ecryptfsとログインパスフレーズとマウントパスフレーズ


16

私はecryptfs-utilsそれをPrivateインストールして、ホームディレクトリに暗号化されたフォルダを作成しました。

Private暗号化されたフォルダの作成中に、ログインパスフレーズとマウントパスフレーズを求められました。私の知る限り、ログインパスフレーズはUbuntuユーザーのログインパスワードと一致する必要があり、暗号化されたフォルダーにアクセスするにはマウントパスフレーズが必要です。

驚いたことに、代わりに、commandを実行しているプラ​​イベートフォルダをマウントするたびにecryptfs-mount-private、マウントパスフレーズではなくログインパスフレーズを要求されます。ecryptfs動作することが期待されているのですか?

誰かが私のログインパスワードを解読した場合に備えて、2つのパスフレームは二重の保護であり、最もプライベートなデータを保護すると考えました。

それでは、マウントパスフレーズは何のために、そして誰か(誰)がそれを使用する必要があるのでしょうか?

回答:


10

これらは私の言葉ではありませんが、もっとうまく説明することはできません…

ログインパスフレーズ

これは、暗号化されたディレクトリをマウントするたびに入力する必要があるパスワードです。ログイン時の自動マウントを機能させるには、ユーザーアカウントへのログインに使用するパスワードと同じでなければなりません。

パスフレーズをマウントする

これは、実際のファイル暗号化マスターキーの導出に使用されます。したがって、何をしているのかわからない場合は、カスタムを入力しないでください。代わりにEnterキーを押して、安全なランダムなものを自動生成します。ログインパスフレーズを使用して暗号化され、この暗号化形式でに保存されます~/.ecryptfs/wrapped-passphrase。その後、必要に応じてRAMで自動的に復号化(「ラップ解除」)されるため、手動で入力する必要はありません。このファイルが失われないようにしてください。そうしないと、暗号化されたフォルダに再びアクセスできなくなります。実行ecryptfs-unwrap-passphraseして、暗号化されていない形式のマウントパスフレーズを確認し、紙に書き留めて、安全な(または同様の)ものに保管します。これにより、wrapped-passphrase ファイルが誤って紛失/破損した場合、またはログインパスフレーズを忘れた場合。

ソース


7

私はあなたとまったく同じ問題を抱えていました。プロセス全体とそれらすべてのパスフレーズの意味に非常に混乱していました。掘り下げた後、@ ABが参照しているWebサイトを見つけました。

ただし、いくつか追加します。

ログインパスフレーズはとも呼ばれるラッピングパスフレーズ。この姓は、マウントパスフレーズをラップおよびアンラップするパスフレーズであるため、私にとってより意味があります。デフォルトでは、ecryptfsはラッピングパスフレーズとしてユーザーのログインパスワードを使用するため、ログインパスフレーズとも呼ばれます。

私見、ラッピングパスフレーズをログインパスワードにするのは本当に非現実的で危険です。なぜなら、侵入者がログインパスワードを見つけた場合、暗号化されたディレクトリを作成しても意味がありません。

あなたが言ったことを見て、私はあなたが同じ意見を持っていることしか想像できません:

誰かが私のログインパスワードを解読した場合に備えて、2つのパスフレームは二重の保護であり、最もプライベートなデータを保護すると考えました。

それが私の最後のポイントです。ユーザーのログインパスワードとは異なるラッピングパスフレーズを選択する簡単な方法があります(ただし、この問題を初めて知っている人にはそれほど明白ではありません)。プライベートディレクトリを作成するときは、オプションを使用します-w, --wrapping(詳細については、manページを参照してください)。

ecryptfs-setup-private -w

おそらく既存のフォルダーでも動作しますが-f、更新を強制するためにも使用する必要があると思います。


私はそれをしなかった、そして今、それぞれのsudoの後には、ログインパスワードとラッピングパスフレーズの両方を頼む
Maïeul

はい、それは少し面倒です。しかし、それはecryptfsに固有のものであると思うので、あなたはそれについて多くをすることはできません。ただし、ログインパスワードの入力を求められたら、それを入力してから、ラッピングパスフレーズの入力を求められたときに、その時点でプライベートフォルダの暗号化を解除したくない場合は、パスワードなしでEnterキーを押すだけです。単に解読しません。
マチュー

まさに私が探していたもの。私のような初心者にとっては明らかではありませんでした:)
18年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.