ecryptfs et mot de passe de connexion vs phrase de passe de montage

16

Je l'ai installé ecryptfs-utilset utilisé pour créer un Privatedossier crypté dans mon répertoire personnel.

Lors de la création du Privatedossier crypté, on m'a demandé une phrase secrète de connexion et une phrase secrète de montage. Pour autant que je sache, la phrase secrète de connexion doit correspondre à mon mot de passe de connexion utilisateur Ubuntu et la phrase secrète de montage doit être requise pour accéder au dossier crypté.

À ma grande surprise, à la place, chaque fois que je veux monter ma commande d'exécution de dossier privé ecryptfs-mount-private, on me demande ma phrase secrète de connexion au lieu de ma phrase secrète de montage. Est-ce ainsi que l' ecryptfson s'attend à ce qu'il se comporte?

Je pensais que les deux passfrases étaient une double protection au cas où quelqu'un casserait mon mot de passe de connexion, pour protéger mes données les plus privées.

Alors, à quoi sert la phrase secrète de montage et quand quelqu'un (qui) doit l'utiliser?

Asarluhi
la source

Réponses:

10

Ce ne sont pas mes mots mais je ne peux pas mieux l'expliquer…

mot de passe de connexion

Il s'agit du mot de passe que vous devrez entrer chaque fois que vous souhaitez monter le répertoire chiffré. Si vous souhaitez que le montage automatique lors de la connexion fonctionne, il doit s'agir du même mot de passe que celui que vous utilisez pour vous connecter à votre compte utilisateur.

mot de passe de montage

Ceci est utilisé pour dériver la clé principale de chiffrement de fichier réelle. Ainsi, vous ne devez pas en saisir un personnalisé sauf si vous savez ce que vous faites - appuyez plutôt sur Entrée pour le laisser générer automatiquement un aléatoire sécurisé. Il sera crypté à l'aide de la phrase secrète de connexion et stocké sous cette forme cryptée dans ~/.ecryptfs/wrapped-passphrase. Plus tard, il sera automatiquement déchiffré ("déballé") à nouveau dans la RAM si nécessaire, de sorte que vous n'aurez jamais à le saisir manuellement. Assurez-vous que ce fichier ne se perd pas, sinon vous ne pourrez plus jamais accéder à votre dossier crypté! Vous voudrez peut-être exécuter ecryptfs-unwrap-passphrasepour voir la phrase secrète de montage sous forme non cryptée, l'écrire sur une feuille de papier et la conserver dans un coffre-fort (ou similaire), afin que vous puissiez l'utiliser pour récupérer vos données cryptées au cas où lewrapped-passphrase fichier est accidentellement perdu / corrompu ou si vous oubliez la phrase secrète de connexion.

La source

UN B
la source
7

J'ai eu exactement le même problème que vous, j'ai été très confus par tout le processus et la signification de toutes ces phrases secrètes. Après avoir creusé, j'ai trouvé le site Web auquel @AB faisait référence et cela m'a aidé.

J'ajouterais cependant quelques éléments:

La phrase secrète de connexion est également appelée la phrase secrète d'encapsulation . Ce nom de famille a plus de sens pour moi car c'est la phrase secrète qui enveloppe et déballe la phrase secrète de montage . On l'appelle parfois la phrase secrète de connexion, car par défaut, ecryptfs souhaite utiliser votre mot de passe de connexion utilisateur comme phrase secrète d'encapsulation .

À mon humble avis, je trouve vraiment peu pratique et dangereux d'avoir la phrase de passe d'emballage comme mot de passe de connexion, car si un intrus trouve votre mot de passe de connexion, il est inutile d'avoir un répertoire crypté, car il peut le décrypter avec le même mot de passe.

En voyant ce que vous avez dit, je ne peux qu'imaginer que vous avez le même avis:

Je pensais que les deux passfrases étaient une double protection au cas où quelqu'un casserait mon mot de passe de connexion, pour protéger mes données les plus privées.

Tout cela nous amène à mon dernier point: il existe un moyen simple (mais pas si évident pour quelqu'un qui ne connaît pas le problème) de choisir une phrase de passe enveloppante différente de votre mot de passe de connexion utilisateur. Lors de la création de votre répertoire privé, utilisez l'option -w, --wrapping(voir la page de manuel pour plus d'informations):

ecryptfs-setup-private -w

Il fonctionne probablement aussi sur un dossier déjà existant, mais je pense que vous devez également l'utiliser -fpour forcer la mise à jour.

matthieu
la source
Je l'ai fait, et maintenant, après chaque sudo, il demande à la fois le mot de passe de connexion et la phrase secrète d'emballage
Maïeul
Oui, et c'est un peu ennuyeux. Mais je pense que c'est inhérent à ecryptfs, donc vous ne pouvez pas faire grand-chose. Ce que vous pouvez faire, cependant, c'est: lorsqu'on vous demande votre mot de passe de connexion, entrez-le, puis lorsque vous êtes invité à saisir votre phrase secrète, si vous ne voulez pas décrypter votre dossier privé à ce moment-là, appuyez simplement sur entrée sans mot de passe, et il ne le décryptera tout simplement pas.
matthieu
Exactement ce que je cherchais. Ce n'était pas évident pour un débutant comme moi :)
greuze