O ecryptfs-setup-private usa criptografia em tempo real?

6

Estou tentando criptografar alguns arquivos confidenciais no meu computador e estou tentando descobrir qual é a melhor opção. Estou pensando em usar o ecryptfs-setup-private ou um contêiner de arquivo True Crypt. Eu gosto do ecryptfs porque ele parece mais nativo para o Ubuntu (afinal, ele está no repositório), e faz sentido ter Private no meu diretório home.

O que eu quero saber é o seguinte: se eu hibernar ou tiver um disco rígido desligado enquanto o diretório privado estiver montado, alguém pode usar um CD ao vivo ou montar meu disco rígido em outro computador e ver o conteúdo de Particular ou Privado criptografado em tempo real enquanto eu estou acessando arquivos?

    
por Chad 13.12.2011 / 15:36

2 respostas

9

Eu vou responder essa pergunta, como o autor do ecryptfs-setup-private, e um dos mantenedores do eCryptfs.

O eCryptfs fornece proteção criptográfica muito strong de seus dados "em repouso" - ou seja, quando o sistema está desligado ou hibernado. No entanto, você deve estar ciente de que quando o sistema está em execução e o seu diretório pessoal está montado, seus dados são protegidos exclusivamente pelo DAC (Discretionary Access Controls) - ou seja, permissões do sistema de arquivos UNIX. Por padrão no Ubuntu, se você estiver usando um Diretório Pessoal Criptografado, seu diretório $ HOME tem 700 permissões - portanto, nenhum outro usuário no sistema além de você (e root) poderá ver seus dados enquanto estiverem montados. Agora, quando seus dados são montados, eles são bloqueados com segurança na criptografia.

Como sempre, você ainda deve ter uma frase-senha de LOGIN muito strong. O seu código de acesso LOGIN é usado para criptografar e descriptografar uma passphrase de montagem gerada aleatoriamente, muito mais longa e mais strong, que é armazenada em $HOME/.ecryptfs/wrapped-passphrase . Se um invasor tiver acesso a $HOME/.ecryptfs/wrapped-passphrase , ele poderá tentar descriptografá-lo adivinhando sua frase de acesso LOGIN. Se eles descriptografarem isso, eles terão acesso à sua frase de acesso MOUNT longa / aleatória e seus dados não serão mais seguros. Como uma medida mais strong de segurança, alguns usuários paranoicos (como eu) armazenam seu arquivo de frase-senha encapsulada em mídia removível segura, como uma chave USB ou um cartão SD, e usam um link simbólico para vinculá-lo em $HOME/.ecryptfs/wrapped-passphrase . Isso só deve ser tentado por usuários experientes.

Felicidades!

    
por Dustin Kirkland 15.12.2011 / 01:43
2

Eu acredito que respondi a minha própria pergunta. Eu corri o ecryptfs-setup-private, e fiz um disco rígido. Quando inicializei usando o live cd, consegui listar o conteúdo do meu diretório pessoal usando ls / media // home ... e no diretório ~ / Private, havia o link usual para acessar os arquivos, e lá Não havia como fazer isso funcionar. Os arquivos estavam seguros!

    
por Chad 14.12.2011 / 17:23