• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Umlaut im FDE Passwort

Themenstarter #1
Hallo,
ich habe disk encryption passwort geändert und leider einen umlaut eingebaut.
Beim nächsten boot konnte ich dann nicht mehr die festplatte entschlüsseln.
Hab dann folgendes gemacht:
die platte an eine andere openbsd maschine angeschlossen.
mit bioctl -c C -l /dev/sd0a softraid0 das verschlüsselte softraid als sd1 eingebunden.
dann mit bioctl -P sd1 das passwort geändert und mit bioctl -d sd1 das softraid wieder entfernt.
die platte wieder in die andere maschine und bekomme nun das:
disk: hd0+ sr0
>> OpenBSD/amd64 BOOT 3.34
open(hd0a:/etc/boot.conf): Invalid argument
boot>
cannot open hd0a:/etc/random.seed: Invalid argument
booting hd0a:/bsd: open hd0a:/bsd: Invalid argument
failed(22). will try /bsd

usw

Ich kann die verschlüsselte platte am andere pc anschließen und mit dem neuen passwort das softraid einbinden. sehe auch die partitionen (disklabel sd1), jedoch kann ich keine von denen (mount /dev/sd1a /mnt/root) mounten, /dev/sd1a: device not configured

Kann wer helfen? Hab ich mein softraid zerstört?
 
Themenstarter #2
Geschafft. Ganzen Tag gewerkt und gelernt. System läuft wieder.

Hier die schritte:
mit dem befehl "boot sr0a:/bsd.rd" in die ramdisk booten.
dort mit "bioctl -c C -l /dev/sd0a softraid0" das softraid entschlüsseln und einhängen (in meinem fall sd1)
ins /dev verzeichnis wechseln und dort "sh MAKEDEV sd1" ausführen
root und usr mounten:
mount /dev/sd1a /mnt
mount /dev/sd1f /mnt/usr

dann bootstrap fixen/installieren
installboot -v -r /mnt sd1
reboot
fertig.

so weit ich das verstanden habe, hat bioctl -d irgendwas verbockt.
mehr dazu hier:
http://openbsd-archive.7691.n7.nabble.com/Full-disk-encryption-questions-td325169.html
 

Arjan

Well-Known Member
#3
Habe mir das jetzt dreimal durchgelesen(Platte verschlüsseln war noch nicht mein Thema) und frage mich gerade: Du hast bei einer verschlüsselten Installation Dein Paßwort versemmelt, es geschafft, darauf ein neues Paßwort zu setzen und kommst jetzt wieder problemlos rein?

Hab ich jetzt einen Denkfehler?

Wenn das so einfach ist wie oben beschrieben, kann das ja jeder, der die Platte (weg)findet... :(
 

TCM

Well-Known Member
#4
Gebootetes OS kann anderes Tastaturlayout haben als der Bootloader. Das Passwort ist ja bekannt und mit dem richtigen Layout auch eingebbar, nur im Bootloader ging's nicht.

Man kann es nicht einfach so neusetzen. Das alte Passwort muss man schon richtig eingeben. :)
 
Themenstarter #5
Habe mir das jetzt dreimal durchgelesen(Platte verschlüsseln war noch nicht mein Thema) und frage mich gerade: Du hast bei einer verschlüsselten Installation Dein Paßwort versemmelt, es geschafft, darauf ein neues Paßwort zu setzen und kommst jetzt wieder problemlos rein?

Hab ich jetzt einen Denkfehler?

Wenn das so einfach ist wie oben beschrieben, kann das ja jeder, der die Platte (weg)findet... :(
Passwort war bekannt und wird beim anbinden des softraids mittels bioctl -c C -l /dev/sd0a softraid0 abgefragt.
 

NaWi

Well-Known Member
#6
@Arjan

Wenn das so einfach ist wie oben beschrieben, kann das ja jeder, der die Platte (weg)findet... :(
Das Thema ist alt und, ich war echt schon lange nicht mehr hier.

Code:
bioctl -c C -l /dev/sd0a softraid0
Erfordert - wie oben schon geschrieben - das alte Passwort. Dennoch hast Du recht. Eine mit FDE verschlüsselte Platte, die eine passphrase verwendet ist nicht vollständig verschlüsselt (das würde ja auch nicht funktionieren). Daher lässt sich das Passwort per bruteforce ermitteln (Google kennt auch entsprechende Anleitungen dazu). Wenn Du eine wirklich vollständig verschlüsselte Platte willst, musst Du eine keydisk (ebenfalls mit bioctl) verwenden. Eine keydisk ist aber nur für Rechner mit physischem Zugriff sinnvoll.
 

TCM

Well-Known Member
#7
Oh oh, jetzt mal ganz langsam. Natürlich ist eine Platte mit Passphrase "vollständig verschlüsselt". Warum soll das nicht funktionieren?

Eine keydisk ersetzt nur die Passphrase. Verschlüsselt ist die Platte trotzdem mit einem gleichstarken Key, der im Fall der Passphrase halt per PBKDF2 abgeleitet wird.
 

NaWi

Well-Known Member
#8
Nope.

https://undeadly.org/cgi?action=article;sid=20110530221728

When softraid is used for disk encryption the root partition is usually left unencrypted to allow bioctl(8) to ask for a passphrase upon boot (as we wrote earlier).
I don't want to use such a setup for several reasons:
I don't want to remember yet another passphrase.
Sensitive data (such as keys stored in /etc) on the root filesystem is exposed when the system falls into the wrong hands.
The "Passphrase:" prompt from bioctl(8) gives away the fact that encryption is being used. Instead, I want the system to make a more or less broken appearance when it is booted by an attacker.
Thankfully, in addition to passphrases, softraid also supports storing keying material on a key disk.
Was in dem Zusammenhang auch noch interessant sein dürfte

http://openbsd-archive.7691.n7.nabb...ed-partition-s-contents-How-do--td283333.html