Este artigo mostra-me como ver se o Ubuntu criptografou o swap. O que eu gostaria de saber é como posso determinar que a troca (ou qualquer outra partição) é realmente criptografada. O que eu gostaria de ver é que algum utilitário de disco tente ler o conteúdo criptografado, mostrando-me ininteligível, mas depois de inserir a senha correta, ele mostra os arquivos como esperado.
Isso seria difícil para o swap, já que o crypttab usa uma chave aleatória, mas eu deveria / deveria ser capaz de ver o texto sem sentido que indica que ele está criptografado.
EDIT: Estou adicionando a saída do testdisk. Eu não sei o que procurar aqui.
Disk /dev/sda - 500 GB / 465 GiB - ST3500413AS
Disk /dev/mapper/cryptswap1 - 4008 MB / 3823 MiB
Disk /dev/mapper/vg_doulos-home - 453 GB / 422 GiB - ST3500413AS
Disk /dev/mapper/vg_doulos-root - 39 GB / 37 GiB - ST3500413AS
Disk /dev/mapper/vg_doulos-tmp - 1996 MB / 1904 MiB - ST3500413AS
Disk /dev/sr0 - 735 MB / 701 MiB (RO) - hp DVD D DH16D6SH
Disk /dev/dm-0 - 39 GB / 37 GiB - ST3500413AS
Disk /dev/dm-1 - 1996 MB / 1904 MiB - ST3500413AS
Disk /dev/dm-2 - 453 GB / 422 GiB - ST3500413AS
Disk /dev/dm-3 - 4008 MB / 3823 MiB
Neste ponto, o que devo selecionar para verificar? Por exemplo, selecionei /dev/mapper/vg_doulos_home . Então eu recebo uma tela assim:
Please select the partition table type, press Enter when done.
[Intel ] Intel/PC partition
[EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
[Humax ] Humax partition table
[Mac ] Apple partition map
>[None ] Non partitioned media
[Sun ] Sun Solaris partition
[XBox ] XBox partition
[Return ] Return to disk selection
Eu automaticamente seleciono Non partitioned media porque esse é o padrão aqui. Eu listo os arquivos aqui:
P ext4 0 885940223 885940224
Directory /
>drwxr-xr-x 0 0 4096 30-May-2012 11:33 .
drwxr-xr-x 0 0 4096 30-May-2012 11:33 ..
drwx------ 0 0 16384 30-May-2012 11:03 lost+found
dr-x------ 1000 1000 4096 30-May-2012 11:33 averyc
drwxr-xr-x 0 0 4096 30-May-2012 11:33 .ecryptfs
Ainda consigo pesquisar no diretório home averyc onde encontro esse layout de diretório, mas não consigo copiar nenhum dos arquivos:
P ext4 0 885940223 885940224 Diretório / averyc
>dr-x------ 1000 1000 4096 30-May-2012 11:33 .
drwxr-xr-x 0 0 4096 30-May-2012 11:33 ..
lrwxrwxrwx 1000 1000 32 30-May-2012 11:33 .ecryptfs
lrwxrwxrwx 1000 1000 31 30-May-2012 11:33 .Private
lrwxrwxrwx 1000 1000 52 30-May-2012 11:33 README.txt
lrwxrwxrwx 1000 1000 56 30-May-2012 11:33 Access-Your-Private-Data.desktop
Alguém pode explicar o que está acontecendo aqui? Como posso verificar se esta partição está realmente criptografada?
Você pode inicializar um CD ao vivo e experimentar quase todas as ferramentas de recuperação de dados, como o testdisk. Quando você executa a ferramenta de recuperação de dados, ela identifica todos os tipos de arquivos. Abra qualquer um deles e você verá dados aleatórios.
Você não pode. O objetivo da criptografia é fazer com que os dados válidos pareçam ininteligíveis, i. e. indistinguíveis de dados aleatórios quanto possível.
Por outro lado, os dados mais úteis (por exemplo, sistemas de arquivos) são estruturados e não aleatórios. Com isso em mente, você pode:
Tente combiná-lo com padrões conhecidos, como formatos de arquivo conhecidos ou cabeçalhos de sistemas de arquivos. Ferramentas adequadas para isso são file(1) (formatos gerais de arquivo) e blkid(8) (sistemas de arquivos e tabelas de partições).
Como bônus, alguns protocolos de criptografia (por exemplo, LUKS) anexam cabeçalhos aos dados criptografados, que as ferramentas mencionadas anteriormente reconhecem.
Faça uma análise estatística dos dados para ver, se ele aparecer aleatório o suficiente , mas isso não é prova de criptografia, apenas uma dica. Os dados podem, na verdade, ser um registro não criptografado de uma série de eventos aleatórios.
Aqui está um programa em C, que escrevi há um tempo atrás, para fazer isso: link
Experimente vários protocolos e chaves de criptografia e tente decifrá-lo. O problema é que os protocolos mais comuns são incapazes de dizer se o texto cifrado foi criptografado com um protocolo e chave específicos.
Como solução alternativa, use o ponto 1 para ver se os dados descriptografados correspondem a um padrão conhecido (o que não é necessário; consulte o ponto 2. Alguns protocolos de criptografia (por exemplo, TrueCrypt) usam um cabeçalho criptografado para que as ferramentas possam veja, se uma decifração foi bem sucedida.
Tags encryption testdisk