Вопрос или проблема
Я хочу использовать dislocker. У меня нет ключей, но я нашел параметр -u в dislocker. Так что монтирование жесткого диска выглядит так: dislocker -r -V /dev/nvme0n1p3 -u123456789 — /root/1
Я получаю сообщение об ошибке, такое как: Пт Авг 12 09:20:25 2022 [КРИТИЧЕСКО] Ни один из предоставленных средств расшифровки не расшифровывает ключи. Прерывание. Пт Авг 12 09:20:25 2022 [КРИТИЧЕСКО] Невозможно получить VMK или FVEK. Прерывание.free(): двойное освобождение обнаружено в tcache 2 Остановлено (дамп памяти записан)
Я использую Ubuntu 20.04.3 LTS
Какой пароль имелся в виду для расшифровки?
Я также пробовал параметр -p с тем же результатом.
Любая помощь приветствуется.
С уважением, Хайнц
Из man dislocker :
-u, –user-password=[USER_PASSWORD]
расшифровать том, используя метод пользовательского пароля.
Опция “user-password” -u не означает, что вы указываете пользователя (возможно, это неправильное название, согласен!), а затем пароль. Вы просто указываете пароль, Bitlocker не разблокируется с помощью метода “пользователь/пароль”. Когда у кого-то есть пароль, они либо вводят,
-u[ничего] => их попросят позже ввести пароль- -u
пробел[их пароль]
Также я бы не стал монтировать файл dislocker на /root/1, обычно его монтируют на /mnt/ваш_выбор (например, /mnt/ntfs)
Если ваш OEM настроил Bitlocker и у вас нет пароля, то вы можете создать файл восстановления FVEK или VMK с компьютера под управлением Windows. Затем вы используете его с dislocker с параметрами --fvek или --vmk.
В оболочке Windows вы можете использовать manage-bde status (где BDE означает Bitlocker Disk Encryption), чтобы узнать больше о защитниках, которые в данный момент используются в вашей конфигурации Bitlocker https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-use-bitlocker-drive-encryption-tools-to-manage-bitlocker. Обычно в конфигурации OEM (поставщика) вы увидите “TPM”, что означает аппаратную защиту чипом TPM на вашей материнской плате. Но могут быть и несколько защитников. См. также manage-bde tpm
По моему опыту, dislocker через samba (сетевой кабель между компьютером на windows и компьютером на linux) не работает. (Но моя настройка была другой: я пытался смонтировать внешний диск bitlocker, подключенный к компьютеру под управлением Windows, на компьютере с Ubuntu, подключенном к компьютеру с Windows через ethernet.) Если Samba не вариант, вы можете физически извлечь внутренний HDD, купить внешний отсек для HDD и подключить его по USB к вашему компьютеру с ubuntu. Но TPM этого не одобрит, так что создайте файлы восстановления Bitlocker (fvek или vmk) или пароль для восстановления заранее.
Из: https://pulsesecurity.co.nz/articles/TPM-sniffing (Я понимаю, что вы являетесь законным владельцем компьютера на Windows, но эта страница для хакеров объясняет основы достаточно хорошо)
Windows использует BitLocker для шифрования дисков. Данные шифруются с использованием Ключа Шифрования Полного Объема (FVEK). FVEK, в свою очередь, шифруется с помощью Мастер-ключа Томов (VMK). VMK шифруется несколькими защитниками. Например, в стандартной конфигурации есть два защитника. Один – это TPM, другой – Ключ Восстановления. Все это существует для того, чтобы, если злоумышленник имеет физический доступ к устройству, он не мог загрузить ноутбук в дистрибутив Linux (или извлечь диск) и получить доступ к вашим данным.
Доказательство того, что вы можете извлечь диск, зашифрованный TPM / Bitlocker, и использовать его на другом компьютере Windows (в качестве POC, доказательства концепции): https://social.technet.microsoft.com/Forums/windows/en-US/dc4b0c7d-bb1b-4a74-bc06-7d084fb38926/moving-bitlocker-encrypted-drive-to-new-computer?forum=win10itprogeneral
Выбранный ответ [не показан здесь] неверен.
“Если вы переместите зашифрованный жесткий диск на новый ПК, он не будет работать.” – неверно.
Вы можете переместить диск и загрузиться с него после ввода ключа восстановления – так просто.
Когда вы загрузитесь, вы можете добавить нового защитника, например пароль, после удаления старого защитника TPM.
Предупреждение: для dislocker не уверены, нужно ли вам обязательно удалять защитника TPM (см. последний цитату выше) или вы можете выбрать одного защитника среди других. Если вы удалите его, то если вы снова вставите диск в свой компьютер с Windows, вас попросят ввести пароль при загрузке.
Добавьте ключ восстановления в качестве нового защитника в вашу конфигурацию TPM: https://docs.microsoft.com/en-us/powershell/module/bitlocker/add-bitlockerkeyprotector?view=windowsserver2022-ps
=> Пример 2: Добавить ключ восстановления для всех томов BitLocker
PS C:\>Get-BitLockerVolume | Add-BitLockerKeyProtector -RecoveryKeyPath "E:\Recovery\" -RecoveryKeyProtector (PS : Powershell)
Также обратите внимание, что вам, вероятно, придется собрать dislocker из исходников (github), так как последний режим шифрования Bitlocker не поддерживается последней (довольно старой) версией dislocker (выглядит как неподдерживаемая)
Ответ или решение
Использование Dislocker для доступа к зашифрованным дискам BitLocker на Ubuntu
Введение
Если вы столкнулись с проблемой доступа к зашифрованному диску BitLocker, используя Ubuntu, это может быть вызвано различными факторами. Один из наиболее распространённых инструментов для работы с такими дисками на Linux – Dislocker. Этот инструмент позволяет монтировать диски, зашифрованные с помощью BitLocker, однако для корректной работы необходимы правильные параметры и ключи.
Уточнение проблемы
Вы пытаетесь использовать Dislocker для разблокировки диска, но получаете сообщение об ошибке:
[CRITICAL] None of the provided decryption means is decrypting the keys. Abort.Это свидетельствует о том, что переданный вами пароль не подходит для расшифровки ключей. Ваша команда выглядит следующим образом:
dislocker -r -V /dev/nvme0n1p3 -u123456789 -- /root/1Также вы упомянули, что пробовали параметр -p, но с тем же результатом.
Понимание параметров Dislocker
Параметр -u предназначен для указания пароля пользователя для доступа к зашифрованному тому:
-u[пустое значение] – в этом случае вас попросят ввести пароль позже.-u[пробел] [ваш пароль] – так вы передаёте пароль непосредственно.
Обратите внимание, что используется именно пароль, а не какая-либо другая форма аутентификации. Если у вас нет соответствующего пароля, вам потребуется рассмотреть другие возможности.
Возможные решения
-
Проверка пароля: Убедитесь, что вы используете правильный пароль распаковки. Часто при использовании OEM-устройств пароль может отличаться.
-
Использование Recovery Key: Если вы не можете найти нужный пароль, можно создать файл восстановления (Recovery Key) на Windows-компьютере:
- Запустите команду
manage-bde -statusв командной строке Windows для вывода информации о защитниках, которые использует ваш BitLocker. - Если в вашем случае используется TPM, вам необходимо создать или найти файл восстановления (Recovery Key), чтобы использовать его с Dislocker.
- Запустите команду
-
Параметры Dislocker: Если у вас есть файл восстановления, вы можете использовать его следующим образом:
dislocker -r -V /dev/nvme0n1p3 --fvek <путь_к_файлу_восстановления> -- /mnt/your_choice -
Установка Dislocker: Убедитесь, что у вас установлена последняя версия Dislocker, так как в старых версиях могут быть не поддерживаемые режимы шифрования. Возможно, вам потребуется компилировать Dislocker из исходников с GitHub.
-
Проблемы с монтированием: Убедитесь, что вы монтируете расшифрованный диск в более подходящую директорию, например,
/mnt/ntfsвместо/root/1.
Заключение
Борьба с BitLocker на Linux может представлять дополнительные сложности, особенно без правильного ключа или пароля. Если вы не можете расшифровать диск, вам может потребоваться обратиться к администратору, который мог установить BitLocker, или использовать ресурсы Windows для получения необходимых ключей. Помните о важности безопасности и попробуйте использовать Dislocker с максимальной осторожностью, чтобы избежать потери данных.