Que informações devo guardar preventivamente para poder recuperar dados criptografados?

1

Todas as postagens que posso encontrar sobre a recuperação de dados criptografados referem-se a situações específicas. Atualmente tenho partições e diretórios funcionando, mas gostaria de maximizar minhas chances de recuperar dados se algo der errado (além de minhas cópias de segurança). Quais informações (como chaves, senhas, configurações, etc.) devo manter no armazenamento frio, considerando a seguinte configuração?

O Ubuntu root está instalado em uma unidade criptografada pelo LUKS. Eu tenho um segundo HDD que também é criptografado pelo LUKS e é configurado para ser montado automaticamente no login. Além disso, meu diretório inicial é montado com ecryptfs.

Eu sei que para o ecryptfs eu deveria estar armazenando a saída do ecryptfs-unwrap-passphrase, mas o que deve ser feito para cada uma das partições do LUKS? Lembro-me vagamente de que há alguma outra frase secreta que deve ser armazenada caso as informações específicas do cabeçalho da partição estejam corrompidas.

Obrigado pela sua ajuda. Como um aparte, se alguém estiver interessado no armazenamento a frio, planejo simplesmente criar códigos QR de nível H (correção de alto erro) para imprimir em papel juntamente com os dados reais como texto.

    
por Arran Schlosberg 15.03.2015 / 01:10

2 respostas

1

Para LUKS, os únicos dados críticos para a descriptografia são o cabeçalho LUKS. O backup do cabeçalho pode ser feito em um arquivo com cryptsetup luksHeaderBackup e restaurado com cryptsetup luksHeaderRestore . Veja man cryptsetup :

luksHeaderBackup <device> --header-backup-file <file>
     

Armazena um backup binário do cabeçalho LUKS e da área de slot de teclas.

     

Nota: O uso de '-' como nome do arquivo grava o backup do cabeçalho em um arquivo chamado '-'.

     

AVISO: Este arquivo de backup e uma senha válida no momento do backup permite a descriptografia da área de dados do LUKS.                 mesmo que a frase secreta tenha sido posteriormente alterada ou removida do dispositivo LUKS. Observe também que com um backup de cabeçalho você                 Perder a capacidade de limpar com segurança o dispositivo LUKS apenas sobrescrevendo o cabeçalho e os slots de teclas. Você precisa                 Apague com segurança todos os backups de cabeçalho ou substitua também a área de dados criptografados. A segunda opção é                 menos seguro, como alguns setores podem sobreviver, por exemplo devido ao gerenciamento de defeitos.

luksHeaderRestore <device> --header-backup-file <file>
     

Restaura um backup binário do cabeçalho do LUKS e da área do intervalo de chaves do arquivo especificado.

     

Nota: O uso de '-' como nome do arquivo lê o backup do cabeçalho de um arquivo chamado '-'.

     

AVISO: O cabeçalho e os slots de teclas serão substituídos; somente as senhas do backup funcionarão posteriormente.

     

Este comando requer que o tamanho da chave mestra e o deslocamento de dados do cabeçalho LUKS já estejam no dispositivo e no                 correspondência de backup do cabeçalho. Como alternativa, se não houver um cabeçalho LUKS no dispositivo, o backup também será gravado em                 isso.

    
por Vincent Yu 09.07.2015 / 08:22
2

Execute o ecryptfs-unwrap-passphrase na tela do terminal e anote a saída para recuperação de desastres.

  1. digite ecryptfs-unwrap-passphrase na tela do terminal
  2. ele será solicitado com "Passphrase:", ele deseja sua senha de login do usuário
  3. A saída será semelhante a este exemplo "1b6acbada5e3a61ebe324a4745e61ba8"  a saída de 32 caracteres é a sua "frase-senha" que você precisa anotar e armazenar  em um lugar seguro.

Para recuperar seus dados no futuro, siga este guia.

link

    
por John 02.04.2015 / 18:39