Echec de l'extraction de la phrase secrète et de son insertion dans le trousseau de session de l'utilisateur

Mise à jour: 19 juin 2018

Résumé

Je venais tout juste de recevoir une erreur similaire lorsque je tentais de déchiffrer des données d’un lecteur externe. Chaque fois que le message d'erreur provient d'un mot de passe invalide, je peux le dupliquer toute la journée. Au lieu d'utiliser ecryptfs-recover-private J'utilisais ecryptfs-unwrap-passphrase, ce qui, je pense, concerne des données spécifiques, bien que je n'aie pas envie de rechercher la différence.

Note: Ce n'est pas un guide copier/coller, c'est plus un témoignage de mon succès.

Déballer la phrase secrète

Vous devrez trouver votre fichier wrapped-passphrase. Si vous n'êtes pas sûr de l'endroit où vous vous trouvez, vous pouvez utiliser findname__. Après avoir monté votre volume, vous pouvez faire:

Sudo find /media -name wrapped-passphrase

Vous voudrez substituer le chemin qui retourne à mes chemins énumérés ci-dessous.

Mes pas après le montage de l'ancien lecteur.

cd /media/_UUID_/.ecryptfs/paulj/.encryptfs
ecryptfs-unwrap-passphrase ./wrapped-passphrase
Passphrase:

Il vous demandera toujours une phrase secrète. Il s'agit du mot de passe initialement défini lors de la création du répertoire personnel chiffré lors de l'installation d'Ubuntu. Dans la configuration, il est fortement recommandé d'utiliser un mot de passe différent de votre mot de passe de connexion. Si vous avez essayé votre mot de passe de connexion pendant la dernière heure et que vous avez échoué, essayez-en d'autres différents. Essayez ce mot de passe que vous utilisez rarement.

J'avais oublié ce qu'était le mien, j'ai essayé tous mes mots de passe super géniaux et j'ai continué à recevoir ce message d'erreur:

Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

Après une recherche sur Google pendant environ une heure, je me suis dit que j'essaierais d'utiliser un mot de passe dont je savais qu'il était mauvais. J'ai donc entré mot de passe à l'invite Passphrase.

Ce qui suit a été recraché:

116b053e08564b53b2967e64e509bdc5

Je répète ecryptfs-unwrap-passphrase et ai essayé un mot de passe différent et j'ai reçu le même message d'erreur -5 que celui mentionné ci-dessus. Il se trouve que j'avais en fait défini la phrase secrète sur mot de passe, probablement à cause de mes frustrations liées au déchiffrement des données dans Ubuntu dans le passé.

Ajouter une phrase secrète à la saisie

En ajoutant la phrase secrète à ecryptfs-add-passphrase, utilisez la phrase secrète générée à l'étape précédente.

Sudo ecryptfs-add-passphrase --fnek
Passphrase: 116b053e08564b53b2967e64e509bdc5

Les sorties:

Inserted auth tok with sig [b69fed2a22932ba4] into the user session keyring
Inserted auth tok with sig [8aad0fb4482edab3] into the user session keyring

Monter ou récupérer

À ce stade, vous avez deux options, je suggère d'essayer de monter, puis si vous ne pouvez pas monter, essayez de récupérer.

Monter le lecteur

Il est facile de penser que le répertoire .Private est un volume non monté.

Ici encore, vous devrez spécifier vos propres répertoires.

Sudo mkdir -p /home/paulj/Private
Sudo mount -t ecryptfs /media/_UUID_/.ecryptfs/paulj/.Private /home/paulj/Private

Passphrase: 116b053e08564b53b2967e64e509bdc5
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (loaded)
 2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
 4) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
 5) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]: aes

Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 16

Enable plaintext passthrough (y/n) [n]: n

Enable filename encryption (y/n) [n]: y <-- If your filenames display oddly, toggle this to y or n.

{this is the second value from Inserted auth tok...}
Filename Encryption Key (FNEK) Signature: 8aad0fb4482edab3

Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=8aad0fb4482edab3
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b69fed2a22932ba4
Mounted eCryptfs

Espérons que lorsque vous avez initialement créé le lecteur crypté, vous n'avez pas dérangé le chiffrement ou les octets de clé.

Affiche toutes les données de mon ancien répertoire personnel.

cd /home/paulj/Private
ls -la

Remarque: À ce stade, si vous obtenez des ensembles d'autorisations/propriétaires/groupes non valides, vous souhaiterez démonter le lecteur et passer à la section Récupérer.

Si vous obtenez un bon ensemble d'autorisations, copiez cette ordure hors du lecteur chiffré sur le bureau, par exemple.

mkdir ~/Desktop/Backup
cp -Rv ./* ~/Desktop/Backup

Récupérer

J'ai découvert que je ne pouvais pas monter mes ecryptfs avec succès. lsaffichait des paramètres d'autorisation/propriétaire/groupe non valides. Cela ressemblait à ceci:

total ??
d????-??-?  ?? ??      ??      ??   ??            .
d????-??-?   6 root    root    4.0K Jun 19 11:42  ..
d???------  ?? ??      ??      ??   ??            .aptitude
d????-??-?  ?? ??      ??      ??   ??            .autoenv
-??-?--?--  ?? ??      ??      ??   ??            .autoenv_authorized
d????-??-?  ?? ??      ??      ??   ??            .aws
-??-?--?--  ?? ??      ??      ??   ??            .bash_aliases
-??-------  ?? ??      ??      ??   ??            .bash_history
-??-?--?--  ?? ??      ??      ??   ??            .bash_logout
-??-?--?--  ?? ??      ??      ??   ??            .bashrc
d????-??-?  ?? ??      ??      ??   ??            bin
d????-??-?  ?? ??      ??      ??   ??            .cache
d????-??-?  ?? ??      ??      ??   ??            code
d????-??-?  ?? ??      ??      ??   ??            .config

Je ne sais pas pourquoi j'ai eu des problèmes avec mountname__, alors j'ai commencé à jouer avec ecryptfs-recover-private et j'ai eu un peu de chance.

Encore une fois, vous devrez utiliser votre propre phrase secrète générée ci-dessus. Notez que j'ai utilisé le commutateur --rw ici pour rendre le montage en lecture/écriture. Si vous omettez le commutateur, il sera monté en lecture seule.

Sudo ecryptfs-recover-private --rw /media/_UUID_/.ecryptfs/paulj/.Private

INFO: Found [/media/_UUID_/.ecryptfs/paulj/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: 116b053e08564b53b2967e64e509bdc5
Inserted auth tok with sig [b69fed2a22932ba4] into the user session keyring
INFO: Success!  Private data mounted at [/tmp/ecryptfs.idv9OohY].

Le chemin tmpqu'il contient contiendra votre montage chiffré.

ls -la /tmp/ecryptfs.idv9OohY

Cela devrait montrer votre chemin complet avec les ensembles d'autorisations appropriés. Maintenant, copiez-le quelque part.

mkdir ~/Desktop/Recovered
Sudo cp -Rv /tmp/ecryptfs.idv9OohY ~/Desktop/Recovered

En clôture

BONNE CHANCE !!

Vous devriez pouvoir l’utiliser pour n’importe quelle variante d’Ubuntu, je l’ai par exemple utilisée entre et entre Ubuntu et Mint et Lubuntu.

Si vous ne trouvez que ce fil, à moins que vous n'utilisiez spécifiquement mot de passe comme phrase secrète, ces valeurs hexadécimales ne fonctionneront pas.