Verschlüsselungspasswort geknackt! PW CRACKED!


#1

Ich habe folgendes Problem, ich wollte ein Passwort in den Passwortmanager eintragen und habe dabei übersehen das man warum auch immer das ADMIN PW dafür braucht, darauf hin wurde mein ADMIN PW gesperrt. So dann habe ich die beiden Partitionen leer geräumt und die Firmware neu geflashed, weil der PGP Key bei Posteo keinen Namen enthalten darf den auch noch gleich gelöscht und zurück gesetzt. Ja nur dann ist mir aufgefallen das wenn ich den PGP Key (factory-reset) zurücksetzte ich dann auch die Passwörter zurück setze und so ganz einfach mit 3 Befehlen die Verschlüsselte Partition aufmache. Häng ich oder was?

Ich habe das ganze auch aufgenommen.


#2

perhaps I should write this in english also, the point is I have unwanted reset the user and admin PIN (PW) by reseting the smartcard on the nitrokey storage so that everyone can open my files on the encrypted partition with 123456


#3

Hi,

Beim eintragen eines neuen Passworts ändert man den Inhalt des Sticks. Diese Operationen sind bewusst mit der Admin PIN geschützt.

Du meinst, du hast den Inhalt der unverschlüsselten und verschlüsselten Partition gelöscht?

Was meinst du mit “die verschlüsselte Partition aufmache”? Jemand der physischen Zugriff auf dein Gerät hat, kann alle Inhalte unlesbar machen. Das ist soweit richtig. Dies ist auch nicht effektiv zu verhindern. Jemand der physischen Zugriff auf dein Gerät hat, kann aber nicht ohne deine PIN Zugriff auf die Inhalte erhalten. Dies ist hier ja auch nicht geschehen, oder verstehe ich dich falsch? Hast du tatsächlich auf vormals verschlüsselte Daten zugreifen können?

Liebe Grüße
Alex


#4

As far as I understand it, you realized, that someone else than you can reset the device and use it afterwards (e. g. open the encrypted partition). This someone can not read the data you have encrypted yourself though. This is normal behaviour. You can not easily prevent theft and reuse of the device. The purpose is to prevent “data theft”, not device theft.

Well actually you could make the device unusable after blocking the PIN, but this would be bad, as blocking the device happens quite often accidentially…
(note that some devices indeed can be blocked forever, please see our documentation for your device)


#5

Did you get my message?


#6

I still wait for an answer


#7

By resetting the smart card the encrypted volume/data is destroyed. Afterwards everybody can access the encrypted volume but there is no data left.


#8

For anybody reading this: we couldn’t reproduce this yet, but are in contact with @co-moi to see if there is actually a problem or just a misunderstanding/misconfiguration and will let you know…

thx for letting us know @co-moi no matter what the results will be…


#9

What’s the status here?


#10

Hi,

unfortunately it took some time until we were able to reproduce the actual behavior. Therefore we need some more time, to fix the issue and will let you know, what happened there afterwards.

To make one thing already clear: this issue only exists if volume was already mounted shortly before, thus without knowing the correct admin or user PIN, data on the device remains encrypted and not accessible by others.

Kind regards
Alex


#11

Any updates here? Are all storage Nitrokeys affected or only one?


#12

Hi @Perflyst! Sorry for the delay.
The cause is found and we are working on a solution. Once the ETA will be known we will publish it here. Same for the workaround for older firmwares, as soon as it will be confirmed valid.

All Storage devices are affected, but the scope of the issue seems to be limited for a rather unlikely path (afaik; to be confirmed). I can reveal more information regarding the issue once we would have it tested thoroughly and the solution would be released.


#13

Several months have passed since you said this. So what is the current state? Is there anything to worry about?


#14

This issue is fixed since firmware 0.51. Sorry for not posting it here earlier.


#15

See here too.


#16

Information about required update was sent by email as well.
Sorry for the missing post!