Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-03-24 19:31:24

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Witam

Zacznę od tego co mnie boli ;) Otóż nadpisałem instalacją Windows 7 Boot Loadera programu TrueCrypt. Zaszyfrowany był cały dysk, dwie partycje. Na pierwszej był system, został przeinstalowany, a na drugiej dane, miały być nieistotne, teraz okazało się że są bardzo istotne. Druga partycja teraz jest nie widoczna bo jest zaszyfrowana, ale jest nietknięta.

Nie wiem czy znajdę dysk ratunkowy gdzie jest klucz szyfrujący, póki co kombinuje. Przejrzałem TrueCrypt User's Guide i tam jest opisana struktura "TrueCrypt Volume Format Specification". Zastanawiam się czy jak wygeneruję nowy klucz przy użyciu tego samego hasła to jest jakaś szansa, że odszyfruję tą partycje. Ma ktoś może w tym jakieś doświadczenie?

Offline

 

#2  2011-03-24 19:54:40

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Brak mi doświadczenia, jednak logika podpowiada, że skoro szyfrowanie odbywa się za pomocą kluczy, które generuje się na podstawie haseł, to potrzebujesz tego samego hasła żeby dostać ten sam klucz (albo wartości kolizyjnej). W każdym razie złota zasada rekowerek: DON'T FUCKING TOUCH ANYTHING. jeśli masz możliwość, zrób obraz całego dysku i działaj na kopii </matkowanie>
Na Twoim miejscu na dzień dobry przywróciłbym truecryptowy bootloader (defaultowy), a później szukał opcji jak w niego wkomponować klucz. Ewentualnie odpal live'a, postaw na nim tc i z jego poziomu szukaj opcji odzyskiwania bootloadera.

Offline

 

#3  2011-03-24 20:03:17

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Też mi się wydaje, że znajomość hasła bez tego klucza g.. da.

Offline

 

#4  2011-03-24 20:33:43

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Chyba nie zrozumieliśmy się ;)

potrzebujesz tego samego hasła żeby dostać ten sam klucz[/quote]
Miałem na myśli że taka funkcja działa jednokierunkowo, ale zawsze w ten sam sposób. Co jakby md5.
Tak mnie naszło: zaszyfruj jakiś mały pendrive na haslo 'hasuo'. Zrób posektorowego dumpa całości i wywal truecrypta.
Operację powtórz i porównaj dumpy. Jeśli przynajmniej pierwsze 512 bajtów nośnika będzie takie samo, to jesteś w domu.

Offline

 

#5  2011-03-24 20:53:55

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Nie, to nie działa jak MD5, tylko jak SSH.

I forgot my password – is there any way ('backdoor') to recover the files from my TrueCrypt volume?

TrueCrypt does not allow recovery of any encrypted data without knowing the correct password or key. We cannot recover your data because we do not know and cannot determine the password you chose or the key you generated using TrueCrypt. The only way to recover your files is to try to "crack" the password or the key, but it could take thousands or millions of years...

To nie /etc/passwd że wystarczy wygenerować nowy i wrzucić sumkę ;)

Offline

 

#6  2011-03-24 23:04:13

  tm - Użytkownik

tm
Użytkownik
Zarejestrowany: 2010-04-06

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Nie no, tam używane są funkcje hashujące tylko skuteczniejsze niż md5 np sha-512:
http://www.truecrypt.org/docs/?s=hash-algorithms
w dodatku z wykorzystaniem soli(losowo). Także taki sam klucz nie zostanie wygenerowany.

Offline

 

#7  2011-03-25 15:02:21

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

TrueCrypt does not allow recovery of any encrypted data without knowing the correct password [b]or[/b] key[/quote]
Tego zaczepiłbym się i, cytując sam siebie, próbował z dumpami mniejszych nośników.

Offline

 

#8  2011-03-26 10:53:21

  grzesiek - Użytkownik

grzesiek
Użytkownik
Skąd: Białystok
Zarejestrowany: 2009-03-06
Serwis

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Znalazłem w pracy dysk ratunkowy i odzyskałem partycję, ale bez jego użycia nawet. Mniej więcej w taki sposób:

"Note: Alternatively, if Windows is damaged (cannot start) and you need to repair it (or access files on it), you can avoid decrypting the system partition/drive by following these steps: Boot another operating system, run TrueCrypt, click Select Device, select the affected system partition, select System > Mount Without Pre-Boot Authentication, enter your pre-boot-authentication password and click OK. The partition will be mounted as a regular TrueCrypt volume (data will be on-the-fly decrypted/encrypted in RAM on access, as usual)."

Nie jestem pewien, ale wystarczyło, że wpisałem hasło i dysk został zamontowany. Tylko, że w nagłówku tego woluminu jest klucz, z tego co pisze w specyfikacji nagłówka. Więc chyba klucz jest potrzebny.

Offline

 

#9  2011-03-26 11:49:36

  Huk - Smoleńsk BULWA!

Huk
Smoleńsk BULWA!
Zarejestrowany: 2006-11-08

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Nie mam pewności ale wydaje mi się że w trueCrypcie to wygląda tak że dysk jest zaszyfrowany kluczem, który jest uzyskiwany z hasła+losowych numerków (to machanie myszą podczas tworzenia voluminu)+ewentualnie KeyFiles. Dzięki temu za pomocą hasła uzyskujesz dostęp do KLUCZA który, nawet przy takimi samym haśle jest INNY dla każdego dysku - jeden plus który widzę to taki że, jakby ktoś szukał klucza, a nie hasła, to miałby znacznie utrudnione zadanie, bo nawet przy tym samym haśle klucze były by inne...

Może napisałem głupoty, ale dla mnie trochę logiki w tym jest ;]

Offline

 

#10  2011-09-23 16:51:50

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Sorry, że odkopuję.

Hasło jest zabezpieczeniem dla klucza szyfrującego - tego tworzonego za pomocą "machania myszą". Może wyjaśnię to na przykładzie szyfrowania ssl w apache. Możesz utworzyć klucz szyfrujący treści, jednak taki klucz posiada hasło i podczas każdorazowego restartu apache musisz podawać hasło do klucza. Jest możliwe zdjęcie tego hasła, wtedy pozostaje ci sam klucz szyfrujący. Hasło nie wpływa na szyfrowanie. Ktoś kto chce podsłuchać ruch, zobaczy ten sam zaszyfrowany ciąg znaków i by go zdeszyfrować musi zrobić jedna rzecz. Zdobyć/złamać klucz szyfrujący. Złamać jest baaardzo trudno. Dlatego też dużo prościej jest go zdobyć. Jeżeli taki ktoś zakosi klucz bez hasła, może nim szyfrować i tym samym podszywać się pod nas. Dlatego też zabezpiecza się klucz hasłem, by po wpadnięciu klucza w niepowołane ręce, ten ktoś musiał się jeszcze trochę natrudzić by móc szyfrować dane. Oczywiście hasło można łatwo złamać (te krótsze), ale daje to nam trochę czasu na unieważnienie tego klucza, co sprawi, że ten ktoś, kto wszedł w posiadanie naszego klucza i złamał hasło i tak nic już nie zaszyfruje :]

To tak w skrócie wygląda różnica między hasłem i kluczem szyfrującym. Dlatego też jeżeli w truecrypcie zgubisz klucz, danych już nie odzyskasz.

I taka rada dla tych co szyfrują systemową partycję windowsa (zresztą nie tylko windowsa) - skopiujcie sobie MBR i trzymajcie go w ukryciu :D

Jeżeli wam padnie MBR, wszystko jedno z jakiej przyczyny (uszkodzenie fizyczne, nadpisanie przez inny bootloader czy wiruska), wgrywacie MBR i możecie bez problemu odpalić system.

http://pl.wikipedia.org/wiki/Master_Boot_Record - tu macie opisany MBR i jak zrobić taką kopię.

Ostatnio edytowany przez morfik (2011-09-23 16:52:36)

Offline

 

#11  2011-09-23 17:18:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Kluczem w TC może być dowolny plik zawierajacy co najmniej jeden bajt.

Podstawowa zasada szyfrowania, - kopia (działającego) klucza na osobnym nośniku.
Co do TC Win& i bootloadrera, to tam się odpala system na hasło, takie same można użyć w zwykłym kontenerze TC, zamiast lub równocześnie z kluczem szyfrującym.
Pozostaje pytanie, czy tam był klucz, czy hasło, czy i jednk i drugie.

W rzeczywistości jednak świat dzieli się na ludzi, którzy robią backup, i tych, którzy bedą robić backup.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2011-09-23 17:31:45

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Odzyskiwanie danych z zaszyfrowanej partycji (TrueCrypt)

Bootloadery nie nadpisują całego MBR, nadpisują tylko 446 bajtów tego pierwszego sektora. Truecrypt zdefiniował tam instrukcje jakie ma poczynić system by otworzyć zaszyfrowany wolumin (wyrzucić okienko od hasła i co zrobić z tym hasłem). Jeżeli tracisz te instrukcje, to jeszcze nic złego się nie dzieje. Dalej możesz uzyskać dostęp do woluminu na zasadzie zwykłego kontenera truecrypt, jak napisał grzesiek. Jednak potrzebne jest ci hasło by uzyskać dostęp do klucza szyfrującego. Bez hasła nie uzyskasz dostępu do klucza, bez klucza nie odszyfrujesz danych.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.018 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00094 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.189.194.44' WHERE u.id=1
0.00070 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.189.194.44', 1732544278)
0.00039 SELECT * FROM punbb_online WHERE logged<1732543978
0.00216 DELETE FROM punbb_online WHERE ident='54.36.149.77'
0.00240 SELECT topic_id FROM punbb_posts WHERE id=169373
0.00044 SELECT id FROM punbb_posts WHERE topic_id=18630 ORDER BY posted
0.00268 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18630 AND t.moved_to IS NULL
0.00009 SELECT search_for, replace_with FROM punbb_censoring
0.00453 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18630 ORDER BY p.id LIMIT 0,25
0.00073 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18630
Total query time: 0.01519 s