0 votos

mmorin avatar

¿Qué elementos encriptados muestran una pista?

Preguntado el 2 de Octubre, 2019
Cuando se hizo la pregunta
89 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

He encriptado algunas unidades con Disk Utility y establecer una pista de contraseña. Esta pista no se muestra en un ordenador diferente. Es vergonzoso porque esas eran unidades de copia de seguridad y perder el ordenador significa también perder la clave de la copia de seguridad.

Sin embargo, descubrí por casualidad, cuando estaba haciendo un arranque desde un USB en vivo, que las pistas para el cifrado del disco de inicio sí muestran sus pistas de contraseña, como se muestra en este ejemplo:

Disk encrypted showing password hint on different computer

¿Podría alguien confirmar que las pistas de contraseña para las unidades encriptadas con Disk Utility se guardan en el ordenador local y no aparecen en unidades diferentes, idealmente con una referencia?

¿Y en qué casos las unidades encriptadas almacenan sus pistas, como en el ejemplo del disco de arranque anterior?

Actualización : Estoy corriendo macOS 10.14.6 . Aquí hay una captura de pantalla de la unidad cifrada con Disk Utility que no muestra una pista:

Dialog for decryption that does not show a hint

Creo que elegí MacOS Extended (Journaled, Encrypted) como el formato en Disk Utility.app para las unidades que no muestran una pista. Este es el resultado de diskutil list con las dos unidades conectadas, una que muestra una pista y está desencriptada, la otra que no muestra una pista y está bloqueada:

$ diskutil list
/dev/disk0 (internal, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID\_partition\_scheme                        \*121.3 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:                 Apple\_APFS Container disk1         121.1 GB   disk0s2

/dev/disk1 (synthesized):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      APFS Container Scheme -                      +121.1 GB   disk1
                                 Physical Store disk0s2
   1:                APFS Volume Macintosh HD            105.0 GB   disk1s1
   2:                APFS Volume Preboot                 45.5 MB    disk1s2
   3:                APFS Volume Recovery                510.4 MB   disk1s3
   4:                APFS Volume VM                      2.1 GB     disk1s4

/dev/disk2 (external, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID\_partition\_scheme                        \*240.1 GB   disk2
   1:                        EFI EFI                     209.7 MB   disk2s1
   2:          Apple\_CoreStorage Time Machine Encryped   239.7 GB   disk2s2
   3:                 Apple\_Boot Boot OS X               134.2 MB   disk2s3

Offline
                                 Logical Volume Time Machine Encryped on disk2s2
                                 2930C7CC-4EE4-43AB-B1FB-81756A1CC0E5
                                 Locked Encrypted
Preguntado el 2 de Octubre, 2019 por mmorin

Respuestas

¿Demasiados anuncios?

2voto

Jose Chavez avatar
Jose Chavez Puntos 645

Las pistas de la contraseña no se almacenan en el ordenador local como tal.

En cambio, para APFS se almacena en la propia unidad cifrada en la bolsa de claves "volume passphrase hint". Puedes leer los detalles aquí Referencia del sistema de archivos APFS .

En el caso de HFS+, se almacena en la entrada "PassphraseHint" de la estructura "CryptoUsers" de la estructura "com.apple.corestorage.lvf.encryption.context" del plist XML de CoreStorage en la unidad cifrada. Puede leer los detalles aquí Cifrado de unidades FileVault

Tenga en cuenta que las pistas de la contraseña sólo se almacenan para las unidades protegidas con frases de contraseña (es decir, la contraseña).

Por lo tanto, no puedo confirmar su suposición. Esto es siempre así.

Nota: En la respuesta de lx07 veo que llega a la conclusión de que la pista no está almacenada en el disco después de buscarla con un hexeditor. Eso no es correcto. El PLIST está comprimido usando DEFLATE y la pista en sí puede estar codificada en base64. Tendrás que descomprimir los datos antes de buscar la pista, si quieres encontrarla manualmente de esa manera.

Además, tenga en cuenta la sección 7 del documento FVDE de referencia (The encryption context plist) - es decir, que dependiendo de su configuración, el PLIST que contiene la pista podría estar ubicado fuera de la partición cifrada, y en su lugar estar almacenado en la partición "Recovery HD" en la misma unidad física. Puede ser almacenado tanto en forma no encriptada como encriptada. En el caso de la forma cifrada, la clave AES-XTS es el identificador del volumen cifrado (es decir, la clave se almacena sin cifrar en la unidad).

Respondido el 2 de Octubre, 2019 por Jose Chavez (645 Puntos )

1voto

Michael avatar
Michael Puntos 193

En el caso de los volúmenes APFS, la pista se almacena en el volumen. Véase Referencia del sistema de archivos de Apple.pdf

Página 120

La bolsa de claves del volumen puede contener una pista de frase de contraseña para el usuario (KB_TAG_VOLUME_PASSPHRASE_HINT), que se puede mostrar cuando se pide la contraseña.

Página 131

KB_TAG_VOLUME_PASSPHRASE_HINT Los datos de la clave almacenan la pista de la contraseña del usuario como texto sin formato.

Esto mostrará una pista cuando intentes abrirlo.

APFS volume

Sin embargo, el HFS encriptado (MacOS Extended) no tiene la Show Hint / Hide Hint botón :

HFS volume

A diferencia de APFS, no he podido encontrar documentación detallada sobre la disposición de los volúmenes de CoreStorage, pero mirando con el editor hexadecimal de un volumen HFS encriptado la pista es no almacenado en texto plano. EDITAR : Ver la respuesta de jksoegaard para saber cómo se almacena y enlace a la documentación de FireVault Drive Encryption.

Esto fue probado en la versión 10.14.6 de Mojave - si el Show Hint El botón se mostraba en versiones anteriores que no recuerdo.

Este tema de los volúmenes HFS+ encriptados que no muestran pista se discute más en esta pregunta sin resolver - ¿Cómo puedo obtener la pista de la contraseña de un disco encriptado?

Respondido el 2 de Octubre, 2019 por Michael (193 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X