パスワード回復DriveLock、証明書の変換

tag-icon tag-icon linux windows encryption certificate openssl
パスワード回復DriveLock、証明書の変換

暗号化されたファイルシステムの失われたパスワードを回復しようとしています。使用したソフトウェアは CenterTools DriveLock で、バージョンが古く、独自仕様で、ドキュメントはありません。VeraCrypt と同様に、複数の大きなファイルと実行ファイルを含む暗号化されたディスクで動作します。実行ファイルの文字列には、AES/3DES/Blowfish/Twofish/CAST5/SHA-1/RIPEMD/PMC/Serpent/Whirlpool と記載されています。おそらく AES でしょう。

最初の暗号化されたファイルに対して binwalk を実行すると、秘密鍵が生成されました。

1164 0x48C Private key in DER format (PKCS header length: 4, sequence length: 329

生のファイル(Base64エンコード):

MIIBSQIBADGB5jCB4wIBADBMMDgxNjA0BgNVBAMTLUyaXZlTG9jayBDb250YWluZXItYmFzZWQg
RW5jcnlwdGlvbiBSZWNvdmVyeQIQJ4WOaLFnRpJI18AOLBgV8jANBgkqhkiG9w0BAQEFAASBgIXT
KLIzEFfYpfnouNEZndIGVWZRsumstx2RxBSUxwFei9deaeljlb9rhxBL07AQsmSK1+bjmq5XSOR+
SDBx1YFUdYYX08xQl5prQbEClHrrEgvOMlJDrHLuDwErkymHuIzMyBNX0yhbndeW0HepC+swtcCI
bTM9hLAugEkApONLMFsGCSqGSIb3DQEHATAMBggqhkiG9w0DBAUAgEAjCk9WujyWarnk2c3/8U1u
Euq6yIlEVN/c2NwIGYBNLTBC+mrsw7wX465zvXi4cpLsWTbpR8Sg5Vino3wUlUhe

openssl asn1parse -inform DER -in der_private_key

    0:d=0 hl=4 l= 329 定数: シーケンス          
    4:d=1 hl=2 l= 1 プリム: INTEGER :00
    7:d=1 hl=3 l= 230 定数: SET               
   10:d=2 hl=3 l= 227 短所: シーケンス          
   13:d=3 hl=2 l= 1 プリム: INTEGER :00
   16:d=3 hl=2 l= 76 定数: シーケンス          
   18:d=4 hl=2 l= 56 短所: シーケンス          
   20:d=5 hl=2 l= 54 定数: SET               
   22:d=6 hl=2 l= 52 定数: シーケンス          
   24:d=7 hl=2 l= 3 プリム: オブジェクト:共通名
   29:d=7 hl=2 l= 45 prim: PRINTABLESTRING :DriveLock コンテナベースの暗号化回復
   76:d=4 hl=2 l= 16 プリム: INTEGER :27858E68B167469248D7C00E2C1815F2
   94:d=3 hl=2 l= 13 短所: シーケンス          
   96:d=4 hl=2 l= 9 プリム: オブジェクト:rsaEncryption
  107:d=4 hl=2 l= 0 プリム: NULL              
  109:d=3 hl=3 l= 128 プリム: オクテット文字列 [16進数ダンプ]:85D328B2331057D8A5F9E8B8D1199DD206556651B2E9ACB71D91C41494C7015E8BD75E69E96395BF6B87104BD3B010B2648AD7E6E39AAE5748E47E483071D58154758617D3CC50979A6B41B102947AEB120BCE325243AC72EE0F012B932987B88CCCC81357D3285B9DD796D077A90BEB30B5C0886D333D84B02E804900A4E34B
  240:d=1 hl=2 l= 91 定数: シーケンス          
  242:d=2 hl=2 l= 9 プリム: オブジェクト:pkcs7-data
  253:d=2 hl=2 l= 12 定数: シーケンス          
  255:d=3 hl=2 l= 8 プリム: オブジェクト:rc4
  265:d=3 hl=2 l= 0 プリム: NULL              
  267:d=2 hl=2 l= 64 プリム: 続き [ 0 ]

おそらく暗号化用の証明書でしょうか?

crackpkcs12 または類似のツールを使用したワードリスト攻撃で使用するためにこれを変換するにはどうすればよいですか?

答え1

このファイルは PKCS#7 (CMS、S/MIME) EnvelopedData のようです。証明書の秘密鍵は含まれていませんが、何らかのデータ (おそらくファイルの対称鍵) が含まれています。暗号化された証明書(基本的には PGP で暗号化されたファイルに似ています)。

(binwalk はこれを PKCS#8 で暗号化された秘密鍵と混同したと思います。どちらも ASN.1 DER ファイルですが、実際の内容はまったく PKCS#8 のようには見えません。)

このファイルの暗号化にはパスワードは含まれていないため、ワードリストはありません。これらは、この「DriveLock Container-based Encryption Recovery」証明書に一致する実際の秘密キーが見つかった場合にのみ役立ちます。

関連情報