ecryptfs y contraseña de inicio de sesión vs frase de contraseña de montaje

Lo instalé ecryptfs-utilsy lo usé para crear una Privatecarpeta encriptada en mi directorio de inicio.

Durante la creación de la Privatecarpeta encriptada, me pidieron una frase de acceso y una frase de montaje. Según tengo entendido, la frase de contraseña de inicio de sesión debe coincidir con mi contraseña de inicio de sesión de usuario de Ubuntu y se debe requerir la frase de contraseña de montaje para acceder a la carpeta cifrada.

Para mi sorpresa, en cambio, cada vez que deseo montar mi carpeta privada ejecutando el comando ecryptfs-mount-private, se me solicita mi frase de contraseña de inicio de sesión en lugar de mi frase de contraseña de montaje. ¿Es así como ecryptfsse espera que se comporte?

Pensé que las dos frases de contraseña eran una doble protección en caso de que alguien rompiera mi contraseña de inicio de sesión, para proteger mis datos más privados.

Entonces, ¿para qué es útil la frase de contraseña de montaje y cuándo alguien (quién) debe usarla?

Estas no son mis palabras, pero no puedo explicarlo mejor ...

frase de acceso

Esta es la contraseña que deberá ingresar cada vez que desee montar el directorio encriptado. Si desea que el montaje automático al iniciar sesión funcione, debe ser la misma contraseña que utiliza para iniciar sesión en su cuenta de usuario.

montar frase de contraseña

Esto se utiliza para derivar la clave maestra de cifrado de archivo real. Por lo tanto, no debe ingresar uno personalizado a menos que sepa lo que está haciendo; en su lugar, presione Entrar para permitir que genere automáticamente uno aleatorio seguro. Se cifrará con la frase de contraseña de inicio de sesión y se almacenará en este formulario cifrado en ~/.ecryptfs/wrapped-passphrase. Más tarde, se descifrará automáticamente ("sin envolver") nuevamente en la RAM cuando sea necesario, por lo que nunca tendrá que ingresarlo manualmente. ¡Asegúrese de que este archivo no se pierda, de lo contrario nunca podrá acceder a su carpeta cifrada nuevamente! Es posible que desee ejecutar ecryptfs-unwrap-passphrasepara ver la frase de contraseña de montaje en forma no cifrada, anótela en una hoja de papel y guárdela en un lugar seguro (o similar), para que pueda usarla para recuperar sus datos cifrados en caso de quewrapped-passphrase el archivo se pierde / corrompe accidentalmente o en caso de que olvide la contraseña de inicio de sesión.

_Fuente

Tuve exactamente el mismo problema que tú, estaba muy confundido por todo el proceso y el significado de todas esas frases de contraseña. Después de excavar, encontré el sitio web al que @AB se refirió y me ayudó.

Sin embargo, agregaría algunas cosas:

La frase de contraseña de inicio de sesión también se denomina frase de contraseña de ajuste . Este apellido tiene más sentido para mí porque es la frase de contraseña que envuelve y desenvuelve la frase de contraseña de montaje . A veces se le llama frase de contraseña de inicio de sesión porque, de manera predeterminada, ecryptfs quiere usar su contraseña de inicio de sesión de usuario como frase de contraseña de ajuste .

En mi humilde opinión, me parece muy poco práctico y peligroso que la frase de acceso de envoltura sea ​​su contraseña de inicio de sesión, porque si un intruso encuentra su contraseña de inicio de sesión, entonces no tiene sentido tener un directorio cifrado, porque puede descifrarlo con la misma contraseña.

Al ver lo que dijiste, solo puedo imaginar que tienes la misma opinión:

Pensé que las dos frases de contraseña eran una doble protección en caso de que alguien rompiera mi contraseña de inicio de sesión, para proteger mis datos más privados.

Todo eso nos lleva a mi punto final: hay una manera simple (pero no tan obvia para alguien nuevo en el problema) de elegir una frase de contraseña de ajuste diferente de la contraseña de inicio de sesión del usuario. Al crear su directorio privado, use la opción -w, --wrapping(consulte la página de manual para obtener más información):

ecryptfs-setup-private -w

Probablemente también funcione en una carpeta ya existente, pero creo que también debe usarla -fpara forzar la actualización.