Ecryptfs und Login-Passphrase vs. Mount-Passphrase

16

Ich habe es installiert ecryptfs-utilsund verwendet, um einen Privateverschlüsselten Ordner in meinem Ausgangsverzeichnis zu erstellen .

Während der Erstellung eines Privateverschlüsselten Ordners wurde ich nach einer Login-Passphrase und einer Mount-Passphrase gefragt. Soweit ich verstanden habe, sollte die Login-Passphrase mit meinem Ubuntu-Benutzer-Login-Passwort übereinstimmen, und die Mount-Passphrase sollte erforderlich sein, um auf den verschlüsselten Ordner zuzugreifen.

Zu meiner Überraschung werde ich stattdessen immer dann, wenn ich meinen Befehl zum Ausführen eines privaten Ordners aktivieren möchte, nach ecryptfs-mount-privatemeiner Anmeldepassphrase gefragt, anstatt nach meiner Anmeldepassphrase. Ist es so, dass ecryptfserwartet wird, sich zu verhalten?

Ich dachte, dass die beiden Passwörter einen doppelten Schutz für den Fall darstellen, dass jemand mein Anmeldekennwort knackt, um meine privatesten Daten zu schützen.

Wozu ist die Mount-Passphrase nützlich und wann muss jemand (wer) sie verwenden?

password  encryption  ecryptfs 
Asarluhi
quelle

Antworten:

10

Das sind nicht meine Worte, aber ich kann es nicht besser erklären ...

Login-Passwort

Dies ist das Kennwort, das Sie jedes Mal eingeben müssen, wenn Sie das verschlüsselte Verzeichnis bereitstellen möchten. Wenn Sie möchten, dass die automatische Aktivierung bei der Anmeldung funktioniert, muss dies dasselbe Kennwort sein, das Sie für die Anmeldung bei Ihrem Benutzerkonto verwenden.

Passphrase einhängen

Daraus wird der eigentliche Hauptschlüssel für die Dateiverschlüsselung abgeleitet. Aus diesem Grund sollten Sie keine benutzerdefinierten Werte eingeben, es sei denn, Sie wissen, was Sie tun. Drücken Sie stattdessen die Eingabetaste, um automatisch einen sicheren Zufallswert zu generieren. Es wird mit der Login-Passphrase verschlüsselt und in dieser verschlüsselten Form in gespeichert ~/.ecryptfs/wrapped-passphrase. Später wird es bei Bedarf automatisch wieder im RAM entschlüsselt ("entpackt"), sodass Sie es nie manuell eingeben müssen. Stellen Sie sicher, dass diese Datei nicht verloren geht, da Sie sonst nie wieder auf Ihren verschlüsselten Ordner zugreifen können! Möglicherweise möchten Sie ausführen ecryptfs-unwrap-passphrase, um die Passphrase für das Laden in unverschlüsselter Form anzuzeigen, sie auf ein Blatt Papier aufzuschreiben und an einem sicheren Ort (oder einem ähnlichen Ort) aufzubewahren, damit Sie Ihre verschlüsselten Daten für den Fall wiederherstellen können, dasswrapped-passphrase Datei ist versehentlich verloren / beschädigt oder falls Sie die Login-Passphrase vergessen.

Quelle

AB
quelle
7

Ich hatte genau das gleiche Problem wie Sie, ich war sehr verwirrt über den gesamten Vorgang und die Bedeutung all dieser Passphrasen. Nach dem Graben fand ich die Website, auf die @AB verwies, und es half.

Ich würde jedoch ein paar Dinge hinzufügen:

Die Login-Passphrase wird auch als Wrapping-Passphrase bezeichnet . Dieser Nachname ist für mich sinnvoller, weil es die Passphrase ist, die die Mount-Passphrase umschließt und wieder auflöst . Es wird manchmal das gerufene Login Passwort weil standardmäßig ecryptfs will Ihr Benutzer - Login - Passwort verwenden Verpackung Passwort .

IMHO, ich finde es wirklich unpraktisch und gefährlich, dass die Passphrase für das Umschließen Ihr Anmeldekennwort ist, denn wenn ein Angreifer Ihr Anmeldekennwort findet, macht es keinen Sinn, ein verschlüsseltes Verzeichnis zu haben, da er es mit demselben Kennwort entschlüsseln kann.

Wenn ich sehe, was Sie gesagt haben, kann ich mir nur vorstellen, dass Sie die gleiche Meinung haben:

Ich dachte, dass die beiden Passwörter einen doppelten Schutz für den Fall darstellen, dass jemand mein Anmeldekennwort knackt, um meine privatesten Daten zu schützen.

All dies bringt uns zu meinem letzten Punkt: Es gibt eine einfache Möglichkeit (die für jemanden, der das Problem noch nicht kennt, nicht so offensichtlich ist), eine Umbruch-Passphrase zu wählen, die sich von Ihrem Benutzer-Login-Passwort unterscheidet. Verwenden Sie beim Erstellen Ihres privaten Verzeichnisses die Option -w, --wrapping(weitere Informationen finden Sie auf der Manpage):

ecryptfs-setup-private -w

Es funktioniert wahrscheinlich auch auf einem bereits vorhandenen Ordner, aber ich denke, Sie müssen auch verwenden -f, um das Update zu erzwingen.

matthieu
quelle
Ich habe es getan, und jetzt wird nach jedem Sudo sowohl nach dem
Anmeldekennwort
Ja, und es ist ein bisschen nervig. Aber ich denke, dass es Ecryptfs inhärent ist, so dass Sie nicht viel dagegen tun können. Sie können jedoch Folgendes tun: Wenn Sie nach Ihrem Anmeldekennwort gefragt werden, geben Sie es ein, und wenn Sie dann nach Ihrem Umbruchkennwort gefragt werden, drücken Sie einfach die Eingabetaste, ohne Kennwort, und es, wenn Sie zu diesem Zeitpunkt Ihren privaten Ordner nicht entschlüsseln möchten werde es einfach nicht entschlüsseln.
Matthieu
Genau das, wonach ich gesucht habe. Es war nicht offensichtlich für einen Neuling wie mich :)
greuze
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.