web-dev-qa-db-fra.com

Ecryptfs-setup-private utilise-t-il le chiffrement en temps réel?

J'essaie de chiffrer certains fichiers sensibles sur mon ordinateur et de déterminer quelle est la meilleure option. J'envisage d'utiliser ecryptfs-setup-private ou un conteneur de fichiers True Crypt. J'aime ecryptfs car il semble plus natif pour Ubuntu (il est dans le référentiel après tout), et il est logique d’avoir Privé dans mon répertoire personnel.

Ce que je veux savoir, c’est ceci: si je veille en hibernation ou si j’ai un ordinateur hors tension pendant que le répertoire privé est monté, une personne peut-elle utiliser un cd en direct ou monter mon disque dur sur un autre ordinateur et voir le contenu de Private ou si Private est crypté? le temps pendant que j'accède aux fichiers?

6
Chad

Je vais répondre à cette question en tant qu'auteur d'ecryptfs-setup-private et l'un des responsables de eCryptfs.

eCryptfs fournit une protection cryptographique très forte de vos données "au repos", c'est-à-dire lorsque votre système est mis hors tension ou en veille prolongée. Toutefois, vous devez savoir que lorsque votre système est en cours d’exécution et que votre répertoire de base est monté, vos données sont protégées exclusivement par des contrôles DAC (contrôles d’accès discrétionnaires), c’est-à-dire des autorisations de système de fichiers UNIX. Par défaut, dans Ubuntu, si vous utilisez un répertoire personnel crypté, votre répertoire $ HOME dispose de 700 autorisations. Ainsi, aucun autre utilisateur du système à part vous (et root) ne sera en mesure de voir vos données pendant leur montage. Désormais, lorsque vos données sont montées, le cryptage les verrouille en toute sécurité.

Comme toujours, votre mot de passe composé LOGIN doit toujours être très fort. Votre phrase secrète LOGIN est utilisée pour chiffrer et déchiffrer une phrase secrète de montage générée aléatoirement, beaucoup plus longue et puissante, qui est stockée dans $HOME/.ecryptfs/wrapped-passphrase. Si un attaquant a accès à $HOME/.ecryptfs/wrapped-passphrase, il peut alors essayer de déchiffrer ce fichier en devinant votre phrase secrète LOGIN. S'ils décryptent cela, ils auront accès à votre phrase secrète MOUNT longue/aléatoire et vos données ne sont plus en sécurité. Pour renforcer la sécurité, certains utilisateurs paranoïaques (tels que moi-même) stockent leur fichier de phrase secrète enveloppée sur un support amovible sécurisé, tel qu'une clé USB ou une carte SD, et utilisent un lien symbolique pour le lier en place à l'emplacement $HOME/.ecryptfs/wrapped-passphrase. Cela ne devrait être tenté que par des utilisateurs experts.

À votre santé!

9
Dustin Kirkland

Je crois avoir répondu à ma propre question. J'ai couru ecryptfs-setup-private et j'ai fait une fermeture brutale. Lorsque j’ai démarré avec le cd en direct, j’ai pu répertorier le contenu de mon répertoire personnel à l’aide de ls/media // home ... et dans le répertoire ~/Private, il y avait le lien habituel pour accéder aux fichiers. était pas moyen de le faire fonctionner. Les fichiers étaient en sécurité!

2
Chad