webentwicklung-frage-antwort-db.com.de

Ecryptfs und Login-Passphrase vs. Mount-Passphrase

Ich habe ecryptfs-utils installiert und damit einen Private verschlüsselten Ordner in meinem Home-Verzeichnis erstellt.

Während der Erstellung des verschlüsselten Ordners Private wurde ich nach einer Login-Passphrase und einer Mount-Passphrase gefragt. Soweit ich verstanden habe, sollte die Login-Passphrase mit meinem Ubuntu-Benutzer-Login-Passwort übereinstimmen, und die Mount-Passphrase sollte erforderlich sein, um auf den verschlüsselten Ordner zuzugreifen.

Zu meiner Überraschung werde ich statt meiner Mount-Passphrase immer dann gefragt, wenn ich meinen privaten Ordner mit dem Befehl ecryptfs-mount-private mounten möchte. Ist es so, dass erwartet wird, dass sich ecryptfs verhält?

Ich dachte, dass die beiden Passwörter einen doppelten Schutz für den Fall darstellen, dass jemand mein Anmeldekennwort knackt, um meine privatesten Daten zu schützen.

Wozu ist die Mount-Passphrase nützlich und wann muss jemand (wer) sie verwenden?

15
Asarluhi

Das sind nicht meine Worte, aber ich kann es nicht besser erklären ...

Login-Passwort

Dies ist das Kennwort, das Sie jedes Mal eingeben müssen, wenn Sie das verschlüsselte Verzeichnis bereitstellen möchten. Wenn Sie möchten, dass die automatische Aktivierung bei der Anmeldung funktioniert, muss dies dasselbe Kennwort sein, das Sie für die Anmeldung bei Ihrem Benutzerkonto verwenden.

Passphrase einbinden

Dies wird verwendet, um den eigentlichen Hauptschlüssel für die Dateiverschlüsselung abzuleiten. Aus diesem Grund sollten Sie keine benutzerdefinierten Werte eingeben, es sei denn, Sie wissen, was Sie tun. Drücken Sie stattdessen die Eingabetaste, um automatisch einen sicheren Zufallswert zu generieren. Es wird mit der Login-Passphrase verschlüsselt und in dieser verschlüsselten Form in ~/.ecryptfs/wrapped-passphrase gespeichert. Später wird es automatisch wieder in RAM entschlüsselt ("entpackt"), sodass Sie es nie manuell eingeben müssen. Stellen Sie sicher, dass diese Datei nicht verloren geht, da Sie sonst nie wieder auf Ihren verschlüsselten Ordner zugreifen können! Möglicherweise möchten Sie ecryptfs-unwrap-passphrase ausführen, um die Mount-Passphrase in unverschlüsselter Form anzuzeigen, sie auf ein Blatt Papier aufzuschreiben und an einem sicheren Ort (oder einem ähnlichen Ort) aufzubewahren, damit Sie Ihre verschlüsselten Daten in wiederherstellen können in dem Fall, dass die wrapped-passphrase -Datei versehentlich verloren geht/beschädigt wird oder Sie die Login-Passphrase vergessen.

Quelle

9
A.B.

Ich hatte genau das gleiche Problem wie Sie, ich war sehr verwirrt über den gesamten Vorgang und die Bedeutung all dieser Passphrasen. Nach dem Graben fand ich die Website, die @ A.B. verwiesen und es hat geholfen.

Ich würde jedoch ein paar Dinge hinzufügen:

Die Login-Passphrase wird auch als Wrapping-Passphrase bezeichnet. Dieser Nachname ist für mich sinnvoller, weil es die Passphrase ist, die die Mount-Passphrase umschließt und wieder auflöst. Es wird manchmal als Login-Passphrase bezeichnet, da ecryptfs standardmäßig Ihr Benutzer-Login-Passwort als Wrapping-Passphrase verwenden möchte.

IMHO, ich finde es wirklich unpraktisch und gefährlich, das Wrapping Passphrase Ihr Login-Passwort zu haben, denn wenn ein Eindringling Ihr Login-Passwort findet, hat es keinen Sinn, ein verschlüsseltes Verzeichnis zu haben, da er es entschlüsseln kann mit dem gleichen Passwort.

Wenn ich sehe, was Sie gesagt haben, kann ich mir nur vorstellen, dass Sie die gleiche Meinung haben:

Ich dachte, dass die beiden Passwörter einen doppelten Schutz für den Fall darstellen, dass jemand mein Anmeldekennwort knackt, um meine privatesten Daten zu schützen.

All dies bringt uns zu meinem letzten Punkt: Es gibt eine einfache Möglichkeit (die für jemanden, der mit dem Problem noch nicht so vertraut ist), ein mschließende Passphrase zu wählen, das sich von Ihrem Benutzer-Login-Passwort unterscheidet. Verwenden Sie beim Erstellen Ihres privaten Verzeichnisses die Option -w, --wrapping (weitere Informationen finden Sie in der Manpage):

ecryptfs-setup-private -w

Es funktioniert wahrscheinlich auch in einem bereits vorhandenen Ordner, aber ich denke, Sie müssen auch -f verwenden, um das Update zu erzwingen.

7
matthieu