Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: Jigdo 15. 04. 2023, 10:31:17
-
Dostalo se mi do roukou zarizeni co uz ma Windows 11 Pro predinstalovane a C: partiton je BitLocker Encrypted.
Jedna se o zarizeni z druhe ruky takze jsem tam ty Widle neinstaloval ja a tudiz k tomu BitLocker nemam
ani heslo ani ten 48bit key ktery se nejak generuje .......
Ty WIdle nemaji ani zadne heslo, takze se automaticky po startu zaloguji do defaultniho profilu "user"
Takze jsem si rikal, kdyz nabutuji v DebianLive ze to treba bude fungovat s default heslem "user"
Podle navodu ze stranek:
https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html
sudo blkid
sudo lsblk
sudo fdisk -l
sudo apt install dislocker
sudo mkdir -p /media/bitlocker
sudo mkdir -p /media/bitlockermount
sudo dislocker -r -V /dev/nvme0n1p3 -uUser -- /media/bitlocker
sudo dislocker -r -V /dev/nvme0n1p3 -uuser -- /media/bitlocker
#Ten klic se tam zadava i s temi pomlckami?
sudo dislocker -r -V /dev/sda1 -p315442-000000-000000-000000-000000-000000-000000-000000 -- /media/bitlocker
Ale nefunguje :(
Otazka:
Da se nejak z Win 11 Pro vycucat to heslo/48-bit klic kdyz mam plny Admin pristup na tom stroji?
(Widle uz od verze 7 nepouzivam a jsem mimo obraz) snad je tady nekdo kdo to uz zkousel :)
-
Zapomnel jsem pripsat tohle:
Microsoft Windows [Version 10.0.22621.1555]
(c) Microsoft Corporation. All rights reserved.
C:\Windows\System32>manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [512GB]
All Key Protectors
ERROR: No key protectors found.
-
V Control Panel\System and Security\BitLocker Drive Encryption mi to pise:
512GB C: BitLocker waiting for activation
Takze to vypada ze to SSD je v nejakem modu sifrovani, ale neni to BitLocker?
-
S touhle situací jsem se osobně ještě nesetkal, ale rychlý dotaz na Google vysypal tohle:
https://superuser.com/questions/1299600/is-a-volume-with-bitlocker-waiting-for-activation-encrypted-or-not
Zkrátka to vypadá, že k šifrování ještě nedošlo. Jsou imho dvě možnosti: buďto BitLocker půjde zapnout (pak bude možné ten klíč od toho uložit), nebo vypnout. Pokud půjde zapnout, pak půjde i vypnout. Žádný klíč k tomu potřeba není, pokud se do toho systému lze dostat (ten klíč je potřebný právě pro situaci, kdy se do něj dostat nejde). A napadá mě, že je možné, že právě k tomu šifrování ještě nedošlo, pokud je tam user, který nemá žádné heslo. Jinak pokud vím, heslo k účtu Windows s klíčem BitLockeru nijak nesouvisí.
-
Jop, jak uvadi WIFT, Wokna na vhodne souhre okolniho HW (self-encrypting SSD, TPM, ...) provedou sifrovani disku, ale nezapnou zadne protectors. Cili obsah je sifrovan, ale klice nejsou nicim chranene a disk tak lze bez dalsiho normalne zpristupnit.
V principu je to srovnatelne se situaci, kdy je zisk zasifrovan, existuji Key Protectors (to je prave nejakej ten PIN, TPM+PIN, 48 cisel dlouhej recovery key), ale je zvolena volba "Suspend BitLocker", ktera protectors docasne vypne, avsak data jsou fyzicky stale sifrovana - pouze jsou klice k dispozici.
Takze co s tim - imo, neni treba se do techto dveri vlamovat, protoze jsou otevrena a oddil by mel jit bez cehokoliv normalne namountovat.
Variantne, pokud je cilem se sifrovani zcela zbavit, pak (z prostredi woken):
manage-bde c: -off
-
S touhle situací jsem se osobně ještě nesetkal, ale rychlý dotaz na Google vysypal tohle:
https://superuser.com/questions/1299600/is-a-volume-with-bitlocker-waiting-for-activation-encrypted-or-not
Zkrátka to vypadá, že k šifrování ještě nedošlo. Jsou imho dvě možnosti: buďto BitLocker půjde zapnout (pak bude možné ten klíč od toho uložit), nebo vypnout. Pokud půjde zapnout, pak půjde i vypnout. Žádný klíč k tomu potřeba není, pokud se do toho systému lze dostat (ten klíč je potřebný právě pro situaci, kdy se do něj dostat nejde). A napadá mě, že je možné, že právě k tomu šifrování ještě nedošlo, pokud je tam user, který nemá žádné heslo. Jinak pokud vím, heslo k účtu Windows s klíčem BitLockeru nijak nesouvisí.
Takze pokud to chapu dobre podle te aceptovane odpovedi:
The volume is encrypted but the encryption key is saved "in the clear"
Jak a kde najdu to heslo, abych ten volume mohl v DebianLive odemknout a dostat se na neho?
-
Jop, jak uvadi WIFT, Wokna na vhodne souhre okolniho HW (self-encrypting SSD, TPM, ...) provedou sifrovani disku, ale nezapnou zadne protectors. Cili obsah je sifrovan, ale klice nejsou nicim chranene a disk tak lze bez dalsiho normalne zpristupnit.
V principu je to srovnatelne se situaci, kdy je zisk zasifrovan, existuji Key Protectors (to je prave nejakej ten PIN, TPM+PIN, 48 cisel dlouhej recovery key), ale je zvolena volba "Suspend BitLocker", ktera protectors docasne vypne, avsak data jsou fyzicky stale sifrovana - pouze jsou klice k dispozici.
Takze co s tim - imo, neni treba se do techto dveri vlamovat, protoze jsou otevrena a oddil by mel jit bez cehokoliv normalne namountovat.
Variantne, pokud je cilem se sifrovani zcela zbavit, pak (z prostredi woken):
manage-bde c: -off
V DebianuLive mi to pise, ze ten volume je Sifrovany .... Mam ted v tech Woknech rezdelane veci, ale kouknu presne co to pise pozdeji.
Rozhoduji se jestli poridit druhy disk (Dell P5550 ma moznost 2 disku) a Windows nechat a na ten druhy nainstalovat Debian a nebo 2 disky na prvnim Debian a na druhem Home (Sifrovany) ....ale jeste jsem se nerozhodl.
-
Já bych prostě ve Windows ten Bitlocker vypnul a hotovo. Pokud nejde vypnout, tak zapnul a pak vypnul (jestli to chápu správně, že to je ve stavu, kdy je "bitlocker zapnut, ale vlastně není ani zahájeno šifrování"). Když k tomu je přístup z Windows, tak bych vůbec neřešil, kde to má jakej klíč (sám nevím, kde bych ho hledal, když to nemá tu možnost ho zálohovat/ukázat).
-
Já bych prostě ve Windows ten Bitlocker vypnul a hotovo. Pokud nejde vypnout, tak zapnul a pak vypnul (jestli to chápu správně, že to je ve stavu, kdy je "bitlocker zapnut, ale vlastně není ani zahájeno šifrování"). Když k tomu je přístup z Windows, tak bych vůbec neřešil, kde to má jakej klíč (sám nevím, kde bych ho hledal, když to nemá tu možnost ho zálohovat/ukázat).
Jasne, ale mne jde jen o Proof of Concept (POC).
Truchu jsem se v tom stoural vice a we Woknech se to z prikazove radky ovlada pomoci "manage-bde"
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Tak jsem akorat zjistil s prikazem "manage-bde -status C:" ze to je v tomhle stavu:
C:\Windows\System32>manage-bde -status C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [512GB]
[OS Volume]
Size: 476.21 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: None Found
Dalsi vec ze pro Linuxu existuje i nastroj:
#bdemount — mounts a BitLocker Drive Encryption (BDE) encrypted volume
#bdemount is a utility to mount a BitLocker Drive Encryption (BDE) encrypted volume
#bdemount is part of the libbde package. libbde is a library to access the BitLocker Drive Encryption (BDE) format
https://manpages.ubuntu.com/manpages/jammy/man1/bdemount.1.html
sudo bdemount -p Password /dev/sda1
sudo bdemount -r RecoveryPassword /dev/sda1
bdeinfo /dev/nvme0n1p3
A na vic uz mi nezbyl cas (samozrejmne jsem si ktomu udelal poznamky), takze az zase nekdy bude, zkusim dohledat jak je to stim "Used Space Only Encrypted" a "XTS-AES 128" no a treba se tohlel nekdy nekomu bude hodit ;)
-
V Debian 12 rep je verze libbde, ale stara = bdeinfo/bdemount 20190102
a vysledek je tohle:
$ sudo bdeinfo /dev/nvme1n1p3
bdeinfo 20190102
Unable to open: /dev/nvme1n1p3.
libbde_metadata_entry_read: unsupported FVE metadata entry version.
libbde_metadata_read_entries: unable to read metadata entry.
libbde_metadata_read_block: unable to read metadata header.
libbde_volume_open_read: unable to read primary metadata block.
libbde_volume_open_file_io_handle: unable to read from file IO handle.
info_handle_open_input: unable to open input volume.
Takze zkousim kompilovat verzi z GitHub #20231220
https://github.com/libyal/libbde/releases/tag/20231220
cd ~/Install;
curl --doh-url https://odvr.nic.cz/doh -kLO https://github.com/libyal/libbde/releases/download/20231220/libbde-alpha-20231220.tar.gz
tar -xzf libbde-alpha-20231220.tar.gz
cd libbde-alpha-20231220
./configure
make -j$(nproc)
#Kontrola verze
bdetools/bdeinfo -V
bdetools/bdemount -V
bdeinfo 20231220
bdemount 20231220
#Bingo a tato verze uz funguje ....
sudo bdetools/bdeinfo /dev/nvme1n1p3
:~/Install/libbde-20231220$ sudo bdetools/bdeinfo /dev/nvme1n1p3
bdeinfo 20231220
BitLocker Drive Encryption information:
Volume identifier : xxxxxx54-4xx6-xxxx-1234-34ffaabb3311
Size : 476 GiB (511322357760 bytes)
Encryption method : AES-XTS 128-bit
Creation time : Mar 08, 2023 12:30:54.246502600 UTC
Number of key protectors : 1
Key protector 0:
Identifier : abcde123-abcd-1234-ffff-1234aa111aa1
Type : Clear key
-
Podle man page - dislocker
https://manpages.debian.org/buster/dislocker/dislocker.1.en.html
by mnel umet pracovat s "volume", ktery ma "clear key"
-c, --clearkey
decrypt volume using a clear key which is searched on the volume (default)
Takze zkousim tohle:
sudo dislocker-find
/dev/nvme1n1p3
sudo dislocker-metadata -V /dev/nvme1n1p3
sudo mkdir /media/dislocker
sudo mkdir /media/windows
sudo dislocker -V /dev/nvme1n1p3 --clearkey -vvvvvv -- /media/dislocker
sudo mount -t ntfs-3g -o loop /media/dislocker /media/windows
ale zkoncilo to touhle chybou:
mount: /media/windows: failed to setup loop device for /media/dislocker.
-
Zkus tam dát tohle (-r je readonly, pokud chceš psát, tak parametr smaž)
sudo mount -o loop /media/dislocker/dislocker-file /media/windows -r
-
Zkus tam dát tohle (-r je readonly, pokud chceš psát, tak parametr smaž)
sudo mount -o loop /media/dislocker/dislocker-file /media/windows -r
@Mmmartan
Dekuji. Funguje ;)
Jeste k tomu "Clear Key" hledal jsem jestli se mi podari ho nekde najit, ale nevim presne co hledam ....
Tohle je zajimavy clanek
https://social.technet.microsoft.com/Forums/windows/en-US/b8457e80-2de8-4aeb-bce9-1b7ff330452b/how-does-bitlocker-erase-the-clear-key-on-a-ssd
When Bitlocker is suspended, the contents of the volume are still encrypted, but the volume master key is encrypted with a symmetric clear key, which is written to the volume’s BitLocker metadata.
Ale jak to tak byva, spousta otazek, je v nem nezodpovezena .......
Ale jak je zrejme, DisLocker umi s tim "ClearKey" pracovat a podle toho clanku je ulozen v BitLocker matadatech .......
A otazka je, pokud se mi ho podari ziskat z teech "metadat" pujde ten BitLocker "ClearKey" volume odemknout pres "gnome-disk-utility" zadanim toho "ClearKey"?