Estoy intentando recuperar una contraseña perdida de un sistema de archivos cifrado. El software utilizado es CenterTools DriveLock, alguna versión antigua, propietaria, sin documentación. De manera similar a VeraCrypt, funciona con discos cifrados dentro de varios archivos grandes y un ejecutable. Las cadenas del ejecutable mencionan AES/3DES/Blowfish/Twofish/CAST5/SHA-1/RIPEMD/PMC/Serpent/Whirlpool. Entonces probablemente AES
Al ejecutar binwalk en el primer archivo cifrado se obtuvo una clave privada:
1164 0x48C Private key in DER format (PKCS header length: 4, sequence length: 329
Archivo RAW(codificado en Base64):
MIIBSQIBADGB5jCB4wIBADBMMDgxNjA0BgNVBAMTLURyaXZlTG9jayBDb250YWluZXItYmFzZWQg RW5jcnlwdGlvbiBSZWNvdmVyeQIQJ4WOaLFnRpJI18AOLBgV8jANBgkqhkiG9w0BAQEFAASBgIXT KLIzEFfYpfnouNEZndIGVWZRsumstx2RxBSUxwFei9deaeljlb9rhxBL07AQsmSK1+bjmq5XSOR+ SDBx1YFUdYYX08xQl5prQbEClHrrEgvOMlJDrHLuDwErkymHuIzMyBNX0yhbndeW0HepC+swtcCI bTM9hLAugEkApONLMFsGCSqGSIb3DQEHATAMBggqhkiG9w0DBAUAgEAjCk9WujyWarnk2c3/8U1u Euq6yIlEVN/c2NwIGYBNLTBC+mrsw7wX465zvXi4cpLsWTbpR8Sg5Vino3wUlUhe
openssl asn1parse -informar DER -en der_private_key
0:d=0 hl=4 l= 329 contras: SECUENCIA
4:d=1 hl=2 l= 1 prim: ENTERO :00
7:d=1 hl=3 l= 230 contras: CONJUNTO
10:d=2 hl=3 l= 227 contras: SECUENCIA
13:d=3 hl=2 l= 1 prim: ENTERO :00
16:d=3 hl=2 l= 76 contras: SECUENCIA
18:d=4 hl=2 l= 56 contras: SECUENCIA
20:d=5 hl=2 l= 54 contras: CONJUNTO
22:d=6 hl=2 l= 52 contras: SECUENCIA
24:d=7 hl=2 l= 3 prim: OBJETO :nombrecomún
29:d=7 hl=2 l= 45 prim: PRINTABLESTRING :Recuperación de cifrado basada en contenedor DriveLock
76:d=4 hl=2 l= 16 prim: ENTERO :27858E68B167469248D7C00E2C1815F2
94:d=3 hl=2 l= 13 contras: SECUENCIA
96:d=4 hl=2 l= 9 prim: OBJETO:rsaEncryption
107:d=4 hl=2 l= 0 prim: NULO
109:d=3 hl=3 l= 128 prim: CADENA DE OCTETOS [VUELCO HEXAGONAL]:85D328B2331057D8A5F9E8B8D1199DD206556651B2E9ACB71D91C41494C7015E8BD75E69E96395BF6B87104BD3 B010B2648AD7E6E39AAE5748E47E483071D58154758617D3CC50979A6B41B102947AEB120BCE325243AC72EE0F012B932987B88CCCC81357D3285B9DD796D077A90BE B30B5C0886D333D84B02E804900A4E34B
240:d=1 hl=2 l= 91 contras: SECUENCIA
242:d=2 hl=2 l= 9 prim: OBJETO:pkcs7-data
253:d=2 hl=2 l= 12 contras: SECUENCIA
255:d=3 hl=2 l= 8 prim: OBJETO :rc4
265:d=3 hl=2 l= 0 prim: NULO
267:d=2 hl=2 l= 64 prim: cont [ 0 ]
¿Probablemente certificado para el cifrado?
¿Cómo puedo convertirlo para usarlo en un ataque de lista de palabras con crackpkcs12 o similar?
Respuesta1
Este archivo se parece a PKCS#7 (CMS, S/MIME) EnvolvedData. No tiene la clave privada del certificado; tiene algunos datos (probablemente la clave simétrica del archivo)cifrado conel certificado (básicamente es similar a un archivo cifrado con PGP).
(Creo que binwalk lo confundió con una clave privada cifrada PKCS#8, ya que ambos son archivos DER ASN.1, pero el contenido real no se parece en nada a PKCS#8).
Las contraseñas no participan en el cifrado de este archivo, por lo tanto, no hay listas de palabras. Eso sólo sería útil si encontrara la clave privada real que coincida con este certificado de "Recuperación de cifrado basado en contenedor DriveLock".