¿qué contiene el encabezado LUKS?

13

¿Qué contiene el encabezado LUKS? Lo sé, el encabezado tiene un tamaño de 2MB. Además, cryptsetup admite el "encabezado separado", donde el encabezado se puede almacenar en un archivo separado.

Por lo tanto, por ejemplo, puedo formatear el dispositivo luks y especificar el encabezado separado en un archivo separado:

dd if=/dev/zero of=LUKS-HEADER bs=1M count=2
cryptsetup luksFormat /dev/sdb1 --header LUKS-HEADER --align-payload=0

IIUC, esta operación de formato solo se escribe en el encabezado. La partición del disco no está modificada (verifiqué con md5sum). Entonces, ¿por qué cryptsetyp luksFormat requiere la especificación del dispositivo (/ dev / sdb1)?

¿Puedo compartir un encabezado para múltiples dispositivos luks?

ACTUALIZAR

después de una investigación adicional, me parece que el primer 4096 B del encabezado contiene la información del encabezado, que se imprime con cryptsetup luksDump .

Lo que está almacenado en la parte restante del archivo de 2MB es un misterio para mí. Parece que se ha sobrescrito con datos aleatorios (inicialmente los llené con ceros, por lo que puedo ver la diferencia). Además, el archivo de 2MB es absolutamente incompresible. Indicación adicional de datos aleatorios / encriptados.

¿Alguien puede explicar con autoridad qué contiene el encabezado LUKS de 2 MB?

    
pregunta Martin Vegter 29.12.2015 - 15:39
fuente

3 respuestas

9

Creo que el encabezado tiene un tamaño de 2 MB debido al divisor Anti-Forense: la clave maestra cifrada se divide en varios bloques para mejorar la difusión y asegurarse de que pueda borrarse fácilmente del disco. En particular, borrar una sola franja hace que todo mk encriptado sea irrecuperable.

enlace

Me pregunto cómo se puede extraer la clave maestra cifrada ...

    
respondido por el refex 07.01.2016 - 02:06
fuente
7

Tomado de enlace , puede ver que el comando cryptsetup luksDump explicará los contenidos. Un encabezado debe poder usarse contra cualquier número de dispositivos.

# cryptsetup luksDump /dev/sdb2
LUKS header information for /dev/sdb2

Version:        1
Cipher name:    aes
Cipher mode:    cbc-essiv:sha256
Hash spec:      sha1
Payload offset: 4096
MK bits:        256
MK digest:      e5 88 07 f2 4b ce 79 21 85 34 f7 a6 e3 0b 6b b2 a7 b8 d5 a1
MK salt:        0c dd 95 3d 1e 30 1f 66 d4 5e 31 03 12 a0 61 29
                e5 ef 34 8e 13 5d 80 76 8b 4a 0a c3 55 02 22 d3
MK iterations:  5750
UUID:           e4971160-047b-49ce-8246-b63f1fb67db9

Key Slot 0: ENABLED
        Iterations:             23233
        Salt:                   ff bc fc 78 98 5d 35 50 97 76 37 b4 70 99 38 44
                                9f bd a1 b9 02 2d 4d 1d 18 b5 dc f6 4c a0 37 fc
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             23956
        Salt:                   3a a0 06 83 d3 e0 ba da b0 5c e2 56 cb ed 72 69
                                76 9a 8a b8 e1 eb e6 90 44 b3 71 7a 2f 96 80 39
        Key material offset:    264
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
    
respondido por el Jeff Ferland 29.12.2015 - 17:09
fuente
7

Creo que he encontrado la respuesta a tu pregunta. El encabezado está formado por el encabezado y un espacio para los espacios de claves. La razón para que esta sección detrás del encabezado sea de 2MB es por defecto. Aquí es donde encontré la respuesta: enlace

Consulte la sección 2.4 en esa página y al final de esa sección encontrará el extracto a continuación.

"los números de sector se desplazan según la longitud del encabezado y las ranuras clave y hay una pérdida de ese tamaño en la capacidad (1 MB + 4096 B para los valores predeterminados y 2 MB para el modo XTS no predeterminado más utilizado)"

Espero que esto responda a tu pregunta y que el sitio mencionado anteriormente haya respondido a muchas otras preguntas excelentes.

    
respondido por el Eddie Studer 04.01.2016 - 19:37
fuente

Lea otras preguntas en las etiquetas