Hi nachdem ein altes Galaxy J5 plötzlich seinen Dienst eingestellt hatte, habe ich versucht, an die Fotos und Videos zu kommen, die ich die Tage zuvor gemacht hatte. Da alle Verscuhe im Sand verlaufen sind, habe ich schlussendlich die emmc ausgelötet und diese mit einem Reader eingelesen. Neben vielen weitere Partition habe ich so eine userdata.img erhalten. DIese scheint aber als einzige verschlüsselt zu sein. Jedenfalls kann ich sie nicht mounten... Im Hex editor erkennt man auch nichts weiter nützliches in der Datei. Lediglich am Schluss sind einige Teile lesbar (Anhang) Außerdem steht dort noch: aes-cbc-essiv:sha256 Kann ich noch irgendwas versuchen? Eine vermutlich 256bit Verschlüsselung mit BruteForce zu knacken ist wohl aussichtslos zumindest bis ich meinen Ryzen Rechner durch einen QuantenPC ersetzen kann
Werner H. schrieb: > Außerdem steht dort noch: aes-cbc-essiv:sha256 Wenn du nicht an den Schlüssel herankommst, dann vergiss es. > QuantenPC Nutzlos für symmetrische Crypto.
Werner H. schrieb: > Kann ich noch irgendwas versuchen? Bei den älteren Samsung-Geräten wurde der Key für die Full Disk Encryption meines Wissens direkt vom Benutzer-Passwort abgeleitet - sofern Du das kennst, stehen die Chancen also deutlich besser als bei modernen Geräten, die den Key gesichert ablegen. Werner H. schrieb: > Außerdem steht dort noch: aes-cbc-essiv:sha256 Auch das würde passen. Hier ein Vortrag dazu: https://www.youtube.com/watch?v=dUFl2tkyVyo
Nachtrag hinterher: Hmmm schrieb: > direkt vom Benutzer-Passwort abgeleitet Das war missverständlich formuliert. Der auf dem Medium (in der Nähe des "aes-cbc-essiv:sha256") zu findende Key ist natürlich mit dem Benutzer-Passwort verschlüsselt, nicht davon abgeleitet.
Du könntest auch mal schauen, ob das eine LUKS-Partition ist: cryptsetup luksDump /mein/image
MaWin schrieb: > Du könntest auch mal schauen, ob das eine LUKS-Partition ist: > > cryptsetup luksDump /mein/image Android verwendet dm-crypt, aber kein LUKS: https://source.android.com/security/encryption/full-disk Da steht leider auch: > However, the resultant hash is also signed through a TEE (such as TrustZone), which uses a hash of the signature to encrypt the master key. Da dranzukömmen dürfte praktisch unmöglich sein, wahrscheinlich genau um solche "Angriffe" auf den eMMC zu verhindern.
Anbei der 16kb Footer der userdata.img vielleicht erkennt jemand doch noch eine Möglichkeit wie ich die partition entschlüsseln künnte, bevor die Menschheit ausgestorben ist :)
Eventuell ist es einfacher die Daten mithilfe des Handys wieder zu bekommen. Ich denke die Fehlersuche warum es plötzlich seinen Dienst eingestellt hatt dürfte einfacher sein als die Verschlüsselung zu knacken.
Du könntest ein gebrauchtes, aber funktionierendes Galaxy J5 bei ebay ersteigern und den Speicher umlöten. Das setzt natürlich voraus, dass nicht weitere benötigte Informationen noch irgendwo anders auf dem Gerät gespeichert sind, oder beispielsweise ein Seriennummernabglich mit der Hardware stattfindet.
Gerhard schrieb: > Das setzt natürlich voraus, dass nicht weitere benötigte Informationen > noch irgendwo anders auf dem Gerät gespeichert sind Genau so ist es aber wie gesagt: Programmierer schrieb: > Da steht leider auch: >> However, the resultant hash is also signed through a TEE (such as TrustZone), > which uses a hash of the signature to encrypt the master key. > > Da dranzukömmen dürfte praktisch unmöglich sein, wahrscheinlich genau um > solche "Angriffe" auf den eMMC zu verhindern. Das Schlüsselmaterial aus der TEE/TrustZone zu extrahieren dürfte praktisch unmöglich sein, es sei denn man hat ein Elektronenmikroskop herum stehen.
Programmierer schrieb: > However, the resultant hash is also signed through a TEE (such as > TrustZone), which uses a hash of the signature to encrypt the master > key. Es geht um ein offenbar älteres Samsung, da sah das noch anders aus.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.