Бэкдор для LUKS. Как перехватить ключ и пароль от зашифрованного раздела в Linux

LUKS — это, по сути, стан­дарт для шиф­рования дис­ков в Linux. Под­держи­вает­ся до вось­ми сло­тов клю­чей, есть выбор хеш‑фун­кций, алго­рит­мов и режимов шиф­рования, есть адап­тивный алго­ритм выбора количес­тва ите­раций. Рас­шифро­вать дан­ные на дис­ке мож­но, толь­ко имея дос­туп к сек­ретно­му клю­чу и паролю.

Сре­ди дру­гих пре­иму­ществ LUKS:

• сов­мести­мость через стан­дарти­зацию;
• за­щита от атак с низ­кой энтро­пией;
• воз­можность анну­лиро­вать сек­ретную фра­зу.

Ну и рас­простра­няет­ся она бес­плат­но.

Настройка диска

Все манипу­ляции мы будем про­водить на све­жем Debian 10, добавив допол­нитель­ный диск для экспе­римен­тов с шиф­ровани­ем.

Пос­ле уста­нов­ки перехо­дим под root:

За­тем ути­литой fdisk смот­рим наз­вания дос­тупных дис­ков:

В сво­ем при­мере я буду исполь­зовать устрой­ство /dev/sdb. Для раз­метки дис­ка исполь­зую ути­литу parted, передав имя дис­ка в качес­тве аргу­мен­та:

По­мечаю таб­лицу раз­делов как GPT:

И соз­даю единс­твен­ный раз­дел, занима­ющий весь диск:

Сборка cryptsetup

Ра­боты с раз­меткой /dev/sdb закон­чены. Перехо­дим к сбор­ке cryptsetup.

Ес­ли у тебя уже уста­нов­лен LUKS и ты хочешь модифи­циро­вать текущую вер­сию ути­литы, исполь­зуй dpkg-dev. В этом же при­мере я буду собирать cryptsetup из исходных кодов, ска­чан­ных отдель­но от сис­темы. У меня вер­сия 2.0.6, так как при сбор­ке пос­ледней дос­тупной (2.3.4) были проб­лемы с вер­сиями биб­лиотек.

Ска­чива­ем, рас­паковы­ваем и уста­нав­лива­ем необ­ходимые зависи­мос­ти:

Со­бира­ем и уста­нав­лива­ем:

Про­веря­ем уста­нов­ку:

От­лично. Теперь соз­дадим зашиф­рован­ный раз­дел с помощью cryptsetup и пароля, вво­димо­го в TTY:

Сог­лаша­емся на фор­матиро­вание (YES) и вво­дим пароль для пос­леду­юще­го дос­тупа к раз­делу. Я исполь­зую t3st3ncryp7.

Про­веря­ем, все ли уда­лось.

Все получи­лось! Под­клю­чаем шиф­рован­ный раз­дел, что­бы даль­ше его мон­тировать:

Вво­дим пароль­ную фра­зу (t3st3ncryp7). Чуть поз­же в этом мес­те мы перех­ватим вво­димый в TTY пароль.

Фор­матиру­ем раз­дел:

И мон­тиру­ем для работы, нап­ример в /mnt:

Модифицируем код

На этом эта­пе мы научи­лись мон­тировать шиф­рован­ный раз­дел LUKS c исполь­зовани­ем пароль­ной фра­зы. Сей­час мы испра­вим исходный код, что­бы сох­ранять не толь­ко вво­димый пароль, но и слу­чай­но сге­нери­рован­ный файл, который может быть ука­зан в качес­тве клю­ча для рас­шифров­ки раз­дела.