Ecryptfs-setup-private utilise-t-il le chiffrement en temps réel?

Je vais répondre à cette question en tant qu'auteur d'ecryptfs-setup-private et l'un des responsables de eCryptfs.

eCryptfs fournit une protection cryptographique très forte de vos données "au repos", c'est-à-dire lorsque votre système est mis hors tension ou en veille prolongée. Toutefois, vous devez savoir que lorsque votre système est en cours d’exécution et que votre répertoire de base est monté, vos données sont protégées exclusivement par des contrôles DAC (contrôles d’accès discrétionnaires), c’est-à-dire des autorisations de système de fichiers UNIX. Par défaut, dans Ubuntu, si vous utilisez un répertoire personnel crypté, votre répertoire $ HOME dispose de 700 autorisations. Ainsi, aucun autre utilisateur du système à part vous (et root) ne sera en mesure de voir vos données pendant leur montage. Désormais, lorsque vos données sont montées, le cryptage les verrouille en toute sécurité.

Comme toujours, votre mot de passe composé LOGIN doit toujours être très fort. Votre phrase secrète LOGIN est utilisée pour chiffrer et déchiffrer une phrase secrète de montage générée aléatoirement, beaucoup plus longue et puissante, qui est stockée dans $HOME/.ecryptfs/wrapped-passphrase. Si un attaquant a accès à $HOME/.ecryptfs/wrapped-passphrase, il peut alors essayer de déchiffrer ce fichier en devinant votre phrase secrète LOGIN. S'ils décryptent cela, ils auront accès à votre phrase secrète MOUNT longue/aléatoire et vos données ne sont plus en sécurité. Pour renforcer la sécurité, certains utilisateurs paranoïaques (tels que moi-même) stockent leur fichier de phrase secrète enveloppée sur un support amovible sécurisé, tel qu'une clé USB ou une carte SD, et utilisent un lien symbolique pour le lier en place à l'emplacement $HOME/.ecryptfs/wrapped-passphrase. Cela ne devrait être tenté que par des utilisateurs experts.

À votre santé!