ecryptfs e senha de login vs senha de montagem

Eu instalei ecryptfs-utilse usei para criar uma Privatepasta criptografada no meu diretório pessoal.

Durante a criação da Privatepasta criptografada, fui solicitada uma senha de login e uma senha de montagem. Tanto quanto eu entendi, a senha de login deve corresponder à minha senha de usuário do Ubuntu e a senha de montagem deve ser necessária para acessar a pasta criptografada.

Para minha surpresa, em vez disso, sempre que eu quiser montar meu comando de execução da pasta Privada ecryptfs-mount-private, é solicitado o meu código de acesso em vez do código de montagem. É assim que ecryptfsse espera que se comporte?

Eu pensei que as duas senhas eram uma proteção dupla no caso de alguém quebrar minha senha de login, para proteger meus dados mais particulares.

Então, para que serve a senha de montagem e quando alguém (quem) precisa usá-la?

Estas não são minhas palavras, mas não posso explicar melhor…

senha de login

Essa é a senha que você deverá digitar sempre que desejar montar o diretório criptografado. Se você deseja que a montagem automática no login funcione, ela deve ser a mesma senha usada para fazer login na sua conta de usuário.

montar senha

Isso é usado para derivar a chave mestra de criptografia de arquivo real. Portanto, você não deve inserir um personalizado, a menos que saiba o que está fazendo - pressione Enter para permitir que ele gere automaticamente um aleatório seguro. Ele será criptografada usando a senha de login e armazenado nesta forma criptografada em ~/.ecryptfs/wrapped-passphrase. Mais tarde, ele será descriptografado automaticamente ("desembrulhado") novamente na RAM, quando necessário, para que você nunca precise inseri-lo manualmente. Verifique se esse arquivo não se perde, caso contrário, você nunca poderá acessar sua pasta criptografada novamente! Você pode querer correr ecryptfs-unwrap-passphrasepara ver a frase-senha de montagem em forma não criptografada, anotá-la em um pedaço de papel e mantê-la em segurança (ou similar), para poder usá-la para recuperar seus dados criptografados, casowrapped-passphrase o arquivo foi acidentalmente perdido / corrompido ou caso você esqueça a senha de login.

_Fonte

Tive exatamente o mesmo problema que você, fiquei muito confuso com todo o processo e com a significação de todas essas senhas. Depois de cavar, encontrei o site que a @AB se referiu e ajudou.

Eu acrescentaria algumas coisas:

A senha de login também é chamada de senha de quebra automática . Esse sobrenome faz mais sentido para mim, porque é a frase secreta que envolve e desdobra a frase secreta de montagem . Às vezes, é chamada de senha de login porque, por padrão, ecryptfs deseja usar sua senha de login de usuário como senha de quebra automática .

IMHO, acho realmente impraticável e perigoso fazer com que a frase secreta seja sua senha de login, porque se um invasor encontra sua senha de login, não faz sentido ter um diretório criptografado, porque ele pode descriptografá-lo com a mesma senha.

Vendo o que você disse, só posso imaginar que você tem a mesma opinião:

Eu pensei que as duas senhas eram uma proteção dupla no caso de alguém quebrar minha senha de login, para proteger meus dados mais particulares.

Tudo isso nos leva ao meu ponto final: existe uma maneira simples (ainda não tão óbvia para alguém novo no problema) de escolher uma senha secreta diferente da sua senha de login do usuário. Ao criar seu diretório privado, use a opção -w, --wrapping(consulte a página de manual para mais informações):

ecryptfs-setup-private -w

Provavelmente também funciona em uma pasta já existente, mas acho que você também precisa usar -fpara forçar a atualização.