Ok, acho que sei a resposta.
Depois de desmontar a pasta privada e remover a pasta ~/.ecryptfs , consegui recuperar os dados usando o comando ecryptfs-recover-private . Ele pediu apenas a senha de montagem e, em seguida, foi capaz de descriptografar os dados e os nomes dos arquivos.
Agora, para ter 99,99% de certeza de que não há captura, eu também verifiquei o código-fonte do eCryptfs.
Ecryptfs-mount-private chama scripts como este ou aquele e todos compartilham o seguinte trecho de código:
rc = ecryptfs_read_salt_hex_from_rc(salt_hex);
if (rc) {
from_hex(salt, ECRYPTFS_DEFAULT_SALT_HEX, ECRYPTFS_SALT_SIZE);
} else
from_hex(salt, salt_hex, ECRYPTFS_SALT_SIZE);
}
- ecryptfs_read_salt_hex_from_rc () chama rcryptfs_parse_rc_file () que por sua vez tenta ler o sal de algum arquivo .ecryptfsrc .
E se esse arquivo não existir ou a tentativa de leitura não for bem-sucedida, o valor padrão ECRYPTFS_DEFAULT_SALT_HEX é usado. Btw na linha subseqüente do arquivo de cabeçalho há a constante ECRYPTFS_DEFAULT_SALT_FNEK_HEX que é usada no ecryptfs_insert_wrapped_passphrase_into_keyring () funciona como um valor salt codificado.
Caso encerrado?
EDIT: Eu encontrei este: link