Вопросы Теги

Как я могу извлечь значение хэш-функции устройства LUKS?

Эта страница должна иметь всю информацию и учебные руководства, в которых Вы нуждаетесь: http://wiki.debian.org/Packaging

1
19.11.2013, 00:43
2 ответа

Если это об универсальной информации относительно заголовка LUKS, попробовать luksDump.

# cryptsetup luksDump /dev/loop0
LUKS header information for /dev/loop0

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        256
MK digest:      67 77 17 e9 43 cf b2 e1 f3 a0 e2 0b 7a a9 fa a1 cf d8 e0 76 
MK salt:        f1 6a 09 51 55 e8 af d2 11 b2 73 1c cc ae b5 15 
                9e e9 dc 84 a5 22 aa b1 b3 0c 7c db 23 59 9a 14 
MK iterations:  77625
UUID:           ec59d9ad-39f1-4d5c-af9e-b35f34847561

Key Slot 0: ENABLED
    Iterations:             311434
    Salt:                   ed 69 d7 9d 7a 39 1a 23 3f 38 64 15 3f 38 dd 5f 
                            90 1e ea 9f 5b 9f c3 59 f3 18 49 2f 9a 3f 4e c6 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Если Вы ищете фактический ключ, когда Вы luksOpen это, dmsetup покажет его.

# dmsetup table --showkeys
luksthing: 0 209711104 crypt aes-xts-plain64 c2349e71e00186c784a1d83917778fcaacb87382ea508aa41f6324f1e2f056eb 0 7:0 4096

Это не так хеш как фактический ключ для открытия устройства. Если у Вас есть это, пароль LUKS больше не необходим:

# cryptsetup luksClose luksthing
# echo 0 209711104 crypt aes-xts-plain64 c2349e71e00186c784a1d83917778fcaacb87382ea508aa41f6324f1e2f056eb 0 7:0 4096 \
| dmsetup create luksthing
# file -s -L /dev/mapper/luksthing
/dev/mapper/luksthing: Linux rev 1.0 ext2 filesystem data, UUID=34fadafe-31cf-467d-84c0-c2d50bbcfcde (large files)

Который является, почему Вы имеете к reinstall/re-encrypt, если Ваша система когда-либо поставлена под угрозу. У них есть Ваши ключи шифрования, независимо какой Ваш пароль (пароли) LUKS.

4
27.01.2020, 23:21
  • 1
    Спасибо специально для интересного момента о получении ключа, я не знал это, но это не то, что я хочу, я ищу хеш. –  student 15.11.2013, 23:46
  • 2
    Необходимо разъясниться в вопросе затем, что точно это - Вы, подразумевают под хешем. –  frostschutz 15.11.2013, 23:57
  • 3
    Ваша реакция указывает, что мое текущее понимание того, как LUKS работает, является неправильным. Я отправлю другой вопрос об этом и свяжу его здесь. –  student 16.11.2013, 10:48
  • 4
    См.: unix.stackexchange.com/questions/101398 / … –  student 16.11.2013, 11:13
  • 5
    Хороший ответ, +1. Но я полагаю, что исходный вопрос в OP все еще стоит, если переведено в этих терминах: где (одни или несколько) копии зашифрованного сохраненного главного ключа? Бумага TKS1, упомянутая Gilles в последующем вопросе, довольно прозрачна, что зашифрованный главный ключ получен от хранения ключей, затем дешифровал посредством ключа шифрования, полученного через PBKDF2 и состояния несколько раз, это расположено на диске (кроме того, где еще это могло быть)? Я также предполагаю, что это скрыто, но Вы, оказывается, знаете как и где? –  MariusMatutiae 11.04.2016, 19:35

Вы не можете извлечь значение хэш-функции, потому что это не там.

Когда пользователь входит в систему, операционная система должна иметь ссылочную копию его пароля для сравнения с паролем, который вводит пользователь. Это - то, что хранится в /etc/shadow. Если введенный пароль идентичен ссылочному паролю, аутентификация успешно выполняется. Для создания восстановления пароля трудным система не хранит пароль, но хеш его (медленный, соленый хеш для предпринятия попыток грубой силы предположить более трудный пароль).

Шифрование работает по-другому. Цель состоит в том, чтобы защитить от взломщика, у которого есть доступ к устройству хранения данных, таким образом, не должно быть возможно извлечь ключ шифрования из того, что хранится на одном только устройстве. Следовательно ключ не хранится на устройстве, но создается из информации, хранившей на устройстве, объединенном с информацией, предоставленной пользователем. Как правило, ключ сгенерирован от соли, сохраненной на устройстве, объединенном с паролем, предоставленным пользователем. Снова, для замедления попыток грубой силы процесс для объединения тех значений должен быть медленным, и процесс использует значение для каждого устройства (соль) в дополнение к паролю пользователя так, чтобы использование того же пароля не приводило к тому же ключу. То, что Вы имеете на устройстве, является в основном только солью, чтобы быть объединенным с паролем для генерации ключа.

0
27.01.2020, 23:21

Теги

Похожие вопросы