В этой статье показано, как посмотреть, есть ли в Ubuntu зашифрованный своп. Я хотел бы знать, как я могу определить, что подкачка (или любой другой раздел) действительно зашифрована. Что я хотел бы видеть, так это то, что какая-то дисковая утилита пытается прочитать зашифрованное содержимое, показывая мне бред, но после ввода правильной фразы-пароля она показывает мне файлы, как и ожидалось.
Это было бы трудно для подкачки, так как crypttab использует случайный ключ, но я / должен / смог увидеть тарабарщину, которая указывает, что он зашифрован.
РЕДАКТИРОВАТЬ: я добавляю вывод из testdisk. Я не знаю, что здесь искать.
Disk /dev/sda - 500 GB / 465 GiB - ST3500413AS
Disk /dev/mapper/cryptswap1 - 4008 MB / 3823 MiB
Disk /dev/mapper/vg_doulos-home - 453 GB / 422 GiB - ST3500413AS
Disk /dev/mapper/vg_doulos-root - 39 GB / 37 GiB - ST3500413AS
Disk /dev/mapper/vg_doulos-tmp - 1996 MB / 1904 MiB - ST3500413AS
Disk /dev/sr0 - 735 MB / 701 MiB (RO) - hp DVD D DH16D6SH
Disk /dev/dm-0 - 39 GB / 37 GiB - ST3500413AS
Disk /dev/dm-1 - 1996 MB / 1904 MiB - ST3500413AS
Disk /dev/dm-2 - 453 GB / 422 GiB - ST3500413AS
Disk /dev/dm-3 - 4008 MB / 3823 MiB
На этом этапе, что я должен выбрать, чтобы проверить? Например, я выбрал /dev/mapper/vg_doulos_home
. Затем я получаю экран, который выглядит следующим образом:
Please select the partition table type, press Enter when done.
[Intel ] Intel/PC partition
[EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
[Humax ] Humax partition table
[Mac ] Apple partition map
>[None ] Non partitioned media
[Sun ] Sun Solaris partition
[XBox ] XBox partition
[Return ] Return to disk selection
Я автоматически выбираю Non partitioned media
, потому что здесь по умолчанию. Я перечисляю файлы здесь:
P ext4 0 885940223 885940224
Directory /
>drwxr-xr-x 0 0 4096 30-May-2012 11:33 .
drwxr-xr-x 0 0 4096 30-May-2012 11:33 ..
drwx------ 0 0 16384 30-May-2012 11:03 lost+found
dr-x------ 1000 1000 4096 30-May-2012 11:33 averyc
drwxr-xr-x 0 0 4096 30-May-2012 11:33 .ecryptfs
Я все еще могу перейти в домашний каталог averyc
, где я нахожу этот макет каталога, но я не могу скопировать ни один из файлов: [ 1113]
P ext4 0 885940223 885940224 Directory / averyc
>dr-x------ 1000 1000 4096 30-May-2012 11:33 .
drwxr-xr-x 0 0 4096 30-May-2012 11:33 ..
lrwxrwxrwx 1000 1000 32 30-May-2012 11:33 .ecryptfs
lrwxrwxrwx 1000 1000 31 30-May-2012 11:33 .Private
lrwxrwxrwx 1000 1000 52 30-May-2012 11:33 README.txt
lrwxrwxrwx 1000 1000 56 30-May-2012 11:33 Access-Your-Private-Data.desktop
Может кто-нибудь объяснить, что здесь происходит? Как я могу убедиться, что этот раздел действительно зашифрован?
Вы можете загрузить live CD и попробовать практически любой инструмент для восстановления данных, например, testdisk. Когда вы запустите инструмент восстановления данных, он определит все виды файлов. Откройте любой из них, и вы увидите случайные данные.
Вы не можете. Цель шифрования - сделать достоверные данные похожими на бред, т.е. е. настолько неотличим от случайных данных, насколько это возможно.
С другой стороны, наиболее полезные данные (например, файловые системы) структурированы и не случайны. Имея это в виду, вы можете:
Попытаться сопоставить его с известными шаблонами, такими как известные форматы файлов или заголовки файловой системы. Подходящими инструментами для этого являются file(1)
(общие форматы файлов) и blkid(8)
(файловые системы и таблицы разделов).
В качестве бонуса некоторые протоколы шифрования (например, LUKS) прикрепляют заголовки к зашифрованным данным, которые распознаются ранее упомянутыми инструментами.
Выполните статистический анализ данных, чтобы увидеть, если они кажутся достаточно случайными , но это не доказательство шифрования, а лишь подсказка. Данные могут фактически быть незашифрованной записью серии случайных событий.
Вот программа на C, которую я написал некоторое время назад для этого: https://gist.github.com/davidfoerster/079b6d8c92fb702b89aa
Попробуйте несколько протоколов шифрования и ключей и попытайтесь расшифровать его. Проблема в том, что большинство распространенных протоколов не могут сообщить вам, был ли зашифрованный текст зашифрован с помощью определенного протокола и ключа.
В качестве обходного пути, используйте пункт 1, чтобы увидеть, соответствует ли расшифрованные данные известному шаблону (что не обязательно; см. Пункт 2. Некоторые протоколы шифрования (например, TrueCrypt) используют зашифрованный заголовок, поэтому инструменты могут быстро Посмотрите, если расшифровка была успешной.