当我记得当时我对驱动器进行了备份时,我丢失了一些相当旧的帐户的密码。在那里,我找到了一个~/.local/share/password-store
目录,其中我的密码是由pass
密码管理器加密的。我还找到了~/.gnupg
和~/.local/share/gnupg
目录。
我的问题是:是否可以解密并恢复备份中的密码?感觉好像必须的,但是我尝试使用gpg --import
却没有成功。
长话短说,在尝试将我的外部 SSD 从 exFAT 转换为 NTFS 时,我搞砸了一些事情,最终损坏了一个充满 EFS 加密文件的文件夹。我可以看到这些文件,但在 Windows 下访问它们会出现错误 ( Make sure a disk is in the drive you specified
)。但是,使用 Linux,我可以访问这些文件,无论它们的PFILE
格式如何。如果我尝试将PFILE
文件复制到 Windows,它不会将它们视为加密的,因此不会提供解密它们的选项。有什么办法可以解密它们,还是我被搞砸了?
编辑:我发现当创建加密文件或将其移动到 exFAT 驱动器时,该文件具有PFILE
扩展名(仅在 Linux 下可见)。但是,在 NTFS 驱动器上,该文件具有其正常扩展名(在 Windows 和 Linux 下)。但是,这不会影响解密,因为我能够成功解密同一 exFAT 驱动器中的其他文件。
我id_rsa
使用以下命令将私钥转换为 RSA 格式
ssh-keygen -p -m PEM -f ~/.ssh/id_rsa
在这个答案中解释了。
然后我添加了一些方便的别名,这些别名允许我使用自己的身份文件加密和解密数据:
alias encrypt='openssl pkeyutl -encrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pubin -inkey <(ssh-keygen -e -f "$HOME/.ssh/id_rsa.pub" -m PKCS8)'
alias decrypt='openssl pkeyutl -decrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -inkey "$HOME/.ssh/id_rsa"'
现在我可以做:
echo foobar | encrypt > test.enc
cat test.enc | decrypt
它将打印foobar
,但test.enc
可以存储而不暴露foobar
。当然有更好的方法来做到这一点,但我尝试这样做的原因是为了摆脱任何密码提示。
我的id_rsa
受密码保护,但我启动终端会话时ssh-add
仅提示我输入一次密码,这样当我使用ssh
(包括git
)时,我不必再次输入我的密码。
然而,对于 却不能这样说openssl pkeyutl -decrypt
,每当我使用它时,它都会要求输入密码短语,这是有道理的,因为openssl
是 所使用的底层工具openssh
。
无论如何,有什么办法可以使用ssh-add
会话吗openssl
?
具体来说,我询问密文是否可以包含诸如 之类的字节序列170303
,这是一种可能的 TLS 记录标头。
通常,解析 TCP 字节流的应用程序通过解析标头并从标头开始后的第 4 个和第 5 个字节中提取八位位组的长度来分隔 TLS 记录。然后,我假设它向前跳过并尝试在由先前解析的标头计算出的偏移量处读取下一条记录。
我的问题是,TLS 1.3 的 AES 256 GCM 实施是否对密码输出施加了任何限制?RFC 没有提及这一点。是否存在以 header 开头170303xxxx
,但也包含170303
密文一部分的 TLS 记录?
我的主目录中有一个使用 eCryptfs 加密的目录。不知何故,它被损坏了,我无法读取目录中的任何文件。我不想尝试修复它,因为我有最近的备份。
因此,我将备份复制到我的主目录中,例如:
mv directory directory.corrupted
cp /mnt/backup/directory /home/user/directory
现在,当我尝试在刚刚复制的未加密目录上使用 ecryptfs 时,它只会挂载它而不会出现错误消息,但文件变得不可读(并且当我卸载它时变得可读)。不知何故,我需要能够告诉 eCryptfs 我正在使用此目录名重新开始,并且需要重新加密。
我想,我可以只使用不同的目录名称进行加密,但我有使用它的脚本等,并且我不想编辑它们。
顺便说一句,我还有其他目录也使用 eCryptfs 加密,并且它们都可以正常安装和卸载。这仅限于我的加密目录之一。
我在 MSI 笔记本电脑上运行 Ubuntu 23.04,KDE Plasma 5.27.4。
uname -a
Linux mybox 6.2.0-26-generic #26-Ubuntu SMP PREEMPT_DYNAMIC Mon Jul 10 23:39:54 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
我想在我没有物理访问权限的远程计算机上打开 BitLocker 加密。我害怕的是:
这些恐惧有多合理?
假设我有一个未加密的文件容器;我在某个文件上运行了 mkfs.ext4。现在假设我已经将这个文件备份到 Dropbox,并且正在使用 rclone 在两台计算机上主动挂载包含这个文件容器的目录。
我可以安全地挂载这个文件容器并同时开始在这些计算机上写入文件吗?会发生什么?
现在,假设上面的操作是安全的,我可以用 tomb 或 luks 加密容器做同样的事情吗?我真的很想这样做,因为这听起来超级方便,但我闻到了危险的味道。
昨天,我关闭了多年来一直使用 Bitlocker 的运行 Windows 的机器。在关机顺序中,Windows 安装了更新。
今天我启动了我的机器,和往常一样,我输入了 Bitlocker 的密码。然后,机器似乎启动了几秒钟,然后重新启动。这种情况现在经常发生。我可以在 Bitlocker 中选择其他选项,但随后我被要求提供我的恢复密钥,不幸的是我找不到。它不在我的 Windows 帐户中。
有什么办法可以访问我的数据吗?
在我的这个 GPG 密钥中,我/在阅读时可能有一张不幸的照片:
我还没有决定放什么图片(如果有的话),可能是这张:
无论我最终选择哪一个,我都想问问为什么在编辑我的 GPG 密钥(甚至更改名称)后,它仍然可以对我的文件进行加密/解密。
我原本以为我会通过编辑所说的 GPG 密钥来破坏它。
我真的可以编辑包括电子邮件地址在内的所有内容吗?如果不适用于所有情况,在什么情况下它会阻碍某些事情?
如果是这样,那怎么可能?
非常感谢您的澄清
所以,我一直在告诉自己 Kerberos 是如何工作的,以及可以发起/防御哪些攻击。我读到的一个漏洞是“Pass-the-ticket”攻击,例如,当域管理员在受感染的用户计算机上留下 Ticket Graning Ticket 时,可以转储/恢复(通过 mimikatz?)。我确实掌握了这个概念,我只是不明白为什么这种方法有效。现在我的问题是:域管理员的 TGT 对攻击者有什么好处?还是任何用户的 TGT?据我所理解,
TGT使用 TGS的密钥(攻击者没有)加密,您不能使用它来访问资源,只能从 TGS 请求服务票证
Service Ticket与验证消息一起返回给客户端,其中包含客户端与请求的服务成功通信所需的服务会话密钥
但是,此消息使用TGS 会话密钥加密,仅知道:
这意味着,攻击者无法解密消息,因此无法获得服务会话密钥。如果没有此消息中包含的 Service Session Key,攻击者应该无法访问 Service 提供的资源,因此即使他可以找到 TGT,并通过该 TGT 获得 Service Ticket,他也应该无法访问任何内容因为他缺少服务用于加密数据的服务会话密钥。
我敢肯定我在这里有些困惑,但是很难研究这样一个特定问题的答案,所以如果这里有人可以就这个主题对我进行教育,我会很高兴:D
PS:为了术语清晰,我指的是这个解释 Kerberos 的 youtube 视频:https ://www.youtube.com/watch?v=5N242XcKAsM