BitLocker UNlock v Debian Live

Jigdo

  • *****
  • 506
    • Zobrazit profil
BitLocker UNlock v Debian Live
« kdy: 15. 04. 2023, 10:31:17 »
Dostalo se mi do roukou zarizeni co uz ma Windows 11 Pro predinstalovane a C: partiton je BitLocker Encrypted.
Jedna se o zarizeni z druhe ruky takze jsem tam ty Widle neinstaloval ja a tudiz k tomu BitLocker nemam
ani heslo ani ten 48bit key ktery se nejak generuje .......

Ty WIdle nemaji ani zadne heslo, takze se automaticky po startu zaloguji do defaultniho profilu "user"

Takze jsem si rikal, kdyz nabutuji v DebianLive ze to treba bude fungovat s default heslem "user"

Podle navodu ze stranek:
https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html

Kód: [Vybrat]
sudo blkid
sudo lsblk
sudo fdisk -l
sudo apt install dislocker
sudo mkdir -p /media/bitlocker
sudo mkdir -p /media/bitlockermount


Kód: [Vybrat]
sudo dislocker -r -V /dev/nvme0n1p3 -uUser -- /media/bitlocker
sudo dislocker -r -V /dev/nvme0n1p3 -uuser -- /media/bitlocker

#Ten klic se tam zadava i s temi pomlckami?
Kód: [Vybrat]
sudo dislocker -r -V /dev/sda1 -p315442-000000-000000-000000-000000-000000-000000-000000 -- /media/bitlocker
Ale nefunguje :(

Otazka:
Da se nejak z Win 11 Pro vycucat to heslo/48-bit klic kdyz mam plny Admin pristup na tom stroji?
(Widle uz od verze 7 nepouzivam a jsem mimo obraz) snad je tady nekdo kdo to uz zkousel :)


Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #1 kdy: 15. 04. 2023, 10:39:51 »
Zapomnel jsem pripsat tohle:


Microsoft Windows [Version 10.0.22621.1555]
(c) Microsoft Corporation. All rights reserved.

Kód: [Vybrat]
C:\Windows\System32>manage-bde -protectors -get C:BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [512GB]
All Key Protectors

ERROR: No key protectors found.

Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #2 kdy: 15. 04. 2023, 11:01:28 »
V Control Panel\System and Security\BitLocker Drive Encryption mi to pise:

512GB C: BitLocker waiting for activation

Takze to vypada ze to SSD je v nejakem modu sifrovani, ale neni to BitLocker?

Re:BitLocker UNlock v Debian Live
« Odpověď #3 kdy: 15. 04. 2023, 11:32:15 »
S touhle situací jsem se osobně ještě nesetkal, ale rychlý dotaz na Google vysypal tohle:
https://superuser.com/questions/1299600/is-a-volume-with-bitlocker-waiting-for-activation-encrypted-or-not

Zkrátka to vypadá, že k šifrování ještě nedošlo. Jsou imho dvě možnosti: buďto BitLocker půjde zapnout (pak bude možné ten klíč od toho uložit), nebo vypnout. Pokud půjde zapnout, pak půjde i vypnout. Žádný klíč k tomu potřeba není, pokud se do toho systému lze dostat (ten klíč je potřebný právě pro situaci, kdy se do něj dostat nejde). A napadá mě, že je možné, že právě k tomu šifrování ještě nedošlo, pokud je tam user, který nemá žádné heslo. Jinak pokud vím, heslo k účtu Windows s klíčem BitLockeru nijak nesouvisí.

Re:BitLocker UNlock v Debian Live
« Odpověď #4 kdy: 15. 04. 2023, 12:01:18 »
Jop, jak uvadi WIFT, Wokna na vhodne souhre okolniho HW (self-encrypting SSD, TPM, ...) provedou sifrovani disku, ale nezapnou zadne protectors. Cili obsah je sifrovan, ale klice nejsou nicim chranene a disk tak lze bez dalsiho normalne zpristupnit.

V principu je to srovnatelne se situaci, kdy je zisk zasifrovan, existuji Key Protectors (to je prave nejakej ten PIN, TPM+PIN, 48 cisel dlouhej recovery key), ale je zvolena volba "Suspend BitLocker", ktera protectors docasne vypne, avsak data jsou fyzicky stale sifrovana - pouze jsou klice k dispozici.


Takze co s tim - imo, neni treba se do techto dveri vlamovat, protoze jsou otevrena a oddil by mel jit bez cehokoliv normalne namountovat.

Variantne, pokud je cilem se sifrovani zcela zbavit, pak (z prostredi woken):
manage-bde c: -off


Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #5 kdy: 15. 04. 2023, 14:38:02 »
S touhle situací jsem se osobně ještě nesetkal, ale rychlý dotaz na Google vysypal tohle:
https://superuser.com/questions/1299600/is-a-volume-with-bitlocker-waiting-for-activation-encrypted-or-not

Zkrátka to vypadá, že k šifrování ještě nedošlo. Jsou imho dvě možnosti: buďto BitLocker půjde zapnout (pak bude možné ten klíč od toho uložit), nebo vypnout. Pokud půjde zapnout, pak půjde i vypnout. Žádný klíč k tomu potřeba není, pokud se do toho systému lze dostat (ten klíč je potřebný právě pro situaci, kdy se do něj dostat nejde). A napadá mě, že je možné, že právě k tomu šifrování ještě nedošlo, pokud je tam user, který nemá žádné heslo. Jinak pokud vím, heslo k účtu Windows s klíčem BitLockeru nijak nesouvisí.

Takze pokud to chapu dobre podle te aceptovane odpovedi:
The volume is encrypted but the encryption key is saved "in the clear"

Jak a kde najdu to heslo, abych ten volume mohl v DebianLive odemknout a dostat se na neho?

Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #6 kdy: 15. 04. 2023, 14:44:48 »
Jop, jak uvadi WIFT, Wokna na vhodne souhre okolniho HW (self-encrypting SSD, TPM, ...) provedou sifrovani disku, ale nezapnou zadne protectors. Cili obsah je sifrovan, ale klice nejsou nicim chranene a disk tak lze bez dalsiho normalne zpristupnit.

V principu je to srovnatelne se situaci, kdy je zisk zasifrovan, existuji Key Protectors (to je prave nejakej ten PIN, TPM+PIN, 48 cisel dlouhej recovery key), ale je zvolena volba "Suspend BitLocker", ktera protectors docasne vypne, avsak data jsou fyzicky stale sifrovana - pouze jsou klice k dispozici.


Takze co s tim - imo, neni treba se do techto dveri vlamovat, protoze jsou otevrena a oddil by mel jit bez cehokoliv normalne namountovat.

Variantne, pokud je cilem se sifrovani zcela zbavit, pak (z prostredi woken):
manage-bde c: -off

V DebianuLive mi to pise, ze ten volume je Sifrovany .... Mam ted v tech Woknech rezdelane veci, ale kouknu presne co to pise pozdeji.

Rozhoduji se jestli poridit druhy disk (Dell P5550 ma moznost 2 disku) a Windows nechat  a na ten druhy nainstalovat Debian a nebo 2 disky na prvnim Debian a na druhem Home (Sifrovany) ....ale jeste jsem se nerozhodl.

Re:BitLocker UNlock v Debian Live
« Odpověď #7 kdy: 16. 04. 2023, 14:09:07 »
Já bych prostě ve Windows ten Bitlocker vypnul a hotovo. Pokud nejde vypnout, tak zapnul a pak vypnul (jestli to chápu správně, že to je ve stavu, kdy je "bitlocker zapnut, ale vlastně není ani zahájeno šifrování"). Když k tomu je přístup z Windows, tak bych vůbec neřešil, kde to má jakej klíč (sám nevím, kde bych ho hledal, když to nemá tu možnost ho zálohovat/ukázat).

Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #8 kdy: 17. 04. 2023, 10:52:46 »
Já bych prostě ve Windows ten Bitlocker vypnul a hotovo. Pokud nejde vypnout, tak zapnul a pak vypnul (jestli to chápu správně, že to je ve stavu, kdy je "bitlocker zapnut, ale vlastně není ani zahájeno šifrování"). Když k tomu je přístup z Windows, tak bych vůbec neřešil, kde to má jakej klíč (sám nevím, kde bych ho hledal, když to nemá tu možnost ho zálohovat/ukázat).

Jasne, ale mne jde jen o Proof of Concept (POC).

Truchu jsem se v tom stoural vice a we Woknech se to z prikazove radky ovlada pomoci "manage-bde"
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde

Tak jsem akorat zjistil s prikazem "manage-bde -status C:" ze to je v tomhle stavu:

Kód: [Vybrat]
C:\Windows\System32>manage-bde -status C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [512GB]
[OS Volume]

    Size:                 476.21 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection Off
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:       None Found

Dalsi vec ze pro Linuxu existuje i nastroj:

#bdemount — mounts a BitLocker Drive Encryption (BDE) encrypted volume
#bdemount is a utility to mount a BitLocker Drive Encryption (BDE) encrypted volume
#bdemount is part of the libbde package.  libbde is a library to access the BitLocker Drive Encryption (BDE) format
https://manpages.ubuntu.com/manpages/jammy/man1/bdemount.1.html
Kód: [Vybrat]
sudo bdemount -p Password /dev/sda1
sudo bdemount -r RecoveryPassword /dev/sda1

bdeinfo /dev/nvme0n1p3

A na vic uz mi nezbyl cas (samozrejmne jsem si ktomu udelal poznamky), takze az zase nekdy bude, zkusim dohledat jak je to stim "Used Space Only Encrypted" a "XTS-AES 128" no a treba se tohlel nekdy nekomu bude hodit ;)

Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #9 kdy: 25. 01. 2024, 18:19:14 »
V Debian 12 rep je verze libbde, ale stara = bdeinfo/bdemount 20190102
a vysledek je tohle:

Kód: [Vybrat]
$ sudo bdeinfo /dev/nvme1n1p3
bdeinfo 20190102

Unable to open: /dev/nvme1n1p3.
libbde_metadata_entry_read: unsupported FVE metadata entry version.
libbde_metadata_read_entries: unable to read metadata entry.
libbde_metadata_read_block: unable to read metadata header.
libbde_volume_open_read: unable to read primary metadata block.
libbde_volume_open_file_io_handle: unable to read from file IO handle.
info_handle_open_input: unable to open input volume.


Takze zkousim kompilovat verzi z GitHub #20231220
https://github.com/libyal/libbde/releases/tag/20231220

Kód: [Vybrat]
cd ~/Install;
curl --doh-url https://odvr.nic.cz/doh -kLO https://github.com/libyal/libbde/releases/download/20231220/libbde-alpha-20231220.tar.gz
tar -xzf libbde-alpha-20231220.tar.gz
cd libbde-alpha-20231220
./configure
make -j$(nproc)

#Kontrola verze
Kód: [Vybrat]
bdetools/bdeinfo -V
bdetools/bdemount -V
bdeinfo 20231220
bdemount 20231220



#Bingo a tato verze uz funguje ....
sudo bdetools/bdeinfo /dev/nvme1n1p3

Kód: [Vybrat]
:~/Install/libbde-20231220$ sudo bdetools/bdeinfo /dev/nvme1n1p3
bdeinfo 20231220

BitLocker Drive Encryption information:
Volume identifier : xxxxxx54-4xx6-xxxx-1234-34ffaabb3311
Size : 476 GiB (511322357760 bytes)
Encryption method : AES-XTS 128-bit
Creation time : Mar 08, 2023 12:30:54.246502600 UTC
Number of key protectors : 1

Key protector 0:
Identifier : abcde123-abcd-1234-ffff-1234aa111aa1
Type : Clear key




Jigdo

  • *****
  • 506
    • Zobrazit profil
Re:BitLocker UNlock v Debian Live
« Odpověď #10 kdy: 25. 01. 2024, 21:41:37 »
Podle man page - dislocker
https://manpages.debian.org/buster/dislocker/dislocker.1.en.html
by mnel umet pracovat s "volume", ktery ma "clear key"

-c, --clearkey
    decrypt volume using a clear key which is searched on the volume (default)

Takze zkousim tohle:

Kód: [Vybrat]
sudo dislocker-find
/dev/nvme1n1p3

Kód: [Vybrat]
sudo dislocker-metadata -V /dev/nvme1n1p3

Kód: [Vybrat]
sudo mkdir /media/dislocker
sudo mkdir /media/windows
sudo dislocker -V /dev/nvme1n1p3 --clearkey -vvvvvv -- /media/dislocker
sudo mount -t ntfs-3g -o loop /media/dislocker /media/windows

ale zkoncilo to touhle chybou:
Kód: [Vybrat]
mount: /media/windows: failed to setup loop device for /media/dislocker.

Re:BitLocker UNlock v Debian Live
« Odpověď #11 kdy: 26. 01. 2024, 12:45:28 »
Zkus tam dát tohle (-r je readonly, pokud chceš psát, tak parametr smaž)

sudo mount -o loop /media/dislocker/dislocker-file /media/windows -r

Jigdo

  • *****
  • 506
    • Zobrazit profil
[SOLVED] Re:BitLocker UNlock v Debian Live
« Odpověď #12 kdy: 27. 01. 2024, 20:08:39 »
Zkus tam dát tohle (-r je readonly, pokud chceš psát, tak parametr smaž)

sudo mount -o loop /media/dislocker/dislocker-file /media/windows -r


@Mmmartan

Dekuji. Funguje ;)


Jeste k tomu "Clear Key" hledal jsem jestli se mi podari ho nekde najit, ale nevim presne co hledam ....

Tohle je zajimavy clanek
https://social.technet.microsoft.com/Forums/windows/en-US/b8457e80-2de8-4aeb-bce9-1b7ff330452b/how-does-bitlocker-erase-the-clear-key-on-a-ssd

When Bitlocker is suspended, the contents of the volume are still encrypted, but the volume master key is encrypted with a symmetric clear key, which is written to the volume’s BitLocker metadata.

Ale jak to tak byva, spousta otazek, je v nem nezodpovezena .......


Ale jak je zrejme, DisLocker umi s tim "ClearKey" pracovat a podle toho clanku je ulozen v BitLocker matadatech .......


A otazka je, pokud se mi ho podari ziskat z teech "metadat" pujde ten BitLocker "ClearKey" volume odemknout pres "gnome-disk-utility" zadanim toho "ClearKey"?
« Poslední změna: 27. 01. 2024, 20:15:07 od Jigdo »