シュレッドディスクでLUKSパーティションを回復する

tag-icon tag-icon boot 18.04 data-recovery luks shredding
シュレッドディスクでLUKSパーティションを回復する

私の SSD には Ubuntu 18.04 LTS が暗号化されており、次のコマンドを実行しました:

sudo shred -vfn 1 /dev/sda

おそらく 8~10 GB が上書きされたと思います。

さらに、その後、私のコンピュータはパスワード入力ウィンドウを読み込むことができなくなりました。元のディスクで起動すると、次のメッセージが表示され、起動しなくなります。

cryptosetup: Waiting for encrypted source device UUID:(long UUID)...

出力は次のとおりですsudo fdisk -l /dev/sdc:

GPT PMBR size mismatch (1953525167 != 1953525166) will be corrected by w(rite).
The backup GPT table is corrupt, but the primary appears OK, so that will be used.
Disk /dev/sdc: 931,5 GiB, 1000204885504 bytes, 1953525167 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 629AC7CC-XXXX-XXXX-XXXX-1A7BE55XXXXX

Device       Start        End    Sectors   Size Type
/dev/sdc1     2048    1050623    1048576   512M EFI System
/dev/sdc2  1050624    2549759    1499136   732M Linux filesystem
/dev/sdc3  2549760 1953523711 1950973952 930,3G Linux filesystem

コンピューターに重要なデータはありませんでしたが、ディスクの内容を復元することはまだ可能でしょうか? ディスクのパスワードはわかっています。

答え1

ここで重要なキーワードは LUKS です。

LUKS には複数のキー スロットがあり、すべてヘッダーに保存されます。各キー スロットは、データ暗号化キー (DEK) (実際にデータを暗号化するために使用されるキー) を異なる方法で暗号化します。少なくとも 1 つのキー スロットが必要になります。

通常、1つのキースロットは起動時に入力するパスフレーズです。このパスフレーズは、ヘッダーに保存されているデータ暗号化キーを復号化するために使用されます。パスフレーズはないさまざまな理由により、実際にディスク上のデータを暗号化するために使用されます。

LUKSヘッダーを上書きするとDEKが破壊されます。パスフレーズは無価値になり、何でも暗号化された DEK が見つからないため、データに関する問題が発生します。

したがって、この状況では回復は不可能です。データは失われています。実際、これは保存されたデータの安全な消去を実行する一般的な方法です。DEK を破壊するだけで、データは回復できなくなります。

(LUKSの説明はここではやや簡略化されていますが、詳細はここで見つかりました)。

答え2

答えは、シュレッドしてもデータは上書きされないということです。データは消え去ります。ファイルではなくパーティションをシュレッドしたので、完全に消去されます。ファイルだけをシュレッドした場合、ファイル名が残る可能性はわずかにあります。データはそのまま上書きされるため、何も残りません。

注意: 十分に高度な技術を持つ人なら、1 回の上書きからデータを復元できます。そのような人は政府のような人々であることが多いですが、一般の人にとっては、1 回で消えてしまいます。セキュリティ対策では、復元の可能性がないことを保証するために、通常 10 回以上の上書きが推奨されています。本当に重要なデータの場合は、この推奨に従うことをお勧めします。販売または他の人に譲渡するコンピューターのドライブを消去するだけであれば、数回の上書きで十分です。1 回でも十分です...

答え3

細断して暗号化しました。

通常、これらのいずれかだけで、データへのアクセスを安全かつ永続的に拒否するのに十分です。

両方を使用すると、アマチュアにとっては回復は不可能です。ほとんどのプロにとっても不可能です。

  • デフォルトの 3 回ではなく 1 回だけ上書きすることで、shred の有用性を制限しました。暗号化されたビットの多くは (専門家によってのみ) 復元できる可能性がありますが、データは既知のキーなしで暗号化されたままになります。

関連情報