2

を使用ecryptfs-setup-privateするubuntu 15.04と、ログイン パスフレーズとマウント パスフレーズの設定を求められました。 ~$ ecryptfs-setup-private -f Enter your login passphrase [******]: Enter your mount passphrase [leave blank to generate one]: Enter your mount passphrase (again):

Privateマウント パスフレーズは、ディレクトリをマウントするための実際のパスフレーズとして使用されると想定しています。しかし、 を実行するecryptfs-mount-privateと、マウント パスフレーズはエラーを返しましたが、ユーザーのシステム ログイン パスフレーズは成功しました。誰でも理由を知っていますか? ~$ ecryptfs-mount-private Enter your login passphrase: Error: Unwrapping passphrase and inserting into the user session keyring failed [-5] Info: Check the system log for more information from libecryptfs ERROR: Your passphrase is incorrect Enter your login passphrase: Inserted auth tok with sig [****************] into the user session keyring

PS:インストールされecryptfs-mount-privateている別のマシンでマウントパスフレーズを使用ubuntu 14.04したため、ubuntuバージョンと関係があると思われます。

4

1 に答える 1

5

ecryptfs-utilsパッケージは次のようにいくつかの仮定でハードコーディングされているためです。

  • 暗号化されたファイルは~/.Privateディレクトリに保存されます。
  • 復号化されたデータは~/Privateディレクトリにマウントされます。
  • 暗号化キーは に格納され~/.ecryptfsます。
  • 暗号化キーは、ログイン パスフレーズを使用してラップされた (エンコードされた) マウント パスフレーズであり、~/.ecryptfs/wrapped-passphrase.
  • データの暗号化にキー暗号を使用AESします。16-byte

eCryptfsしたがって、を使用してマウントしようとするたびにecrypt-utils、ファイルを復号化して実際のマウント パスフレーズを取得するためにログイン パスフレーズを要求しwrapped-passphrase、それを使用してファイル システムをマウントしますが、これには十分な理由があります。

2 つの異なるパスフレーズを覚える必要がないように、デフォルトのログイン パスフレーズを使用します。さらに重要なのは、ログインに使用するパスフレーズを使用してPrivateデータのロックを解除するため、ログインするたびに自動マウントすることです。

マウント パスフレーズを空白のままにしておくと、推測しにくいかなり長いランダム マウント パスフレーズに置き換えられるため、ハッカーはそれにアクセスできますが、あなたの に.Privateはアクセスできないので、ディレクトリをより安全にします。wrapped-passphrase暗記する必要のない非常に長いランダム パスフレーズをマウントします。この手法の欠点は、wrapped-passphraseファイルが失われ、実際のマウント パスフレーズがわからず、復号化されたデータにアクセスできなくなることです。

あなたの場合、カスタム マウント パスフレーズはログイン パスフレーズでラップされており~/.ecryptfs/wrapped-passphrase、それをマウントするにはログイン パスフレーズを入力しますが、ファイル システムは実際にはマウント パスフレーズを使用してロック解除されます。

ファイルを持たない他のマシンではwrapped-passphrase、指定したパスワードをマウント パスワードとして直接使用するため、そこで機能します。

カスタム パスフレーズを使用してデータを暗号化および復号化するには、少なくとも 2 つのオプションがあります。

オプション 1: カスタム ラッピング パスフレーズを使用する

プライベート ディレクトリの設定中に を渡す--nopwcheckと、実際のログイン パスフレーズをラッピング パスフレーズとして入力する必要がないため、次のように発行されます。ecryptfs-setup-private

$ ecryptfs-setup-private --nopwcheck

は、 の後に入力するパスフレーズを受け入れますEnter your login passphrase [******]:

wrapped-passphraseマウント パスフレーズについては、同じパスワードをもう一度入力するか、空白のままにして生成することができますが、自動生成された場合に失うのが怖い場合は、次を発行できます。

$ ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase

これにより、実際のマウント パスフレーズが出力されます。これを書き留めて、緊急時に安全な場所に保管できます。

オプション 2: 低レベルの取り付けを使用する

低レベルのマウントでは、マウント パスフレーズを直接使用します。ラッピング/アンラッピングは含まれていません。発行

# mount -t ecryptfs ~/.Private ~/Private

インタラクティブなマウンティングを紹介します。ecryptfs-utils何をしているのかわからない場合は、互換性のあるオプションを選択してください。次のとおりです。

keytype: passphrase, passphrase: 実際のマウント パスフレーズを入力します (ラップされません)。: , : cipher: , : :空白のままにします (デフォルト) 。マウントを続行し、必要に応じて署名を追加します。AESkey bytes16plaintext paththroughnofilename encryptionyesfnek signaturesig-cache.txt

2 つのディレクトリが空だったとしても、このコマンドはそれらのカスタム ディレクトリに新しいディレクトリを設定する場合にのみ効果的に機能しPrivateます.Private。標準ecryptfs-utilsの自動マウントとの非互換性。

参照: eCryptfs - ArchWiki

于 2015-08-25T12:59:10.677 に答える