Вопросы Теги

Как проверить, что раздел зашифрован?

В этой статье показано, как посмотреть, есть ли в Ubuntu зашифрованный своп. Я хотел бы знать, как я могу определить, что подкачка (или любой другой раздел) действительно зашифрована. Что я хотел бы видеть, так это то, что какая-то дисковая утилита пытается прочитать зашифрованное содержимое, показывая мне бред, но после ввода правильной фразы-пароля она показывает мне файлы, как и ожидалось.

Это было бы трудно для подкачки, так как crypttab использует случайный ключ, но я / должен / смог увидеть тарабарщину, которая указывает, что он зашифрован.

РЕДАКТИРОВАТЬ: я добавляю вывод из testdisk. Я не знаю, что здесь искать. 

 Disk /dev/sda - 500 GB / 465 GiB - ST3500413AS
 Disk /dev/mapper/cryptswap1 - 4008 MB / 3823 MiB
 Disk /dev/mapper/vg_doulos-home - 453 GB / 422 GiB - ST3500413AS
 Disk /dev/mapper/vg_doulos-root - 39 GB / 37 GiB - ST3500413AS
 Disk /dev/mapper/vg_doulos-tmp - 1996 MB / 1904 MiB - ST3500413AS
 Disk /dev/sr0 - 735 MB / 701 MiB (RO) - hp      DVD D  DH16D6SH
 Disk /dev/dm-0 - 39 GB / 37 GiB - ST3500413AS
 Disk /dev/dm-1 - 1996 MB / 1904 MiB - ST3500413AS
 Disk /dev/dm-2 - 453 GB / 422 GiB - ST3500413AS
 Disk /dev/dm-3 - 4008 MB / 3823 MiB

На этом этапе, что я должен выбрать, чтобы проверить? Например, я выбрал /dev/mapper/vg_doulos_home. Затем я получаю экран, который выглядит следующим образом: 

Please select the partition table type, press Enter when done.
 [Intel  ] Intel/PC partition
 [EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
 [Humax  ] Humax partition table
 [Mac    ] Apple partition map
>[None   ] Non partitioned media
 [Sun    ] Sun Solaris partition
 [XBox   ] XBox partition
 [Return ] Return to disk selection

Я автоматически выбираю Non partitioned media, потому что здесь по умолчанию. Я перечисляю файлы здесь: 

   P ext4                           0  885940223  885940224
Directory /

>drwxr-xr-x     0     0      4096 30-May-2012 11:33 .
 drwxr-xr-x     0     0      4096 30-May-2012 11:33 ..
 drwx------     0     0     16384 30-May-2012 11:03 lost+found
 dr-x------  1000  1000      4096 30-May-2012 11:33 averyc
 drwxr-xr-x     0     0      4096 30-May-2012 11:33 .ecryptfs

Я все еще могу перейти в домашний каталог averyc, где я нахожу этот макет каталога, но я не могу скопировать ни один из файлов: [ 1113]

P ext4 0 885940223 885940224 Directory / averyc 

>dr-x------  1000  1000      4096 30-May-2012 11:33 .
 drwxr-xr-x     0     0      4096 30-May-2012 11:33 ..
 lrwxrwxrwx  1000  1000        32 30-May-2012 11:33 .ecryptfs
 lrwxrwxrwx  1000  1000        31 30-May-2012 11:33 .Private
 lrwxrwxrwx  1000  1000        52 30-May-2012 11:33 README.txt
 lrwxrwxrwx  1000  1000        56 30-May-2012 11:33 Access-Your-Private-Data.desktop

Может кто-нибудь объяснить, что здесь происходит? Как я могу убедиться, что этот раздел действительно зашифрован?

3
задан 13 April 2017 в 15:24

2 ответа

Вы можете загрузить live CD и попробовать практически любой инструмент для восстановления данных, например, testdisk. Когда вы запустите инструмент восстановления данных, он определит все виды файлов. Откройте любой из них, и вы увидите случайные данные.

0
ответ дан 13 April 2017 в 15:24

Краткий общий ответ

Вы не можете. Цель шифрования - сделать достоверные данные похожими на бред, т.е. е. настолько неотличим от случайных данных, насколько это возможно.

Длинный ответ подходит для большинства случаев

С другой стороны, наиболее полезные данные (например, файловые системы) структурированы и не случайны. Имея это в виду, вы можете:

  1. Попытаться сопоставить его с известными шаблонами, такими как известные форматы файлов или заголовки файловой системы. Подходящими инструментами для этого являются file(1) (общие форматы файлов) и blkid(8) (файловые системы и таблицы разделов).

    В качестве бонуса некоторые протоколы шифрования (например, LUKS) прикрепляют заголовки к зашифрованным данным, которые распознаются ранее упомянутыми инструментами.

  2. Выполните статистический анализ данных, чтобы увидеть, если они кажутся достаточно случайными , но это не доказательство шифрования, а лишь подсказка. Данные могут фактически быть незашифрованной записью серии случайных событий.

    Вот программа на C, которую я написал некоторое время назад для этого: https://gist.github.com/davidfoerster/079b6d8c92fb702b89aa

  3. Попробуйте несколько протоколов шифрования и ключей и попытайтесь расшифровать его. Проблема в том, что большинство распространенных протоколов не могут сообщить вам, был ли зашифрованный текст зашифрован с помощью определенного протокола и ключа.

    В качестве обходного пути, используйте пункт 1, чтобы увидеть, соответствует ли расшифрованные данные известному шаблону (что не обязательно; см. Пункт 2. Некоторые протоколы шифрования (например, TrueCrypt) используют зашифрованный заголовок, поэтому инструменты могут быстро Посмотрите, если расшифровка была успешной.

0
ответ дан 13 April 2017 в 15:24

Другие вопросы по тегам:

Похожие вопросы: