Overskrevet kryptolommeboknøkkel gjenopprettet
Enhet:
MacBook Air
Aktiva:
Selvforvaltet kryptolommebok (NEO/Neon-lommebok)
Anslått verdi i risiko:
Omtrent $96 000 i kryptovaluta
Problem:
Den private nøkkelen ble overskrevet under redigering/kopiering/innliming
Plassering av nøkkelen:
Apple Notater (lagret som tekst)
En kunde mistet plutselig tilgangen til en kryptolommebok med en verdi på omtrent 1 020 000 NOK etter å ha oppdatert et notat på datamaskinen sin. Han oppbevarte lommebokinformasjonen i Notater-appen. Under redigering, sannsynligvis i forbindelse med kopiering og innliming, ble den private nøkkelen ved et uhell overskrevet.
Kunden opplyste at enheten ble brukt minimalt etter feilen, og at det ikke ble forsøkt noen gjør-det-selv-gjenopprettingsverktøy, noe som bidro til å bevare best mulig sjanse for kryptogjenoppretting.
Kryptonøkler gir ikke rom for «nesten riktig». Ett eneste feil, manglende eller ekstra tegn kan hindre tilgang fullstendig.
I dette tilfellet overskrev kunden den opprinnelige private nøkkelen i Notater med en lignende, men forkortet versjon, slik at det synlige notatet ikke lenger kunne stoles på. Den beste sjansen for suksess var å gå bak Notater-grensesnittet og undersøke artefaktene i appens underliggende database, hvor tidligere versjoner av redigert tekst noen ganger kan være bevart.
Ingeniørteamet undersøkte relevante Notater-artefakter på lavt nivå og søkte etter kandidatstrenger som samsvarte med det forventede mønsteret for en privat nøkkel. På denne måten fant teamet flere forekomster av en kandidatnøkkel som passet den forventede strukturen og som så ut til å være en tidligere, ukorrupt versjon.
Ved kryptogjenoppretting er validering avgjørende. En nøkkel er først «gjenopprettet» når det kan bevises at den er korrekt.
Kunden fikk tilbake tilgangen til lommeboken sin og bekreftet at den gjenopprettede nøkkelen fungerte som forventet.
Jeg måtte være kreativ og utføre en rå heksadesimal analyse av disken for å finne tidligere versjoner av oppføringene i Notater-databasen. Etter å ha identifisert mulige fragmenter av private nøkler i ikke-allokert område, validerte jeg dem mot kundens kjente offentlige nøkkel og låste opp lommeboken.
– Will DeLisi
Data recovery-ingeniør hos DriveSavers
Når en nøkkel overskrives, kan den forsvinne fra «front-end»-visningen. Apper som Notater er imidlertid ofte basert på databaser som genererer arbeidsfiler og artefakter fra nylige endringer. Selv om det endelige, synlige notatet er feil, kan spor av tidligere tekst noen ganger vedvare under overflaten — særlig dersom enheten ikke har vært mye brukt i etterkant.
Hvis du lurer på hvorfor dette ikke er så enkelt som å søke etter en tekstfil eller et dokument:
Hvis du mistenker at du har overskrevet eller skadet en privat nøkkel:
Slutt å bruke enheten: Ny aktivitet kan overskrive gjenværende artefakter som fortsatt kan inneholde tidligere tekst.
Ikke gjør flere endringer: Gjentatt kopiering/innliming eller forsøk på å «rette» nøkkelen kan ødelegge det som er igjen av den tidligere versjonen.
Bevar verifiseringsdetaljer: Hvis du har den offentlige nøkkelen/adressen lagret et annet sted, behold den — den kan bidra til å bekrefte at riktig privat nøkkel er funnet.
Neste steg: Bevar enheten i sin nåværende tilstand og samle alle gjenværende lommebokidentifikatorer (offentlig nøkkel/adresse, navn/versjon på lommebok-appen, hvor nøkkelen var lagret). Ring deretter DriveSavers. Våre data recovery-rådgivere er tilgjengelige 24/7.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)