ecryptfs et phrase secrète de connexion vs phrase secrète de montage
J'ai installé ecryptfs-utils et je l'ai utilisé pour créer un dossier crypté Private dans mon répertoire personnel.
Lors de la création du dossier chiffré Private, on m'a demandé une phrase secrète de connexion et une phrase secrète de montage. Autant que je sache, la phrase secrète de connexion doit correspondre à mon mot de passe de connexion utilisateur Ubuntu et la phrase secrète de montage doit être requise pour accéder au dossier crypté.
À ma grande surprise, chaque fois que je veux monter mon dossier privé en exécutant la commande ecryptfs-mount-private, on me demande ma phrase secrète de connexion au lieu de ma phrase secrète de montage. Est-ce ainsi que ecryptfs est censé se comporter?
Je pensais que les deux mots de passe constituaient une double protection au cas où quelqu'un déchiffrerait mon mot de passe de connexion pour protéger mes données les plus privées.
Alors, à quoi sert le mot de passe de montage et quand quelqu'un (qui) est requis pour l'utiliser?
Ce ne sont pas mes mots mais je ne peux pas l'expliquer mieux…
mot de passe de connexion
C'est le mot de passe que vous devrez entrer chaque fois que vous voulez monter le répertoire crypté. Si vous voulez que le montage automatique lors de la connexion fonctionne, vous devez utiliser le même mot de passe que celui utilisé pour vous connecter à votre compte utilisateur.
phrase secrète de montage
Ceci est utilisé pour dériver la clé principale de cryptage de fichier réelle. Par conséquent, vous ne devez pas entrer de code personnalisé à moins que vous ne sachiez ce que vous faites. Vous devez plutôt appuyer sur Entrée pour le laisser générer automatiquement un code aléatoire sécurisé. Il sera crypté à l'aide de la phrase secrète de connexion et stocké sous cette forme cryptée dans
~/.ecryptfs/wrapped-passphrase. Plus tard, il sera automatiquement déchiffré ("non emballé") dans RAM si nécessaire, vous évitant ainsi de le saisir manuellement. Assurez-vous que ce fichier ne soit pas perdu, sinon vous ne pourrez plus jamais accéder à votre dossier crypté! Vous voudrez peut-être exécuterecryptfs-unwrap-passphrasepour voir la phrase secrète de montage sous une forme non chiffrée, l'écrire sur un morceau de papier et la conserver dans un coffre-fort (ou similaire), afin de pouvoir l'utiliser pour récupérer vos données chiffrées au cas où le fichierwrapped-passphraseest accidentellement perdu/corrompu ou en cas d'oubli de la phrase secrète de connexion.
J'ai exactement le même problème que vous, le processus dans son ensemble et la signification de toutes ces phrases secrètes m'ont confondu. Après avoir creusé, j'ai trouvé le site Web @ A.B. référé et cela a aidé.
J'ajouterais cependant quelques petites choses:
Le mot de passe de connexion est également appelé le mot de passe composé. Ce nom de famille me semble plus logique car c’est la phrase secrète qui enveloppe et déroule la phrase phrase secrète de montage. Il est parfois appelé mot de passe de connexion car, par défaut, ecryptfs souhaite utiliser votre mot de passe de connexion utilisateur comme mot de passe composé.
IMHO, je trouve vraiment peu pratique et dangereux d'avoir le mot de passe complexe être votre mot de passe de connexion, car si un intrus trouve votre mot de passe de connexion, il n'y a aucun intérêt à avoir un répertoire crypté, car il peut le décrypter avec le même mot de passe.
En voyant ce que vous avez dit, je peux seulement imaginer que vous avez le même avis:
Je pensais que les deux mots de passe constituaient une double protection au cas où quelqu'un déchiffrerait mon mot de passe de connexion pour protéger mes données les plus privées.
Tout cela nous amène à mon dernier point: il existe un moyen simple (mais pas si évident pour un novice en la matière) de choisir un phrase secrète différent de votre mot de passe de connexion utilisateur. Lors de la création de votre répertoire privé, utilisez l’option -w, --wrapping (voir la page de manuel pour plus d’informations):
ecryptfs-setup-private -w
Cela fonctionne probablement aussi sur un dossier déjà existant, mais je pense que vous devez également utiliser -f pour forcer la mise à jour.