Eu vou responder essa pergunta, como o autor do ecryptfs-setup-private, e um dos mantenedores do eCryptfs.
O eCryptfs fornece proteção criptográfica muito strong de seus dados "em repouso" - ou seja, quando o sistema está desligado ou hibernado. No entanto, você deve estar ciente de que quando o sistema está em execução e o seu diretório pessoal está montado, seus dados são protegidos exclusivamente pelo DAC (Discretionary Access Controls) - ou seja, permissões do sistema de arquivos UNIX. Por padrão no Ubuntu, se você estiver usando um Diretório Pessoal Criptografado, seu diretório $ HOME tem 700 permissões - portanto, nenhum outro usuário no sistema além de você (e root) poderá ver seus dados enquanto estiverem montados. Agora, quando seus dados são montados, eles são bloqueados com segurança na criptografia.
Como sempre, você ainda deve ter uma frase-senha de LOGIN muito strong. O seu código de acesso LOGIN é usado para criptografar e descriptografar uma passphrase de montagem gerada aleatoriamente, muito mais longa e mais strong, que é armazenada em $HOME/.ecryptfs/wrapped-passphrase
. Se um invasor tiver acesso a $HOME/.ecryptfs/wrapped-passphrase
, ele poderá tentar descriptografá-lo adivinhando sua frase de acesso LOGIN. Se eles descriptografarem isso, eles terão acesso à sua frase de acesso MOUNT longa / aleatória e seus dados não serão mais seguros. Como uma medida mais strong de segurança, alguns usuários paranoicos (como eu) armazenam seu arquivo de frase-senha encapsulada em mídia removível segura, como uma chave USB ou um cartão SD, e usam um link simbólico para vinculá-lo em $HOME/.ecryptfs/wrapped-passphrase
. Isso só deve ser tentado por usuários experientes.
Felicidades!