Як відновити дані, зашифровані за допомогою eCryptfs
eCryptfs — це криптографічна файлова система широкого застосування, яка забезпечує вибірковий захист певних файлів або каталогів. Хоча це надійне та просте у використанні рішення, воно може становити собою справжній виклик у випадках, коли потрібно відновити зашифровані дані, що були видалені або втрачені. Річ у тім, що без належного дешифрування відновлені дані нічого не варті, оскільки до них не зможуть отримати доступ навіть авторизовані користувачі. На щастя, UFS Explorer дозволяє легко відновлювати та розшифровувати файли, зашифровані за допомогою eCryptfs, як пояснюється у цій статті.
Загальні особливості eCryptfs
eCryptfs — популярний пакет програмного забезпечення для шифрування для ОС Linux. Він доступний у стандартних репозиторіях більшості дистрибутивів Linux і зазвичай використовується виробниками NAS для шифрування спільних папок на пристроях, як-от Synology, QNAP, Asustor, TerraMaster та інших. Замість того щоб зашифрувати увесь диск повністю, eCryptfs забезпечує захист окремих файлів і каталогів, які містять конфіденційну інформацію. Програма також дозволяє шифрувати імена файлів і каталогів. Криптографічні метадані зберігаються безпосередньо в заголовку файлу, що робить зашифровані елементи незалежними один від одного.
Процес застосування шифрування досить простий, і результат зазвичай виглядає наступним чином:
-
ім'я файлу складається з фіксованого префікса "ECRYPTFS_FNEK_ECRYPTED.", після якого йде "Ідентифікатор шифрування" у кодуванні base64 та ім'я зашифрованого файлу в кодуванні base64;
-
заголовок файлу має певний формат, який вказує на те, що він зашифрований;
-
фактичний вміст файлу зашифрований.
Коли такий файл стає жертвою випадкового видалення або іншої логічної помилки, яка призводить до його втрати, все ще залишається можливість відновити його за допомогою утиліти для відновлення даних. Однак, з огляду на те, що його дані зашифровані, його все одно потрібно розблокувати із застосуванням правильних облікових даних. Це можна зробити за допомогою файлу "wrapped-passphrase", у якому зберігається ключ шифрування файлу ("encryption passphrase", парольна фраза шифрування), або самої парольної фрази, яку потрібно зберігати про всяк випадок.
UFS Explorer Professional Recovery має усі необхідні функції для дешифрування даних, зашифрованих за допомогою eCryptfs різних конфігурацій, і подальшої безперебійної роботи з отриманим вмістом. Тож давайте подивимося, як працювати з різними випадками застосування eCryptfs за допомогою цього програмного забезпечення для відновлення даних. Але спершу, будь ласка, ознайомтеся з принципами роботи eCryptfs, описаними в окремій статті.
Відновлення файлів із зашифрованої спільної папки пристрою NAS
У першому випадку ми використовуємо Synology NAS, спільну папку "Protected" якого зашифровано за допомогою eCryptfs.
Як і більшість пристроїв NAS, наш пристрій використовує спрощений варіант eCryptfs. Він передбачає застосування фіксованого стандартного "ключа обгортки" замість згенерованого на основі пароля користувача. Цей ключ служить для шифрування визначеної користувачем "парольної фрази шифрування", яка, у свою чергу, використовується для шифрування файлів у конкретній спільній папці.
"Парольна фраза" (encryption passphrase) зберігається в "загорнутому" вигляді в спеціальному файлі "*.key".
Однак слід зазначити, що пристрої NAS від інших виробників, наприклад, від Western Digital, можуть мати власні налаштування eCryptfs і, отже, особливості дешифрування. Файл резервної копії для їхньої "парольної фрази шифрування" також може мати інший формат або розташування.
Розшифрувати спільну папку на нашому Synology NAS можливо лише за наявності правильної "парольної фрази шифрування" або вихідного файлу "*.key".
Зібравши наше сховище в інтерфейсі UFS Explorer Professional Recovery відповідно до рекомендацій з відновлення даних з Synology NAS, ми можемо переглянути вміст його розділу "data" просто у програмі.
Щоб отримати доступ до списку спільних папок на нашому NAS, треба відкрити папку "@syno", а потім перейти до папки "@eaDir".
Файл "SYNO@.encrypt", що знаходиться у папці, яка відповідає нашій спільній папці "Protected", вказує на те, що вона була зашифрована.
Фактичні зашифровані дані зберігаються в іншій папці в корені з таким же ім'ям, але перед і після нього стоїть символ "@".
Щоб розшифрувати файли, ми можемо відкрити контекстне меню потрібного об'єкта файлової системи та вибрати опцію "Застосувати перетворення файлів".
У діалозі, що відкрився, в полі "Пароль декодування" вказуємо парольну фразу шифрування, яку ми ввели під час створення спільної папки.
У результаті в програмному забезпеченні з’явиться нова вкладка "Файлова система фільтра eCryptfs". Ця вкладка міститиме файли, розшифровані за допомогою наданого паролю.
Пароль розшифровки, якщо ви його забули, також можна "розгорнути" з експортованого файлу резервної копії "*.key". Для цього в спадному меню пункту "Інструменти" головного меню UFS Explorer Professional Recovery є опція "Розгортка паролю eCryptfs".
У відкритому діалоговому вікні ми встановлюємо "Шлях до файла ключа", перейшовши до місця розташування нашого файлу "*.key".
Після цього ми вибираємо опцію "Пароль за замовчуванням Synology NAS" і натискаємо кнопку "Розгорнути", щоб отримати парольну фразу шифрування з цього файлу.
Цю парольну фразу шифрування можна скопіювати в буфер обміну, щоб у подальшому використати для розшифровки файлів за допомогою опції "Застосувати перетворення файлів".
Відновлення даних із зашифрованої домашньої папки під Linux
На відміну від більшості платформ NAS, Linux дозволяє шифрувати домашні папки користувача за допомогою повнофункціональної реалізації eCryptfs. За замовчуванням генерується випадковий ключ шифрування файлу, а пароль користувача потрібен, щоб "розгорнути" його з файлу "wrapped-passphrase". Такий підхід дозволяє міняти пароль користувача у системі, але дещо ускладнює розшифровку папки. Зокрема, розшифровку можна виконати лише за наявності як пароля користувача ("пароль для входу"), так і файлу "wrapped-passphrase" (загорнутої фрази-паролю).
Давайте подивимося на наш приклад в Ubuntu. Домашня папка користувача "user" не зашифрована, а от користувач "test" увімкнув шифрування для своєї домашньої папки.
Зашифрований вміст знаходиться в папці ".ecryptfs" у підпапці ".Private" папки, яка відповідає нашому користувачеві "test".
Папка ".ecryptfs" містить файл "wrapped-passphrase". Ми можемо зберегти цей файл в іншому місці для подальшого вилучення оригінального ключа шифрування.
Тепер ми можемо застосувати функцію "Розгортка паролю eCryptfs" у пункті "Інструменти" головного меню UFS Explorer Professional Recovery, щоб "розгорнути" ключ шифрування з файлу.
У відкритому діалоговому вікні ми завантажуємо файл "wrapped-passphrase" за допомогою параметра "Шлях до файла ключа", а потім вказуємо пароль користувача ("пароль для входу") як "Пароль згортки", щоб розшифрувати випадково згенерований ключ шифрування.
Після натискання кнопки "Розгорнути" програма покаже ключ шифрування файлу, який можна скопіювати в буфер обміну.
Тепер ми можемо перейти до опції "Застосувати перетворення файлів" в контекстному меню нашого об'єкта файлової системи.
У діалоговому вікні, що відкрилося, вставляємо скопійований ключ шифрування в поле "Пароль декодування" і змінюємо параметр "Довжина ключа для імен файлів" на 128 біт.
Однак зауважте, що сама конфігурація eCryptfs не містить інформації про довжину ключа для розшифровки імен файлів. Якщо вибрати неправильну довжину ключа, імена файлів не будуть розшифровані належним чином, навіть якщо пароль користувача вірний. Якщо це станеться, спробуйте застосувати інші варіанти довжини ключа.
Після натискання на кнопку "Так", програмне забезпечення відкриє новий "том фільтра eCryptfs" із розшифрованою домашньою папкою користувача "test".
Відеоінструкція з відновлення даних, зашифрованих за допомогою eCryptfs
Наступне відео допоможе вам отримати більш чітке розуміння процедури дешифрування eCryptfs:
Останнє оновлення: 18 серпня 2023