BitLocker UNlock v Debian Live

[Jigdo]

Dostalo se mi do roukou zarizeni co uz ma Windows 11 Pro predinstalovane a C: partiton je BitLocker Encrypted.
Jedna se o zarizeni z druhe ruky takze jsem tam ty Widle neinstaloval ja a tudiz k tomu BitLocker nemam
ani heslo ani ten 48bit key ktery se nejak generuje .......

Ty WIdle nemaji ani zadne heslo, takze se automaticky po startu zaloguji do defaultniho profilu "user"

Takze jsem si rikal, kdyz nabutuji v DebianLive ze to treba bude fungovat s default heslem "user"

Podle navodu ze stranek:
https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html

Kód: [Vybrat]

sudo blkid
sudo lsblk
sudo fdisk -l
sudo apt install dislocker
sudo mkdir -p /media/bitlocker
sudo mkdir -p /media/bitlockermount

Kód: [Vybrat]

sudo dislocker -r -V /dev/nvme0n1p3 -uUser -- /media/bitlocker
sudo dislocker -r -V /dev/nvme0n1p3 -uuser -- /media/bitlocker

#Ten klic se tam zadava i s temi pomlckami?

Kód: [Vybrat]

sudo dislocker -r -V /dev/sda1 -p315442-000000-000000-000000-000000-000000-000000-000000 -- /media/bitlocker

Ale nefunguje

Otazka:
Da se nejak z Win 11 Pro vycucat to heslo/48-bit klic kdyz mam plny Admin pristup na tom stroji?
(Widle uz od verze 7 nepouzivam a jsem mimo obraz) snad je tady nekdo kdo to uz zkousel

[Reklama]

[Jigdo]

Zapomnel jsem pripsat tohle:


Microsoft Windows [Version 10.0.22621.1555]
(c) Microsoft Corporation. All rights reserved.

Kód: [Vybrat]

C:\Windows\System32>manage-bde -protectors -get C:

BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [512GB]
All Key Protectors

ERROR: No key protectors found.

[Jigdo]

V Control Panel\System and Security\BitLocker Drive Encryption mi to pise:

512GB C: BitLocker waiting for activation

Takze to vypada ze to SSD je v nejakem modu sifrovani, ale neni to BitLocker?

[WIFT ​​​​​​​​​​]

S touhle situací jsem se osobně ještě nesetkal, ale rychlý dotaz na Google vysypal tohle:
https://superuser.com/questions/1299600/is-a-volume-with-bitlocker-waiting-for-activation-encrypted-or-not

Zkrátka to vypadá, že k šifrování ještě nedošlo. Jsou imho dvě možnosti: buďto BitLocker půjde zapnout (pak bude možné ten klíč od toho uložit), nebo vypnout. Pokud půjde zapnout, pak půjde i vypnout. Žádný klíč k tomu potřeba není, pokud se do toho systému lze dostat (ten klíč je potřebný právě pro situaci, kdy se do něj dostat nejde). A napadá mě, že je možné, že právě k tomu šifrování ještě nedošlo, pokud je tam user, který nemá žádné heslo. Jinak pokud vím, heslo k účtu Windows s klíčem BitLockeru nijak nesouvisí.

[jauznevimco]

Jop, jak uvadi WIFT, Wokna na vhodne souhre okolniho HW (self-encrypting SSD, TPM, ...) provedou sifrovani disku, ale nezapnou zadne protectors. Cili obsah je sifrovan, ale klice nejsou nicim chranene a disk tak lze bez dalsiho normalne zpristupnit.

V principu je to srovnatelne se situaci, kdy je zisk zasifrovan, existuji Key Protectors (to je prave nejakej ten PIN, TPM+PIN, 48 cisel dlouhej recovery key), ale je zvolena volba "Suspend BitLocker", ktera protectors docasne vypne, avsak data jsou fyzicky stale sifrovana - pouze jsou klice k dispozici.


Takze co s tim - imo, neni treba se do techto dveri vlamovat, protoze jsou otevrena a oddil by mel jit bez cehokoliv normalne namountovat.

Variantne, pokud je cilem se sifrovani zcela zbavit, pak (z prostredi woken):
manage-bde c: -off

[Reklama]

[Jigdo]

S touhle situací jsem se osobně ještě nesetkal, ale rychlý dotaz na Google vysypal tohle:
https://superuser.com/questions/1299600/is-a-volume-with-bitlocker-waiting-for-activation-encrypted-or-not

Zkrátka to vypadá, že k šifrování ještě nedošlo. Jsou imho dvě možnosti: buďto BitLocker půjde zapnout (pak bude možné ten klíč od toho uložit), nebo vypnout. Pokud půjde zapnout, pak půjde i vypnout. Žádný klíč k tomu potřeba není, pokud se do toho systému lze dostat (ten klíč je potřebný právě pro situaci, kdy se do něj dostat nejde). A napadá mě, že je možné, že právě k tomu šifrování ještě nedošlo, pokud je tam user, který nemá žádné heslo. Jinak pokud vím, heslo k účtu Windows s klíčem BitLockeru nijak nesouvisí.

Takze pokud to chapu dobre podle te aceptovane odpovedi:
The volume is encrypted but the encryption key is saved "in the clear"

Jak a kde najdu to heslo, abych ten volume mohl v DebianLive odemknout a dostat se na neho?

[Jigdo]

Jop, jak uvadi WIFT, Wokna na vhodne souhre okolniho HW (self-encrypting SSD, TPM, ...) provedou sifrovani disku, ale nezapnou zadne protectors. Cili obsah je sifrovan, ale klice nejsou nicim chranene a disk tak lze bez dalsiho normalne zpristupnit.

V principu je to srovnatelne se situaci, kdy je zisk zasifrovan, existuji Key Protectors (to je prave nejakej ten PIN, TPM+PIN, 48 cisel dlouhej recovery key), ale je zvolena volba "Suspend BitLocker", ktera protectors docasne vypne, avsak data jsou fyzicky stale sifrovana - pouze jsou klice k dispozici.


Takze co s tim - imo, neni treba se do techto dveri vlamovat, protoze jsou otevrena a oddil by mel jit bez cehokoliv normalne namountovat.

Variantne, pokud je cilem se sifrovani zcela zbavit, pak (z prostredi woken):
manage-bde c: -off

V DebianuLive mi to pise, ze ten volume je Sifrovany .... Mam ted v tech Woknech rezdelane veci, ale kouknu presne co to pise pozdeji.

Rozhoduji se jestli poridit druhy disk (Dell P5550 ma moznost 2 disku) a Windows nechat  a na ten druhy nainstalovat Debian a nebo 2 disky na prvnim Debian a na druhem Home (Sifrovany) ....ale jeste jsem se nerozhodl.

[WIFT ​​​​​​​​​​]

Já bych prostě ve Windows ten Bitlocker vypnul a hotovo. Pokud nejde vypnout, tak zapnul a pak vypnul (jestli to chápu správně, že to je ve stavu, kdy je "bitlocker zapnut, ale vlastně není ani zahájeno šifrování"). Když k tomu je přístup z Windows, tak bych vůbec neřešil, kde to má jakej klíč (sám nevím, kde bych ho hledal, když to nemá tu možnost ho zálohovat/ukázat).

[Jigdo]

Já bych prostě ve Windows ten Bitlocker vypnul a hotovo. Pokud nejde vypnout, tak zapnul a pak vypnul (jestli to chápu správně, že to je ve stavu, kdy je "bitlocker zapnut, ale vlastně není ani zahájeno šifrování"). Když k tomu je přístup z Windows, tak bych vůbec neřešil, kde to má jakej klíč (sám nevím, kde bych ho hledal, když to nemá tu možnost ho zálohovat/ukázat).

Jasne, ale mne jde jen o Proof of Concept (POC).

Truchu jsem se v tom stoural vice a we Woknech se to z prikazove radky ovlada pomoci "manage-bde"
https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde

Tak jsem akorat zjistil s prikazem "manage-bde -status C:" ze to je v tomhle stavu:

Kód: [Vybrat]

C:\Windows\System32>manage-bde -status C:
BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [512GB]
[OS Volume]

    Size:                 476.21 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection Off
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:       None Found

Dalsi vec ze pro Linuxu existuje i nastroj:

#bdemount — mounts a BitLocker Drive Encryption (BDE) encrypted volume
#bdemount is a utility to mount a BitLocker Drive Encryption (BDE) encrypted volume
#bdemount is part of the libbde package.  libbde is a library to access the BitLocker Drive Encryption (BDE) format
https://manpages.ubuntu.com/manpages/jammy/man1/bdemount.1.html

Kód: [Vybrat]

sudo bdemount -p Password /dev/sda1
sudo bdemount -r RecoveryPassword /dev/sda1

bdeinfo /dev/nvme0n1p3

A na vic uz mi nezbyl cas (samozrejmne jsem si ktomu udelal poznamky), takze az zase nekdy bude, zkusim dohledat jak je to stim "Used Space Only Encrypted" a "XTS-AES 128" no a treba se tohlel nekdy nekomu bude hodit