ecryptfsとログインパスフレーズとマウントパスフレーズ
ecryptfs-utilsをインストールし、それを使用して、ホームディレクトリにPrivate暗号化フォルダーを作成しました。
Private暗号化フォルダーの作成中に、ログインパスフレーズとマウントパスフレーズを要求されました。私の知る限り、ログインパスフレーズはUbuntuユーザーのログインパスワードと一致する必要があり、暗号化されたフォルダーにアクセスするにはマウントパスフレーズが必要です。
驚いたことに、代わりに、コマンドecryptfs-mount-privateを実行しているプライベートフォルダをマウントするたびに、マウントパスフレーズではなくログインパスフレーズを要求されます。 ecryptfsの動作が期待されるようになっていますか?
誰かが私のログインパスワードを解読した場合に備えて、2つのパスフレームは二重の保護であり、最もプライベートなデータを保護すると考えました。
それでは、マウントパスフレーズは何のために、そして誰か(誰)がそれを使用する必要があるのか?
これらは私の言葉ではありませんが、もっとうまく説明することはできません…
ログインパスフレーズ
これは、暗号化されたディレクトリをマウントするたびに入力する必要があるパスワードです。ログイン時の自動マウントを機能させるには、ユーザーアカウントへのログインに使用するパスワードと同じでなければなりません。
パスフレーズのマウント
これは、実際のファイル暗号化マスターキーの導出に使用されます。したがって、自分が何をしているのかわからない場合は、カスタムのものを入力しないでください。代わりにEnterキーを押して、安全なランダムなものを自動生成します。ログインパスフレーズを使用して暗号化され、この暗号化された形式で
~/.ecryptfs/wrapped-passphraseに保存されます。後で必要に応じてRAMで再び自動的に復号化(「アンラップ」)されるため、手動で入力する必要はありません。このファイルが失われないようにしてください。そうしないと、暗号化されたフォルダに再びアクセスできなくなります。ecryptfs-unwrap-passphraseを実行して、マウントパスフレーズを暗号化されていない形式で表示し、紙に書き留めて安全な(または同様の)状態に保ち、暗号化されたデータをwrapped-passphraseファイルが誤って紛失/破損した場合、またはログインパスフレーズを忘れた場合。
私はあなたとまったく同じ問題を抱えていました。プロセス全体とそれらすべてのパスフレーズの意味に非常に混乱していました。掘り下げた後、@ A.Bというウェブサイトを見つけました。参照し、それが助けた。
ただし、いくつか追加します。
ログインパスフレーズは、ラッピングパスフレーズとも呼ばれます。この姓は、mount passphraseをラップおよびアンラップするパスフレーズであるため、より意味があります。デフォルトでは、ecryptfsはユーザーログインパスワードをwrapping passphraseとして使用するため、login passphraseと呼ばれることもあります。
私は、侵入者がログインパスワードを見つけた場合、暗号化されたディレクトリを持っている意味がないので、それを解読できるので、wrapping passphraseをログインパスワードにするのは本当に非現実的で危険だと思います同じパスワードで。
あなたが言ったことを見て、私はあなたが同じ意見を持っていることしか想像できません:
誰かが私のログインパスワードを解読した場合に備えて、2つのパスフレームは二重の保護であり、最もプライベートなデータを保護すると考えました。
以上のことから、最後のポイントに至ります。ユーザーのログインパスワードとは異なるwrapping passphraseを選択する簡単な方法があります(ただし、この問題を初めて知っている人にはそれほど明白ではありません)。プライベートディレクトリを作成するときは、オプション-w, --wrappingを使用します(詳細については、manページを参照してください)。
ecryptfs-setup-private -w
おそらく既存のフォルダーでも動作しますが、-fを使用して更新を強制する必要があると思います。