web-dev-qa-db-fra.com

Sécurité de keyctl

Aujourd'hui, j'ai créé un répertoire ecryptfs, qui est automatiquement monté lors de la connexion via pam. Pour ce faire, j'ai suivi le guide dans le readme ecryptfs

ecryptfs-readme

Pour résumer, j'ai maintenant une clé stockée dans le trousseau de clés de session utilisateur. La première chose que je ne comprends pas, c'est pourquoi cette clé n'apparaît que via keyctl show et pas avec le gnome-gui "Mots de passe et clés de cryptage".

La deuxième chose qui m'intéresse, c'est la sécurité. Je suppose que ma phrase secrète est en quelque sorte stockée sur le disque dur. Mais comment exactement et à quel point est-ce sécurisé?

Merci d'avance

2
ftiaronsem

Le gnome-keyring session est distincte des clés de session "dans le noyau". Gnome Keyring Manager est utilisé pour conserver des mots de passe directs et les distribuer lorsque les applications en ont besoin (comme lors de la vérification de vos e-mails ou de la connexion à des systèmes distants). Le trousseau de clés du noyau est utilisé pour les opérations dans le noyau qui nécessitent un chiffrement, comme eCryptfs.

Ni eCryptfs ni Gnome Keyring Manager ne stockent vos mots de passe en clair. Gnome Keyring Manager stocke une base de données chiffrée sur le disque et conserve les phrases secrètes en mémoire uniquement. Les outils eCryptfs font une chose similaire: votre phrase secrète de montage (une grande chaîne de bits aléatoires) est chiffrée sur le disque avec votre phrase secrète de connexion. C'est ce qui est utilisé en interne par eCryptfs et encore une fois, ne frappe pas le disque en clair.

3
Kees Cook