Ich versuche, ein verlorenes Passwort eines verschlüsselten Dateisystems wiederherzustellen. Die verwendete Software ist CenterTools DriveLock, eine alte Version, proprietär, keine Dokumentation. Ähnlich wie VeraCrypt funktioniert es mit verschlüsselten Datenträgern innerhalb mehrerer großer Dateien und einer ausführbaren Datei. Die Zeichenfolgen der ausführbaren Datei erwähnen AES/3DES/Blowfish/Twofish/CAST5/SHA-1/RIPEMD/PMC/Serpent/Whirlpool. Also wahrscheinlich AES
Durch Ausführen von „binwalk“ auf der ersten verschlüsselten Datei wurde ein privater Schlüssel ermittelt:
1164 0x48C Private key in DER format (PKCS header length: 4, sequence length: 329
RAW-Datei(Base64-kodiert):
MIIBSQIBADGB5jCB4wIBADBMMDgxNjA0BgNVBAMTLURyaXZlTG9jayBDb250YWluZXItYmFzZWQg RW5jcnlwdGlvbiBSZWNvdmVyeQIQJ4WOaLFnRpJI18AOLBgV8jANBgkqhkiG9w0BAQEFAASBgIXT KLIzEFfYpfnouNEZndIGVWZRsumstx2RxBSUxwFei9deaeljlb9rhxBL07AQsmSK1+bjmq5XSOR+ SDBx1YFUdYYX08xQl5prQbEClHrrEgvOMlJDrHLuDwErkymHuIzMyBNX0yhbndeW0HepC+swtcCI bTM9hLAugEkApONLMFsGCSqGSIb3DQEHATAMBggqhkiG9w0DBAUAgEAjCk9WujyWarnk2c3/8U1u Euq6yIlEVN/c2NwIGYBNLTBC+mrsw7wX465zvXi4cpLsWTbpR8Sg5Vino3wUlUhe
openssl asn1parse -inform DER -in der_private_key
0:d=0 hl=4 l= 329 cons: REIHE
4:d=1 hl=2 l= 1 prim: INTEGER :00
7:d=1 hl=3 l= 230 Nachteile: SET
10:d=2 hl=3 l= 227 cons: REIHE
13:d=3 hl=2 l= 1 prim: INTEGER :00
16:d=3 hl=2 l= 76 cons: REIHE
18:d=4 hl=2 l= 56 cons: REIHE
20:d=5 hl=2 l= 54 Nachteile: EINSTELLEN
22:d=6 hl=2 l= 52 cons: REIHE
24:d=7 hl=2 l= 3 prim: OBJEKT :allgemeinerName
29:d=7 hl=2 l= 45 prim: PRINTABLESTRING :DriveLock Container-basierte Verschlüsselungswiederherstellung
76:d=4 hl=2 l= 16 prim: INTEGER :27858E68B167469248D7C00E2C1815F2
94:d=3 hl=2 l= 13 cons: REIHE
96:d=4 hl=2 l= 9 prim: OBJEKT :rsaEncryption
107:d=4 hl=2 l= 0 prim: NULL
109:d=3 hl=3 l= 128 prim: OCTET STRING [HEX DUMP]:85D328B2331057D8A5F9E8B8D1199DD206556651B2E9ACB71D91C41494C7015E8BD75E69E96395BF6B87104BD3B010B2648AD7E6E39AAE5748E47E483071D58154758617D3CC50979A6B41B102947AEB120BCE325243AC72EE0F012B932987B88CCCC81357D3285B9DD796D077A90BEB30B5C0886D333D84B02E804900A4E34B
240:d=1 hl=2 l= 91 cons: REIHE
242:d=2 hl=2 l= 9 prim: OBJEKT :pkcs7-Daten
253:d=2 hl=2 l= 12 cons: REIHE
255:d=3 hl=2 l= 8 prim: OBJEKT :rc4
265:d=3 hl=2 l= 0 prim: NULL
267:d=2 hl=2 l= 64 prim: cont [ 0 ]
vermutlich Zertifikat für die Verschlüsselung?
Wie kann ich es für die Verwendung in einem Wortlistenangriff mit crackpkcs12 oder ähnlichem konvertieren?
Antwort1
Diese Datei sieht aus wie PKCS#7 (CMS, S/MIME) EnvelopedData. Sie enthält nicht den privaten Schlüssel des Zertifikats, sondern einige Daten (wahrscheinlich den symmetrischen Schlüssel der Datei).verschlüsselt mitdas Zertifikat (im Grunde ähnelt es einer PGP-verschlüsselten Datei).
(Ich glaube, Binwalk hat es mit einem mit PKCS#8 verschlüsselten privaten Schlüssel verwechselt, da es sich bei beiden um ASN.1-DER-Dateien handelt, der eigentliche Inhalt jedoch überhaupt nicht wie PKCS#8 aussieht.)
Bei der Verschlüsselung dieser Datei sind keine Passwörter beteiligt, daher auch keine Wortlisten. Diese würden nur helfen, wenn Sie den tatsächlichen privaten Schlüssel finden würden, der zu diesem „DriveLock Container-based Encryption Recovery“-Zertifikat passt.