Löschen Sie die luks-Partition im Pre-Boot

943
Matt Clark

Ich habe eine Maschine, auf der CentOS7 ausgeführt wird, deren primäre Partition über crypt-setup / luks verschlüsselt ist. Ich werde beim Booten zur Eingabe meines Verschlüsselungskennworts aufgefordert.

Dies ist eine Maschine, die einer anderen Partei übergeben werden soll - meine Frage ist

Wie kann ich die verschlüsselte Partition verschlüsseln, wenn kein bootfähiger USB erforderlich ist?

Ich hatte gehofft / davon ausgegangen, dass das Verschlüsselungskennwort mehrere Male ausfällt, um eine Verwirrung auszulösen, aber es scheint nur so, als würde es bis zu einem Neustart keine Kennwörter mehr akzeptieren.

0
Für die Aufzeichnung müssen Sie dieses "Pre-Boot" nicht durchführen. Die Festplatte kann vom Haupt-Betriebssystem aus einwandfrei beschrieben werden. grawity vor 7 Jahren 0

2 Antworten auf die Frage

2
Deltik

Das ist einfach zu machen:

sudo cryptsetup luksErase /dev/sdXY 

Ersetzen Sie /dev/sdXYdurch die verschlüsselte Partition.

Sie erhalten eine Eingabeaufforderung, die folgendermaßen aussieht:

deltik@node51 [~]$ sudo cryptsetup luksErase /dev/sda1  WARNING! ======== This operation will erase all keyslots on device /dev/sda1. Device will become unusable after this operation.  Are you sure? (Type uppercase yes): 

Geben Sie " YES" ein und drücken Sie Enter. Ihr Computer wird weiter ausgeführt, aber nach dem Neustart können Sie nie mehr auf die Daten zugreifen.


Sie können dasselbe Ziel auf andere Weise erreichen, ohne dass Sie dazu aufgefordert werden, indem Sie diesen Befehl ausführen:

sudo dd if=/dev/zero of=/dev/sdXY bs=1M count=2 

Dadurch werden die ersten zwei Megabytes der Partition überschrieben /dev/sdXY, die den gesamten LUKS-Verschlüsselungsheader abdecken sollen.

Ich kann dies _safely_ tun, wenn der Rechner hochgefahren ist, und ich arbeite von der zu löschenden Festplatte? Ich hatte an 'dd' gedacht, ging aber davon aus, dass die Maschine abstürzen würde, bevor die Operation abgeschlossen war. Matt Clark vor 7 Jahren 0
@MattClark: Das Betriebssystem muss nur den LUKS-Header von der Festplatte _once_ lesen - nicht jede Sekunde. Durch das Abwischen des Headers kann die Festplatte zukünftig nicht mehr entsperrt werden. grawity vor 7 Jahren 0
Okay, gotcha, mir wurde klar, dass dies nicht wirklich das Gerät _scramble_ macht, sondern den Schlüssel verschlüsselt. Matt Clark vor 7 Jahren 0
0
Laura

Um etwas (Festplatte, Partition, Datei) zu löschen, ist dies ein guter Befehl zum Starten:

dd if=/dev/random of=<TheFullPath> bs=1M 

Führen Sie es von einer beliebigen LiveCD in der Konsole aus aus. Achten Sie jedoch darauf, was Sie tun. Stellen Sie insbesondere sicher, dass der Pfad der richtige ist.

Wenn Daten jedoch nicht wiederherstellbar sein sollen, benötigen Sie komplexere Techniken. Wenn die Festplatte intern neu erstellt wird, um ihre Live-Ansicht zu vergrößern, und Sie versuchen, eine Datei und nicht eine vollständige Partition oder Festplatte zu löschen.

Am schlimmsten ist, dass die Festplatten in Laboren gescannt werden können und viele letzte Zustände der dort vorhandenen Daten erhalten können. Für Magnetplatten liegt der Rekord bei rund 500 Zuständen, bei Festkörperplatten bei etwa 100 letzten Zuständen.

Um sicher zu gehen, dass Sie die "Daten" wirklich "zerstören", müssen Sie den Vorgang mindestens 500 Mal auf magnetischen Medien oder mehr als 100 Mal auf Festkörpermedien durchführen. Warnung: Das macht das Leben sehr kurz.

Wenn Sie die Daten noch nie im Klartext hatten (nicht verschlüsselt), könnten Sie denken, Sie wären sicher nicht so viele Wischvorgänge auszuführen, Sie sind falsch, die nicht verschlüsselten Daten werden nicht gelesen, aber verschlüsselte Daten können abgerufen werden, auch die LUKs-Header, die Sie gelöscht haben, es ist also nur die Zeit und Mühe, diese Verschlüsselung zu brechen.

Wenn Sie also mehr als 500 Tücher nur auf LUKs-Header ausführen, werde ich mich auf der sicheren Leitung befinden, falsch, die verschlüsselten Daten sind immer noch wiederherstellbar und das Testen mit allen möglichen LUKs-Headern (viel Arbeit) kann jeden testen Wie schon im vorigen Absatz ist es wiederum nur eine Frage der Zeit.

Um zu 100% sicherzustellen, dass Daten nicht verfügbar gemacht werden, müssen Sie folgendermaßen denken:

  • Angreifer haben unendliche Rechenleistung und unendlich viel Geld

Der einzige Weg, um Dinge wie "100% sicher" zu tun, ist nur:

  • Konvertieren Sie die gesamte Festplatte in GAS, so dass keine Daten wiederhergestellt werden können

Es gibt keine andere Möglichkeit, zu 100% sicher zu sein, egal was andere sagen: Wenn die Festplatte nicht verflüchtigt ist, können Daten in der Zukunft wiederhergestellt werden.

Man denke nur, vor einigen Jahren war der Rekord der letzten Staaten nur noch unter zehn, jetzt ist er bei Festkörper um 100 angestiegen, bei magnetisch um 500; Welches Niveau wird in Millionen Jahren sein!

Wenn Sie nur die Diskette wiederverwenden müssen (Sie verkaufen die Diskette nicht), müssen Sie sich nicht so viele Sorgen machen. Wischen Sie einfach die Kopfzeilen von LUK ab.

Extra: Auf den meisten modernen Datenträgern (seit etwa zehn Jahren) haben sie einen reservierten Bereich, den sie verwenden, wenn ein Sektor des Datenträgers nicht ordnungsgemäß funktioniert (normalerweise wird dies in SMART-Daten angezeigt). Wenn dies geschieht, kann es vorkommen, dass ein solcher Sektor noch lesbar, aber nicht schreibbar ist. Wischen Sie also ab, dass ein Sektor nicht möglich ist.

Meine beste Regelwirkung ist, wenn ich eine Platte für "gesicherte" Daten verwenden möchte:

  1. Einen neuen kaufen (aus erster Hand oder aus zweiter Hand)
  2. Kurz gesagt, es ist ein Leben mit tausend Tüchern
  3. Verschlüsseln Sie es (hat immer noch keine Daten) und füllen Sie es mit Müll, damit der Müll verschlüsselt wird
  4. Kennzeichnen Sie es mit einem Aufkleber "gesichert"
  5. Löschen Sie diesen Müll und verwenden Sie ihn
  6. Wenn ich es nicht verwenden möchte (nach einiger Zeit, nach dem ich denke, dass es nach 2000 Wischtüchern fehlschlagen kann), werde ich es durch einige Schritte los
  7. Klone alles auf ein anderes "gesichertes", das ich durch diese Schritte erstellt habe
  8. Kurz gesagt, es ist ein Ende, bis ein unendlicher Wischvorgang beendet ist
  9. Gehen Sie zurück zu Schritt 1, damit der neue als Schicksal für den nächsten Schritt 7 verwendet wird

Es ist irgendwie ein bisschen paranoid, aber Sie wollten etwas abwischen.

Nun, zum anderen Teil, wischen Sie nur LUKS-Header ab, wie Sie sich vorstellen können, und wie ich Ihnen bereits sagte, reicht es nicht aus, andere zu vermeiden (mit unendlich viel Zeit, Geld und Ressourcen), um solche Daten zu erhalten, wenn Sie ihnen die Hand geben . Wischen Sie besser alle ab, wenn Sie diese Diskette nicht mehr haben.

Was den letzten Teil der Zeit vor dem Booten angeht, kenne ich kein Werkzeug, das auf dieser Bühne ausgeführt werden kann, und lösche solche Schritte. Ich denke, es wäre niemand, weil:

  • Pre-Boot-Code läuft im 16-Bit-Modus und kann auch in den 32-Bit-Modus wechseln, jedoch nicht in den 64/128-Bit-Modus (tatsächlich gibt es sehr wenig 128-Bit-Prozessoren, die meisten sind nur Prototypen), so dass er viel langsamer läuft Da Sie zufällige Berechnungen oder Muster ausführen müssen, wird die CPU stark beansprucht

Eine andere Sache ist das Booten von einer kleinen Linux-Distribution oder einem alten MS-DOS. Für sie gibt es Tools, die gelöscht werden können. Linux-DD ist langsam aber ausreichend.

Und für den Fall, dass Ihre Frage einen nicht so guten Titel hat, denke ich, dass Sie wirklich fragen könnten:

  • Wie kann ich Linux auf einem LUKs ausführen, das nicht möglich ist, solche LUKs erneut zu mounten?

Für diese gibt es zwei Lösungen:

  • Sie möchten in der Lage sein, diese LUKs erneut bereitzustellen, aber nur Sie und sonst niemand: Speichern Sie die LUK-Header nicht auf einem solchen Datenträger, sondern speichern Sie sie auf externen Medien, die Sie in Ihrer Tasche tragen
  • Sie möchten, dass niemand in der Lage ist, diese LUKs erneut einzubinden, einschließlich sich selbst: Löschen Sie die LUKs (wenn Linux dies für ein laufendes System zulässt, bezweifle ich es) oder löschen Sie die Linux-Header mit dd

Ich hoffe, ich könnte Ihnen und anderen bei diesen Sicherheitsfragen helfen.

Anmerkung: Ich verstehe nicht, warum Menschen nicht von echten Experten über Sicherheit unterrichtet werden (ich lerne alles, was ich weiß, die schlimmste harte Tour!) Und warum es nicht in der Grundschule unterrichtet wird.

PD: In einigen sehr spezialisierten Läden gibt es Festplatten mit Hardwareverschlüsselung, die Sprengstoffe enthalten, die die Festplatte buchstäblich sprengen, falls N aufeinanderfolgend ausfallen, und falls die Festplatte geöffnet, auf niedrigem Niveau usw. gelesen wird, wirklich nicht billig teuer und man braucht eine Autorisierung, um sie zu befördern, auf Flügen müssen sie auf einen speziellen Container gehen, usw. Ich habe vor einiger Zeit einen von ihnen benutzt, aber ich habe gelernt, was solche Sprengstoffe bedeuten ... Der Computer war total zerstört und der Tisch wo ich es hatte, hat ein tolles Loch, also hüte dich vor dem, was du kaufst und wie du es verwendest (lass die Familie es nicht einmal anfassen, usw.), für den persönlichen Gebrauch ist es zu riskant.