Cryptsetup-Partition beschädigt oder Passwort vergessen

Dieses Thema im Forum "Security Talk" wurde erstellt von SiS, 17.12.2010.

  1. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Huhu,

    so mir ist jetzt mal was dummes passiert...
    Also ich habe eine mit cryptsetup verschlüsselte LVM Partition auf meinem Homeserver.
    So jetzt scheint der Server heute nacht abgestürzt zu sein (letzte Meldungen im Syslog waren irgendwann um 5uhr, aber nichts was auf einen Absturz hindeutet).
    Jedenfalls reagierte der Gute heute morgen nicht mehr (kein Ping/Netzerk, keine Reaktion auf Tastatur Eingaben). Der Container könnte hier also schon beschädigt worden sein. Also Reset gedrückt und alles lief wieder an bis auf eine Ausnahme:

    Meine verschlüsselte Cryptsetup Partition lässt sich nicht mehr mounten :(
    Der Key wird einfach nicht angenommen, so als ob er falsch wäre...

    Ich hatte mir den Schlüssel aufgeschrieben, bin mir aber nicht mehr sicher ob der 100% richtig ist.

    Gibt es überhaupt eine Möglichkeit festzustellen ob der Container ok oder beschädigt ist?

    Wenn nicht bzw. wenn er ok ist muss ich wohl davon ausgehen, dass irgendwo in dem Schlüssel den ich noch kenne ein Fehler ist. Meine Vorgehensweise wäre jetzt per Wordlist diverse Abwandlungen vom Key durchzuprobieren (Script dazu hab ich schon gefunden).
    Ich weiß nur gerade nicht wie ich am einfachsten eine solche Liste generiere. Die mir bekannten Wordlist-Generatoren können nur vollständige Permutation, womit ich aber bei der Schlüssellänge von 20 Zeichen ewig brauchen würde.

    Da ich davon ausgehe, dass nur ein einziger Fehler im Schlüssel vorliegt, wäre es gut wenn auch nur solche Schlüssel generiert würden.


    Hat irgendjemand Lösungsvorschläge?


    Ahja um Nachfragen zu vermeiden: Ja der Container gehört wirklich mir. Und ja es war dumm kein Backup anzulegen (wobei ich mir die Daten theoretisch alle wieder besorgen kann, unwiderbringliche Daten sichere ich natürlich)


    Danke schonmal im Vorraus,
    Chris.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Pik-9

    Pik-9 Tripel-As

    Dabei seit:
    04.12.2008
    Beiträge:
    168
    Zustimmungen:
    0
    Moin,

    das hast du wahrscheinlich schon gemacht, aber versuch doch mal
    Code:
    cryptsetup luksDump <Device>
    
    und guck dann, ob da irgendwas komisches steht.
    Sonst könntest du dir einfach ein kleines Programm schreiben, welches dir die möglichen Schlüssel generiert, die du (oder ein bash-script) dann ausprobierst. Das kann natürlich nur funktionieren, wenn wirklich nur ein Zeichen abweicht, sonst dürfte das wohl ziemlich lange dauern! ;)
     
  4. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Also die Ausgabe von luksDump sieht jedenfalls meiner Meinung nach ok aus:
    Code:
    
    root@phobos ~ # cryptsetup luksDump /dev/mapper/vg-crypt
    LUKS header information for /dev/mapper/vg-crypt
    
    Version:        1
    Cipher name:    aes
    Cipher mode:    xts-plain
    Hash spec:      sha1
    Payload offset: 4040
    MK bits:        512
    MK digest:      10 12 83 44 2e 9f 7f 43 b7 c6 37 90 28 6f c9 af 8b 46 28 0a 
    MK salt:        42 31 21 c3 da 2f 42 ba 87 27 a3 c8 65 91 cf 65 
                    1b 95 5b bc 41 31 e0 c3 0d 01 9c a8 9a 14 78 95 
    MK iterations:  10
    UUID:           7c3018db-86d0-4556-8d6f-b6af20f4add4
    
    Ich bin mir nicht sicher...kann man daraus jetzt schon ableiten ob die Partition unbeschädigt ist, bzw. sich mit cryptsetup öffnen lassen müsste?
     
  5. #4 gropiuskalle, 17.12.2010
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Ich kenne mich mit LUKS nicht besonders gut aus, aber bei Deiner Ausgabe fehlen die Angaben zu den "Key Slots".
     
  6. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Ups, hast recht. Hier die vollständige Ausgabe:
    Code:
    root@phobos /home/chris # cryptsetup luksDump /dev/mapper/vg-crypt
    LUKS header information for /dev/mapper/vg-crypt
    
    Version:        1
    Cipher name:    aes
    Cipher mode:    xts-plain
    Hash spec:      sha1
    Payload offset: 4040
    MK bits:        512
    MK digest:      10 12 83 44 2e 9f 7f 43 b7 c6 37 90 28 6f c9 af 8b 46 28 0a 
    MK salt:        42 31 21 c3 da 2f 42 ba 87 27 a3 c8 65 91 cf 65 
                    1b 95 5b bc 41 31 e0 c3 0d 01 9c a8 9a 14 78 95 
    MK iterations:  10
    UUID:           7c3018db-86d0-4556-8d6f-b6af20f4add4
    
    Key Slot 0: ENABLED
            Iterations:             222258
            Salt:                   48 49 1f 62 00 0f 58 13 fc 83 17 d6 58 fc 93 a8 
                                    e3 ea c3 b3 ee f4 3b 42 32 a0 60 ac 8c 64 d3 4e 
            Key material offset:    8
            AF stripes:             4000
    Key Slot 1: DISABLED
    Key Slot 2: DISABLED
    Key Slot 3: DISABLED
    Key Slot 4: DISABLED
    Key Slot 5: DISABLED
    Key Slot 6: DISABLED
    Key Slot 7: DISABLED
    
    Warum ist Slot0 eigentlich ENABLED? Eigentlich hab ich nichts gemountet....
     
  7. Gast1

    Gast1 Guest

    Und was hat das Eine jetzt mit dem Anderen zu tun?

    Ich meine, Du kannst diesen einzigen Keyslot auch gerne "DISABLEN", hätte den Vorteil, daß Du Dir dann absolut keine Sorgen mehr machen musst, wie Du Deine Daten vielleicht wieder herstellen könntest.

    :-)

    Ernsthaft, diese Ausgabe sagt nichts anderes, als daß es zumindest laut Ausgabe überhaupt einen Slot mit zugehörige Key gibt, nicht mehr und nicht weniger.

    BTW:

    Nur einen Slot zu verwenden ist nicht gerade clever, weil wenn man dieses eine Keyfile verliert bzw. dieses eine Passwort vergisst, dann .. ... ach warte, das hast Du ja auch schon gemerkt.

    :-)
     
  8. SiS

    SiS Routinier

    Dabei seit:
    12.02.2007
    Beiträge:
    318
    Zustimmungen:
    0
    Ah ok, ich dachte erst mit der Ausgabe wär was anderes gemeint...jetzt hab ichs verstanden :D

    Hmm gut ich schätze mal ich werd mich mit dem Verlust der Daten abfinden müssen und mich dran machen die Daten anders wieder zu beschaffen...große Teile davon müssten wohl auch noch bei Freunden "gemirrored" sein. Und beim nächsten mal pass ich besser auf. Das war jetzt mein erster Datenverlust überhaupt soweit ich mich erinnere...ich schätze mal daraus lernt man :)
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. myth88

    myth88 Haudegen

    Dabei seit:
    02.06.2007
    Beiträge:
    604
    Zustimmungen:
    0
    Ort:
    Italien
    Lernen tut man dabei sicher...so wie ich damals, als mir eine Platte abrauchte...

    Externe 1TB Platten kosten ja nicht mehr so viel ;)
     
  11. Gast1

    Gast1 Guest

    Dann hier vielleicht noch ein paar kleine Tipps, wie man es beim nächsten Mal besser machen könnte, vor allem auch für Querleser, die in Zukunft über diesen FRED stolpern.

    Deshalb auch das Ganze etwas ausführlicher und ab und zu vielleicht etwas übertrieben auf "Idiotensicherheit" im Sinne von Aussagen mehrfach wiederholen getrimmt, auch wenn mir klar ist, daß es keine idiotensicheren Anleitungen gibt.

    Das erstmal vorweg, nur damit sich hier niemand zu unrecht auf den Schlips getreten fühlt.

    Ein verschlüsseltes Dateisystem, egal ob Container oder Partition oder LVM-Volume, würde ich NIE mit nur einer Möglichkeit zur Entschlüsselung versehen, man sollte immer einen zweiten Weg haben.

    Das müssen nicht unbedingt zwei sichere (sic!) Passphrasen sein, denn es ist meist schon schwer genug sich eine zu merken, das ist mir schon klar und auf den Weg ein sicheres und als "Notnagel" ein komplett unsicheres Passwort einbauen kommt hoffentlich auch niemand, das wäre schlichtweg dämlich.

    Die meisten mir bekannten Verschlüsselungsmethoden, oder genauer zumindest die, die man verwenden sollte, erlauben die Verwendung von Keyfiles.

    Diese Keyfiles kann man dann wiederum (ggf. in mehrfacher Ausführung) auf diversen Medien _ebenfalls verschlüsselt_ (Tarball + GPG bieten sich an) ablegen und hat so immer einen Fallback für Notfälle.

    Auch wenn ich das oben fett markiert habe, noch einmal zum Mitmeisseln (besonders für Querleser):

    Keyfiles sind eine gute Sache, aber NIE auf einem unverschlüsselten Medium unverschlüsselt abspeichern.

    NIE!

    Wenn natürlich das Kryptomedium selbst im Eimer ist (wie hier möglicherweise der Fall), dann nutzt das alles nichts, hier hilft nur das gute, alte Backup.

    Bei Kryptocontainern sollte man natürlich den verschlüsselten Container als solches sichern, hier reicht übrigens ein normales Image mit dd, Komprimieren&Co. kann man sich sparen, denn sichere Container lassen sich deshalb kaum/gar nicht komprimieren, weil sie "von aussen" wie komplett zufälliger Datensalat aussehen.

    Noch etwas zum Problem des TE, was mir gerade einfällt.

    Aus den bisherigen Angaben kann man übrigens nicht darauf schliessen, daß der verschlüsselte Container hin ist, das Problem _könnte_ auch an "einer Schicht drüber" liegen (LVM), auch wenn es eher unwahrscheinlich ist.

    Allgemein sollte man sich bei Verschlüsselung auch überlegen, ob man wirklich LVM nutzen will, denn das Ganze muss dann durch eine weitere Abstraktionsschicht hindurch, ob/wie stark das die Performance beeinträchtigt (Verschlüsselung selbst tut das natürlich immer und auch merklich, LVM fällt sicher weniger ins Gewicht) ist dabei nicht der Grund, warum ich das anspreche, auch nicht, weil ich "LVM nicht leiden kann" oder andere unsinnige Gedanken, die der geneigte Leser nun haben mag.

    Greetz,

    RM
     
Thema: Cryptsetup-Partition beschädigt oder Passwort vergessen
Besucher kamen mit folgenden Suchen
  1. ubuntu crypt akzeptiert passwort nicht mehr

Die Seite wird geladen...

Cryptsetup-Partition beschädigt oder Passwort vergessen - Ähnliche Themen

  1. Filesystem von Truecrypt-Container beschädigt !?

    Filesystem von Truecrypt-Container beschädigt !?: Ich habe auf einer externen Festplatte (NTFS) einen 450 GB Truecryptcontainer. Der TC-Container ist ext3 (es ist schon etwas länger her das ich...
  2. Haupteinhängpunkt beschädigt - Rettung möglich?

    Haupteinhängpunkt beschädigt - Rettung möglich?: Hauptpartition beschädigt - Rettung möglich? Hallo alle zusammen, als ich heute Abend in mein Mandrake 10.1 booten wollte, wie ich es immer...
  3. beschädigta mysql-tabellen

    beschädigta mysql-tabellen: hi jungs und mädels! ich hab das problem das von zeit zur zeit meine mysqltabelle(n) beschädigt sind. genauer gesagt sind die .myi dateien hin...
  4. files nach dem ftp transfer von SUSE zu Mickysoft sind beschädigt

    files nach dem ftp transfer von SUSE zu Mickysoft sind beschädigt: hi habe enormes problem. ich möchte CSV text files via perl script automatisch von SUSE 9.1 zu Mickysoft FTP Service (Version 5.0) per ftp...