文章摘要
本文記錄一件 PGP WDE(Whole Disk Encryption)全硬碟加密資料救援案例。客戶使用業界最薄的 5mm Seagate ST500LT032 硬碟,遭遇磁頭損壞問題。由於 PGP 加密格式目前沒有資料恢復工具直接支援,必須進行全盤鏡像後再解密。文章說明加密硬碟資料救援的兩大關鍵:保護加密 Metadata(含 EDEK)與確保有解密金鑰,並比較 Bitlocker、TrueCrypt、FileVault、PGP 等常見全盤加密格式的差異。此案例於二個工作天內 100% 成功還原。
文章目錄
PGP 加密硬碟資料救援案例介紹
OSSLab 接到客戶使用 Seagate Laptop Ultrathin HDD(型號 ST500LT032 規格PDF)送修,這是目前業界最薄最輕的 2.5 吋硬碟。客戶在此硬碟上使用了 PGP WDE(Whole Disk Encryption)全磁碟加密軟體,資料損毀後需要進行資料救援。
超薄 5mm 硬碟規格說明
下圖由左至右展示不同厚度的 2.5 吋硬碟:12mm、9.5mm、7mm、5mm(另有 15mm 厚的 2.5 吋硬碟,此次未一起拍攝)。
2.5 吋硬碟厚度比較:12mm、9.5mm、7mm、5mm
磁頭損壞診斷與更換
現場在客戶面前使用專業資料恢復設備檢測,診斷結果為磁頭不良,並非壞軌狀況,屬於最嚴重的磁頭損壞情況。
MRT 專業資料恢復設備檢測結果顯示磁頭不良
5mm 硬碟材料非常特殊。OSSLab 擁有龐大的硬碟材料庫,因此能立刻提供替換材料進行磁頭更換作業。
提醒:請慎選資料恢復公司,確認是否有足夠材料庫存。材料的重要性比無塵室重要 10 倍以上。
全盤加密資料救援的關鍵
對於全盤加密格式的硬碟進行資料恢復,有兩個絕對重要的關鍵:
加密 Metadata 與 EDEK
硬碟上的加密 Metadata 絕對不能遺失。這些 Metadata 通常包含:
- EDEK(Encrypted DEK):加密後的資料加密金鑰,是解密資料的核心
- 加密演算法參數
- Salt 值與迭代次數
- 磁區加密範圍資訊
如果 Metadata 區塊損壞,即使有正確密碼也無法解密資料。
解密金鑰需求
使用者密碼或 Recovery Key 一定要有。Recovery Key 是另一種密碼表示方式,通常由英文與數字混合組成,用於緊急解密。
支援的加密格式與工具
如果是 Bitlocker、TrueCrypt、FileVault 這三種全扇區加密格式,可以使用 PC3000 Data Extractor 的 Onfly 加密掛載功能,不需要全盤鏡像即可直接讀取解密資料。
PC3000 Data Extractor 支援 Bitlocker、TrueCrypt、FileVault 直接解密
但是 PGP WDE 加密目前沒有資料恢復工具直接支援,因此需要進行全盤鏡像(dd)後,再使用 PGP 軟體進行解密。
案例結果:此案例成功於二個工作天內 100% 還原 PGP 加密格式特殊硬碟的所有資料。
Bitlocker 加密格式分析
常用的磁碟全扇區加密格式包括:Bitlocker、TrueCrypt、FileVault、PGP。以下簡單分析 Bitlocker:
| 項目 | 說明 |
|---|---|
| 加密演算法 | 以 AES 為主 |
| 主密鑰 | Volume Master Key(VMK)或 FVEK |
| 進階取得方式 | 可從記憶體暫存檔取得 FVEK key(參考工具) |
注意:如果系統磁區也加密時,無法使用記憶體暫存方法來取得 Bitlocker FVEK 密鑰。
硬碟加密的優缺點
正面好處
- 隱私與商業機密受到保護
- 根本很難被破解,嚴格說只要記憶體不被數位鑑識取得,單純用暴力破解幾乎不可能
負面影響
- 影響硬碟讀寫效能
- 增加資料救援難度與時間
