web-dev-qa-db-fra.com

Comment vérifier qu'une partition est cryptée?

Cet article montre comment vérifier si Ubuntu utilise un swap chiffré. Ce que j'aimerais savoir, c'est comment je peux déterminer que le swap (ou toute autre partition) est réellement crypté. Ce que j'aimerais voir, c'est qu'un utilitaire de disque essaie de lire le contenu crypté, en me montrant du charabia, mais après avoir saisi le mot de passe composé correct, il me montre les fichiers comme prévu.

Cela serait difficile pour swap puisque crypttab utilise une clé aléatoire, mais je/devrais/être capable de voir le charabia qui indique qu’elle est cryptée.

EDIT: J'ajoute la sortie de testdisk. Je ne sais pas quoi chercher ici.

 Disk /dev/sda - 500 GB / 465 GiB - ST3500413AS
 Disk /dev/mapper/cryptswap1 - 4008 MB / 3823 MiB
 Disk /dev/mapper/vg_doulos-home - 453 GB / 422 GiB - ST3500413AS
 Disk /dev/mapper/vg_doulos-root - 39 GB / 37 GiB - ST3500413AS
 Disk /dev/mapper/vg_doulos-tmp - 1996 MB / 1904 MiB - ST3500413AS
 Disk /dev/sr0 - 735 MB / 701 MiB (RO) - hp      DVD D  DH16D6SH
 Disk /dev/dm-0 - 39 GB / 37 GiB - ST3500413AS
 Disk /dev/dm-1 - 1996 MB / 1904 MiB - ST3500413AS
 Disk /dev/dm-2 - 453 GB / 422 GiB - ST3500413AS
 Disk /dev/dm-3 - 4008 MB / 3823 MiB

A ce stade, que dois-je choisir pour vérifier? Par exemple, j'ai sélectionné /dev/mapper/vg_doulos_home. Ensuite, je reçois un écran qui ressemble à ceci:

Please select the partition table type, press Enter when done.
 [Intel  ] Intel/PC partition
 [EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
 [Humax  ] Humax partition table
 [Mac    ] Apple partition map
>[None   ] Non partitioned media
 [Sun    ] Sun Solaris partition
 [XBox   ] XBox partition
 [Return ] Return to disk selection

Je sélectionne automatiquement Non partitioned media parce que c'est la valeur par défaut ici. Je liste les fichiers ici:

   P ext4                           0  885940223  885940224
Directory /

>drwxr-xr-x     0     0      4096 30-May-2012 11:33 .
 drwxr-xr-x     0     0      4096 30-May-2012 11:33 ..
 drwx------     0     0     16384 30-May-2012 11:03 lost+found
 dr-x------  1000  1000      4096 30-May-2012 11:33 averyc
 drwxr-xr-x     0     0      4096 30-May-2012 11:33 .ecryptfs

Je peux toujours accéder au répertoire de départ averyc où se trouve la structure de ce répertoire, mais je ne parviens pas à copier les fichiers suivants:

P ext4 0 885940223 885940224 Répertoire/averyc

>dr-x------  1000  1000      4096 30-May-2012 11:33 .
 drwxr-xr-x     0     0      4096 30-May-2012 11:33 ..
 lrwxrwxrwx  1000  1000        32 30-May-2012 11:33 .ecryptfs
 lrwxrwxrwx  1000  1000        31 30-May-2012 11:33 .Private
 lrwxrwxrwx  1000  1000        52 30-May-2012 11:33 README.txt
 lrwxrwxrwx  1000  1000        56 30-May-2012 11:33 Access-Your-Private-Data.desktop

Quelqu'un peut-il expliquer ce qui se passe ici? Comment puis-je vérifier que cette partition est vraiment cryptée?

3
Avery Chan

Vous pouvez démarrer un CD live et essayer presque tous les outils de récupération de données, tels que testdisk. Lorsque vous exécutez l'outil de récupération de données, il identifiera toutes sortes de fichiers. Ouvrez n'importe lequel d'entre eux et vous verrez des données aléatoires.

2
Panther

Réponse générale courte

Tu ne peux pas. Le chiffrement a pour objectif de donner l’impression que des données valides ressemblent à du charabia, i. e. aussi impossible à distinguer des données aléatoires que possible.

Réponse longue convenant à la plupart des cas

D'autre part, les données les plus utiles (systèmes de fichiers, par exemple) sont structurées et non aléatoires. Dans cet esprit, vous pouvez:

  1. Essayez de le faire correspondre à des modèles connus tels que des formats de fichiers connus ou des en-têtes de système de fichiers. Les outils appropriés pour cela sont file(1) (formats de fichier généraux) et blkid(8) (systèmes de fichiers et tables de partition).

    En prime, certains protocoles de cryptage (par exemple, LUKS) associent des en-têtes aux données cryptées, que les outils précédemment mentionnés reconnaissent.

  2. Effectuez une analyse statistique des données pour voir si elles apparaissent assez aléatoires , mais ce n'est pas une preuve de cryptage, mais un indice. Les données peuvent en réalité être un enregistrement non crypté d'une série d'événements aléatoires.

    Voici un programme C, que j'ai écrit il y a quelque temps, pour le faire: https://Gist.github.com/davidfoerster/079b6d8c92fb702b89aa

  3. Essayez plusieurs protocoles et clés de cryptage et essayez de le déchiffrer. Le problème est que la plupart des protocoles courants ne peuvent pas vous dire si le texte chiffré a été chiffré avec un protocole et une clé particuliers.

    Pour contourner le problème, utilisez le point 1 pour voir si les données déchiffrées correspondent à un modèle connu (ce qui n’est pas nécessaire; voir point 2. Certains protocoles de chiffrement (tels que TrueCrypt) utilisent un en-tête chiffré. Ainsi, les outils peuvent rapidement voir si un déchiffrement a réussi.

0
David Foerster