que é executado uma vez na inicialização e desbloqueia o disco. As chaves de criptografia provavelmente seriam armazenadas no keychain do root.

Então, aqui está minha lista de preocupações:

• Se eu armazenar as chaves de criptografia nas chaves do sistema, o arquivo em /private/var/db/SystemKey poderá ser usado para desbloquear as chaves se um invasor já tiver obtido acesso físico ao servidor. isso é ruim.
• Se eu armazenar as chaves de criptografia em minhas chaves de usuário, terei que executar manualmente o comando com minha senha. Isso é indesejável. Se eu executar um script launchd com minhas credenciais de usuário, ele será executado na minha conta de usuário, mas não terá acesso ao conjunto de chaves, derrotando a finalidade.
• Se o root tem um chaveiro (não é?), então como ele seria descriptografado? Ele permaneceria bloqueado até que a senha fosse inserida (como as chaves do usuário) ou teria o mesmo problema que o chaveiro do sistema, com chaves armazenadas na unidade e acessíveis com acesso físico?

Supondo que todos os trabalhos acima, eu encontrei diskutil coreStorage unlockVolume , que parece ser o comando apropriado, mas os detalhes de onde armazenar a chave de criptografia é o maior problema. Se o chaveiro do sistema não é seguro o suficiente, e chaveiros do usuário exigem uma senha, qual é a melhor opção?