Analiza APFS. Na co się przygotować?

Mam hasło do FileVault 2 i nie mogę odszyfrować plików

Do odszyfrowania plików w APFS wymagane są następujące informacje:

  • 128 bitowy klucz szyfrowania wolumenu
  • 128 bitowy drugorzędny klucz szyfrowania
  • Oryginalny „numer bloku” danego pliku

Każdy wolumen w kontenerze APFS wykorzystuje unikatowe klucze szyfrujące wolumenu oraz drugorzędne. Gdy plik zostaje usunięty przez użytkownika, powiązane z nim bloki danych zostają zwolnione. Prowadzi to do sytuacji, w której nie jest możliwe przypisanie niezaalokowanego bloku danych z powrotem do jego oryginalnego wolumenu. Dlatego na tę chwilę ustalenie kluczy szyfrujących, które mogłyby zostać użyte przez informatyka śledczego do poprawnego odszyfrowania danych, jest niemożliwe.

Całość staje się jeszcze bardziej skomplikowana w przypadku przeniesienia zaszyfrowanych bloków danych w inne miejsce. W takim przypadku dane nie są szyfrowane na nowo, a oryginalny numer bloku musi być znany jeśli chcielibyśmy je odszyfrować. Ponieważ nieprzydzielone bloki pozostają zaszyfrowane wewnątrz puli logicznego konteneru, carving danych będzie nieskuteczny bo nie będzie możliwe rozpoznanie sygnatur plików znajdujących się w ich nagłówkach. Jeśli rozpoczniemy carving danych, wynik z dużym prawdopodobieństwem będzie fałszywie dodatni bądź będzie to fragment pliku, który został utworzony przed zaszyfrowaniem woluminu.

A gdyby tak wyłączyć FileVault 2?

W APFS wyłączenie FileVault 2 odszyfrowuje metadane systemu plików i zaalokowane bloki w wolumenie. Nieprzydzielone bloki, które zostały już zwolnione do puli konteneru, nie zostaną odszyfrowane. Dzieje się to dlatego, że bloki nie są już w tym momencie powiązane z woluminem, który je zaszyfrował. W CoreStorage wolumeny HFS są szyfrowane na poziomie bloku, a nie na poziomie systemu plików. Zatem wyłączenie FileVault pozwoli na odszyfrowanie wszystkich danych, również przestrzeni niezaalokowanej. Warto zwrócić uwagę, że pliku usunięte już po wyłączeniu FileVault z wolumenów APFS, mogą zostać odzyskane ponieważ dane te nigdy szyfrowane nie były. Jak widzicie High Sierra niesie ze sobą sporo problemów. Zastanawia nas, jakie są Wasze doświadczenia. Mieliście już do czynienia z „makami” w wersji 10.13?

Polityka prywatności

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies. Zapoznaj się z naszą polityką prywatności.