ecryptfs e login passphrase vs mount passphrase

L'ho installato ecryptfs-utilse utilizzato per creare una Privatecartella crittografata nella mia directory home.

Durante la creazione della Privatecartella crittografata, mi è stato chiesto un passphrase di accesso e un passphrase di montaggio. Per quanto ho capito, la passphrase di accesso dovrebbe corrispondere alla mia password di accesso dell'utente Ubuntu e la passphrase di montaggio dovrebbe essere richiesta per accedere alla cartella crittografata.

Con mia sorpresa, invece, ogni volta che voglio montare la mia cartella privata con il comando in esecuzione ecryptfs-mount-private, mi viene chiesto il mio passphrase di accesso anziché il mio passphrase di montaggio. È così che ecryptfsdovrebbe comportarsi?

Ho pensato che i due passphrase fossero una doppia protezione nel caso in cui qualcuno violasse la mia password di accesso, per proteggere i miei dati più privati.

Quindi, a cosa serve la passphrase di mount e quando qualcuno (chi) deve usarla?

Queste non sono le mie parole ma non posso spiegarlo meglio ...

passphrase di accesso

Questa è la password che dovrai inserire ogni volta che desideri montare la directory crittografata. Se vuoi che il montaggio automatico all'accesso funzioni, deve essere la stessa password che usi per accedere al tuo account utente.

montare la passphrase

Viene utilizzato per derivare la chiave master di crittografia file effettiva. Pertanto, non dovresti inserirne uno personalizzato a meno che tu non sappia cosa stai facendo - invece premi Invio per lasciarlo generare automaticamente uno casuale sicuro. Sarà crittografato utilizzando la passphrase di accesso e memorizzato in questo modulo crittografato in ~/.ecryptfs/wrapped-passphrase. Successivamente verrà automaticamente decrittografato ("da scartare") di nuovo nella RAM quando necessario, quindi non è necessario inserirlo manualmente. Assicurati che questo file non vada perso, altrimenti non potrai mai più accedere alla cartella crittografata! Potrebbe essere necessario eseguire ecryptfs-unwrap-passphraseper visualizzare la passphrase di montaggio in forma non crittografata, annotarla su un pezzo di carta e conservarla in un luogo sicuro (o simile), in modo da poterla utilizzare per recuperare i dati crittografati nel caso in cui ilwrapped-passphrase il file viene accidentalmente perso / danneggiato o nel caso in cui si dimentichi la passphrase di accesso.

_fonte

Ho avuto esattamente lo stesso problema che hai avuto tu, ero molto confuso da tutto il processo e dal significato di tutte quelle passphrase. Dopo aver scavato, ho trovato il sito web a cui @AB faceva riferimento e mi ha aiutato.

Vorrei aggiungere alcune cose però:

La passphrase di accesso è anche chiamata passphrase di wrapping . Questo cognome ha più senso per me perché è la passphrase che avvolge e srotola la passphrase di mount . A volte viene chiamata la passphrase di accesso perché, per impostazione predefinita, ecryptfs desidera utilizzare la password di accesso dell'utente come passphrase di wrapping .

IMHO, trovo davvero poco pratico e pericoloso avere la password di avvolgimento come password di accesso, perché se un intruso trova la tua password di accesso, non ha senso avere una directory crittografata, perché può decrittografarla con la stessa password.

Visto quello che hai detto, posso solo immaginare di avere la stessa opinione:

Ho pensato che i due passphrase fossero una doppia protezione nel caso in cui qualcuno violasse la mia password di accesso, per proteggere i miei dati più privati.

Tutto ciò ci porta al mio ultimo punto: esiste un modo semplice (ma non così ovvio per qualcuno che non conosce il problema) di scegliere una passphrase di wrapping diversa dalla password di accesso dell'utente. Quando crei la tua directory privata, usa l'opzione -w, --wrapping(vedi la pagina man per maggiori informazioni):

ecryptfs-setup-private -w

Probabilmente funziona anche su una cartella già esistente, ma penso che devi anche usare -fper forzare l'aggiornamento.