Cet article montre comment vérifier si Ubuntu utilise un swap chiffré. Ce que j'aimerais savoir, c'est comment je peux déterminer que le swap (ou toute autre partition) est réellement crypté. Ce que j'aimerais voir, c'est qu'un utilitaire de disque essaie de lire le contenu crypté, en me montrant du charabia, mais après avoir saisi le mot de passe composé correct, il me montre les fichiers comme prévu.
Cela serait difficile pour swap puisque crypttab utilise une clé aléatoire, mais je/devrais/être capable de voir le charabia qui indique qu’elle est cryptée.
EDIT: J'ajoute la sortie de testdisk. Je ne sais pas quoi chercher ici.
Disk /dev/sda - 500 GB / 465 GiB - ST3500413AS
Disk /dev/mapper/cryptswap1 - 4008 MB / 3823 MiB
Disk /dev/mapper/vg_doulos-home - 453 GB / 422 GiB - ST3500413AS
Disk /dev/mapper/vg_doulos-root - 39 GB / 37 GiB - ST3500413AS
Disk /dev/mapper/vg_doulos-tmp - 1996 MB / 1904 MiB - ST3500413AS
Disk /dev/sr0 - 735 MB / 701 MiB (RO) - hp DVD D DH16D6SH
Disk /dev/dm-0 - 39 GB / 37 GiB - ST3500413AS
Disk /dev/dm-1 - 1996 MB / 1904 MiB - ST3500413AS
Disk /dev/dm-2 - 453 GB / 422 GiB - ST3500413AS
Disk /dev/dm-3 - 4008 MB / 3823 MiB
A ce stade, que dois-je choisir pour vérifier? Par exemple, j'ai sélectionné /dev/mapper/vg_doulos_home
. Ensuite, je reçois un écran qui ressemble à ceci:
Please select the partition table type, press Enter when done.
[Intel ] Intel/PC partition
[EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
[Humax ] Humax partition table
[Mac ] Apple partition map
>[None ] Non partitioned media
[Sun ] Sun Solaris partition
[XBox ] XBox partition
[Return ] Return to disk selection
Je sélectionne automatiquement Non partitioned media
parce que c'est la valeur par défaut ici. Je liste les fichiers ici:
P ext4 0 885940223 885940224
Directory /
>drwxr-xr-x 0 0 4096 30-May-2012 11:33 .
drwxr-xr-x 0 0 4096 30-May-2012 11:33 ..
drwx------ 0 0 16384 30-May-2012 11:03 lost+found
dr-x------ 1000 1000 4096 30-May-2012 11:33 averyc
drwxr-xr-x 0 0 4096 30-May-2012 11:33 .ecryptfs
Je peux toujours accéder au répertoire de départ averyc
où se trouve la structure de ce répertoire, mais je ne parviens pas à copier les fichiers suivants:
P ext4 0 885940223 885940224 Répertoire/averyc
>dr-x------ 1000 1000 4096 30-May-2012 11:33 .
drwxr-xr-x 0 0 4096 30-May-2012 11:33 ..
lrwxrwxrwx 1000 1000 32 30-May-2012 11:33 .ecryptfs
lrwxrwxrwx 1000 1000 31 30-May-2012 11:33 .Private
lrwxrwxrwx 1000 1000 52 30-May-2012 11:33 README.txt
lrwxrwxrwx 1000 1000 56 30-May-2012 11:33 Access-Your-Private-Data.desktop
Quelqu'un peut-il expliquer ce qui se passe ici? Comment puis-je vérifier que cette partition est vraiment cryptée?
Vous pouvez démarrer un CD live et essayer presque tous les outils de récupération de données, tels que testdisk. Lorsque vous exécutez l'outil de récupération de données, il identifiera toutes sortes de fichiers. Ouvrez n'importe lequel d'entre eux et vous verrez des données aléatoires.
Tu ne peux pas. Le chiffrement a pour objectif de donner l’impression que des données valides ressemblent à du charabia, i. e. aussi impossible à distinguer des données aléatoires que possible.
D'autre part, les données les plus utiles (systèmes de fichiers, par exemple) sont structurées et non aléatoires. Dans cet esprit, vous pouvez:
Essayez de le faire correspondre à des modèles connus tels que des formats de fichiers connus ou des en-têtes de système de fichiers. Les outils appropriés pour cela sont file(1)
(formats de fichier généraux) et blkid(8)
(systèmes de fichiers et tables de partition).
En prime, certains protocoles de cryptage (par exemple, LUKS) associent des en-têtes aux données cryptées, que les outils précédemment mentionnés reconnaissent.
Effectuez une analyse statistique des données pour voir si elles apparaissent assez aléatoires , mais ce n'est pas une preuve de cryptage, mais un indice. Les données peuvent en réalité être un enregistrement non crypté d'une série d'événements aléatoires.
Voici un programme C, que j'ai écrit il y a quelque temps, pour le faire: https://Gist.github.com/davidfoerster/079b6d8c92fb702b89aa
Essayez plusieurs protocoles et clés de cryptage et essayez de le déchiffrer. Le problème est que la plupart des protocoles courants ne peuvent pas vous dire si le texte chiffré a été chiffré avec un protocole et une clé particuliers.
Pour contourner le problème, utilisez le point 1 pour voir si les données déchiffrées correspondent à un modèle connu (ce qui n’est pas nécessaire; voir point 2. Certains protocoles de chiffrement (tels que TrueCrypt) utilisent un en-tête chiffré. Ainsi, les outils peuvent rapidement voir si un déchiffrement a réussi.