Descifrar la imagen DD del iPhone [cerrado]

2

Quería recuperarme con todo o con un iPhone 4, porque ella había eliminado todos los videos de su hija.

Lo que tengo:

  • Una copia de seguridad del iPhone con iTunes sin contraseña.
  • Imagen DD de rdisks0s1 16 GB que se puede montar en Linx. Todo está ahí.
  • Una copia de todos los archivos con WinSCP sin cifrar. System.kb ... el teléfono fue desbloqueado y en modo DFU y con una versión temprana de Geckotool.
  • deviceinfos (EMF, dataVolumeUID, key835, key89A, key89A, ...)
  • Llavero descifrado

Lo que no tengo:

  • No puedo traer las ideas y devolví el teléfono, porque ella lo necesitaba.
  • Cuando intento ejecutar iphone_Dataprotection EMF_decrypt dice "Keybag locked". ¿Hay alguna manera de desbloquear el keybag sin el iPhone? En la herramienta que utilicé no estaba el comando bruteforece. Solo la posibilidad de montar el sistema de archivos en mnt1 & mnt2 y dispositivos infos.

¿Aquí hay alguien que me puede mostrar una forma de descifrar la imagen?

    
pregunta Andreas 13.09.2015 - 18:31
fuente

1 respuesta

2

Esto es realmente más difícil de lo que piensas. La protección de datos automática de un iPhone encripta cada archivo con una clave aleatoria y almacena una copia de la clave encriptada con la clave de clase apropiada (de la bolsa de claves, donde se cifra con la clave UID del teléfono y la contraseña del usuario) en el encabezado del archivo el sistema de archivos.

Al eliminar un archivo, el encabezado del archivo en el sistema de archivos se borra, por lo que la clave cifrada se pierde, logrando efectivamente un borrado criptográfico de ese archivo. Por lo tanto, algo como Photorec en la imagen del disco no te dará nada. Incluso la recuperación de las claves de clase es inútil, porque la clave de cifrado del archivo envuelto se ha perdido.

Por supuesto, para obtener una seguridad total resistente a la NSA al realizar el borrado criptográfico en la memoria flash, debe almacenar la clave en una sección de la memoria flash que no tenga exceso de aprovisionamiento o copia en escritura o cualquiera de las otras prácticas. Funciones de la capa de traducción flash que pueden filtrar datos antiguos. La clave para todo el sistema de archivos se almacena en un área tan especial, llamada Effacable Storage, pero las claves envueltas por archivo no, así que tal vez desoldar el flash y tirarlo chip por chip podría permitirle recuperar las claves envueltas. Por supuesto, aún necesitaría la clave UID del iPhone para descifrar el encabezado del sistema de archivos cifrado de forma transparente que se descifró de forma gratuita antes de desoldar los chips ...

En algún punto aquí, golpeas tu cerebro contra la pared y mueres.

(Un corolario de todo esto es que limpiar el espacio libre en un iPhone no tiene sentido, porque ya se ha borrado criptográficamente).

    
respondido por el Reid Rankin 14.09.2015 - 01:46
fuente

Lea otras preguntas en las etiquetas