[Gelöst] Frage zur Sicherheit von dm-crypt

ixo · Guru Joined: 09 Jul 2005 Posts: 375

Hallo,

weiß jemand, ob es für root die Möglichkeit gibt, den Master-Key einer mit dm-crypt verschlüsselten Partition (im Klartext) auszulesen, wenn er *nicht* im Besitz einer Passphrase ist?
Da die Verschlüsselung / Entschlüsselung ja im laufenden Betrieb erfolgt, müsste der Master-Key irgendwo im RAM vorliegen - oder gibt es da Tricks, mit denen der Zugriff verhindert / extrem erschwert wird?

Könnte also z.B. jemand, der als root eingeloggt ist und dadurch (nicht-gewollten) Zugriff auf den Master-Key einer gerade verwendeten externen Platte hat, diese später entwenden / low-level kopieren und dann problemlos entschlüsseln?

Grüße, ixo

papahuhn · l33t Joined: 06 Sep 2004 Posts: 626

Ist möglich, wenn es /dev/mem auf dem System gibt und root sich davon einen Memory-Dump zieht. Für Windows gibts z.B. das Tool hier [1], natürlich nur für Plattenverschlüsselungstools die unter Windows laufen.

[1] http://www.spgedwards.com/2012/12/popular-disk-encryption-systems-cracked.html
_________________
Death by snoo-snoo!

ixo · Guru Joined: 09 Jul 2005 Posts: 375

Hi,

gerade gefunden: das Papier hier
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.87.7761&rep=rep1&type=pdf
geht auch von einem Memory Dump aus.

Gibt's noch andere Erkenntnisse? Was ist mit online Tools? (Das wäre noch übler, so ein Dump könnte auffallen und das Abtransportieren der Daten erfordert einiges an Bandbreite.)

Grüße, ixo

papahuhn · l33t Joined: 06 Sep 2004 Posts: 626

Hehe, gerade so ein Online-Tool gefunden

http://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions # How do I recover the master key from a mapped LUKS container?
_________________
Death by snoo-snoo!

ixo · Guru Joined: 09 Jul 2005 Posts: 375

So etwas ähnliches hatte ich auch gerade gefunden. Mit