Muss ich die Schlüssel von Titanium Backup sichern?

10

Ich habe gerade Titanium Backup gekauft und ein geplantes verschlüsseltes Backup von Benutzer- und System-Apps und -Daten eingerichtet, gefolgt von der Dropbox-Synchronisierung. Angenommen, ich erinnere mich an die Passphrase, werden alle für die Wiederherstellung erforderlichen Daten gesichert? Oder muss ich den privaten Schlüssel und den verschlüsselten symmetrischen Schlüssel manuell sichern?

Häst
quelle

Antworten:

5

In den FAQ von Titanium Backup zur Krypthographie heißt es, dass Sie nur die Passphrase benötigen, um ein Backup wiederherzustellen. Das muss bedeuten, dass die private Schlüsseldatei zusammen mit all Ihren Sicherungen gespeichert wird, da sie auf keine andere Weise funktionieren könnte. Das große Problem mit dieser FAQ ist, dass dies IMHO explizit angegeben werden sollte, um die Dinge für uns Benutzer klarer zu machen.

Ich habe einen Blick auf die ersten Bytes einer Backupped-Datei geworfen (ich spreche hier über die Anwendungsdaten, da Titanium Backup keine Apks-Periode sichert). Ratet mal, was ich gesehen habe?

Ich habe in den ersten Zeilen der Sicherungsdateien dieselbe ASCII-Sequenz gefunden: Diese Dateien haben einen Namen . gz, aber es handelt sich eigentlich nicht um gzip-Dateien (aufgrund des Schlüssels, der vor ihnen abgelegt wurde. Gzip-Dateien beginnen mit den Hex-Codes 1F 8B 08. Diese Dateien nicht).

Wenn Sie Linux ausführen und es auschecken möchten, laden Sie zwei Ihrer Backups auf den PC herunter und versuchen Sie diesen Befehl, der die ersten vier Zeilen der Datei anzeigt:

$ head -n 4 cgeo.geocaching-20130919-000250.tar.gz

Meine Ausgabe ist:

TB_ARMOR_V1
0w5AkcCA9rGtSy3Ecrag19p/FYQ=
BNpyGZq/PQYmpDXkXwji2lQGIQY=
MIGfMA0GCSqGSIb3DQEBAQUAA5GNADCBiQKBgQDWLUH3i295TA9XwPgbzwXEk/0eqowW2xcoxbOQo7NYeqGvctC7dNM33CEh+az25Wj2iTo+kzdIpwM7Y6o5vjW+D/yBCv9nDV1+HLNyut3GDQon84yR6BlgbQJT5QoIra5f6FN+wtqF5/ifW88nzuia2fUOv/IqRVQhHxIY7LPkMQIDAQAB

Ziemlich seltsam für eine Binärdatei, nicht wahr? Das muss übrigens ja sein, mein privater TB-Schlüssel ist mit meiner Passphrase verschlüsselt. Ich gebe nichts über das Teilen, weil Sie meine Sicherungsdateien und meine Passphrase auch benötigen würden , um etwas Nützliches herauszuholen.

Wenn Sie jetzt denselben Befehl ausführen, führen Sie denselben Befehl für eine andere Sicherungsdatei aus:

$ head -n 4 com.amazon.kindle-20130919-000004.tar.gz

Erraten Sie, was? Du wirst das gleiche bekommen!

TB_ARMOR_V1
0w5AkcCA9rGtSy3Ecrag19p/FYQ=
BNpyGZq/PQYmpDXkXwji2lQGIQY=
MIGfMA0GCSqGSIb3DQEBAQUAA5GNADCBiQKBgQDWLUH3i295TA9XwPgbzwXEk/0eqowW2xcoxbOQo7NYeqGvctC7dNM33CEh+az25Wj2iTo+kzdIpwM7Y6o5vjW+D/yBCv9nDV1+HLNyut3GDQon84yR6BlgbQJT5QoIra5f6FN+wtqF5/ifW88nzuia2fUOv/IqRVQhHxIY7LPkMQIDAQAB

Dies konnte einfach kein Zufall sein. :) Ab einem bestimmten Punkt wird alles in Sicherungsdateien schließlich binär. Dieses Verhalten ist sehr sinnvoll, da dies bedeuten würde, dass wir nur die Sicherungsdateien freigeben und alles vergessen können. Mit der Passphrase können wir unsere Sicherungen wiederherstellen.

Dennoch denke ich wirklich, dass der Entwickler ein Verfahren dokumentieren sollte, wie unsere eigenen legitimen Daten (wir kennen die Passphrase, also sind wir es!) Von jedem Computer mit einem anständigen Krypto-Tool-Set (siehe: OpenSSL ) wiederhergestellt werden können .

Dakatine
quelle
Es ist nicht so verrückt, die Schlüssel im Header von Dateien zu speichern, aber normalerweise nicht dieselben Schlüssel. Normalerweise haben Sie einen Dateiverschlüsselungsschlüssel (FEK, einer pro Datei), der im Dateikopf gespeichert und mit dem Hauptschlüssel verschlüsselt wird. Normalerweise wird auch der Hauptschlüssel mit der Passphrase generiert, sodass Sie die Passphrase durch eine SHA oder besser bcrypt oder scrypt oder PBKDEF2 leiten und daraus den privaten Schlüssel erhalten. Sie speichern also nur die FEK- und Metadaten wie die Schlüssellänge in Dateien.
Schwertspize
1
Dies bedeutet, dass ein Verschlüsselungsschlüssel, der stärker als Ihre Passphrase ist, nutzlos ist.
Danilo Bargen
3

Wie @Dakatine andeutet, wird der Hauptschlüssel an die Datei angehängt, die dann durch verschlüsselten Inhalt verkettet wird.

Ich habe mich nicht darum gekümmert, das Dateiformat TB_ARMOR_V1 zu untersuchen, da bereits jemand ein Python-Befehlszeilentool https://github.com/phyber/TiBUdecrypter erstellt hat

Conrado
quelle
1

Sie müssen sich nur die Passphrase merken. Ich habe das schon mal gemacht.

Wenn Sie sich Sorgen machen, können Sie jederzeit ein Nandroid-Backup Ihres gesamten Systems erstellen und dann ein benutzerdefiniertes ROM löschen und installieren. Installieren Sie TB und versuchen Sie, eine App mit nur einer Passphrase wiederherzustellen. Wenn es etwas braucht, das Ihnen fehlt, dann haben Sie Ihre Antwort und können zur Wiederherstellung zurückkehren und das Nandroid wiederherstellen. Aber wie gesagt, ich habe diesen Prozess bereits durchgeführt und weiß, dass das Passwort alles ist, was benötigt wird.

Stephen Schrauger
quelle