Por que não consigo usar um par de chaves OpenSSL com o ecryptfs?

4

De acordo com a documentação, eu simplesmente criei um par de chaves público / privado para ecryptfs usando ecryptfs-manager . Mas não há nada para selecionar.

$ sudo ecryptfs-manager
eCryptfs key management menu
-------------------------------
    1. Add passphrase key to keyring
    2. Add public key to keyring
    3. Generate new public/private keypair
    4. Exit

Make selection: 3
Select key type to use for newly created files: 
Selection: 

Deve haver pelo menos uma opção para eu selecionar, tipo assim:

Make selection: 3
Select key type to use for newly created files: 
    1. OpenSSL
    2. Probably some other option here
Selection: 

Estou usando o Ubuntu 11.10 (com o Xubuntu-desktop). Eu tenho todos os pacotes relevantes AFAIK como ecryptfs-utils, openssl, keyutils. O que estou perdendo?

Embora eu possa criar um par de chaves usando openssl (não sei se isso é certo para usar com ecryptfs ):

$ openssl genrsa -out rsakey.pem -aes256 2048
Generating RSA private key, 2048 bit long modulus
(...)
Enter pass phrase for rs-efs-rsakey.pem:
Verifying - Enter pass phrase for rs-efs-rsakey.pem:
$ openssl rsa -in rsakey.pem -out rsapub.pem -pubout
Enter pass phrase for rsakey.pem:
writing RSA key

Ainda há um problema com ecryptfs , pois assim como ecryptfs-manager , mount -t ecryptfs também não tem a opção de escolher chaves.

Quando monte algo aleatório, recebo:

$ sudo mount -t ecryptfs ~/temp ~/temp
[sudo] password for redsandro: 
Passphrase:

Imediatamente assume que eu quero usar a criptografia de senha. O que eu deveria ter conseguido é algo assim:

$ sudo mount -t ecryptfs ~/temp ~/temp
[sudo] password for redsandro: 
Select key type to use for newly created files:
    1) openssl
    2) passphrase
    3) tspi
Selection:

Eu estou supondo que o mesmo [algo] está faltando para ecryptfs-manager e mount , porque a mesma pergunta está presente na documentação. O que estou perdendo?

    
por Redsandro 08.03.2012 / 21:34

1 resposta

2

Você não está sentindo falta de nada. O Ubuntu e outras distribuições não puderam enviar o módulo de chave OpenSSL devido a problemas de licenciamento com o libecryptfs licenciado pela GPLv2.

Os detentores de direitos autorais do módulo de chaves OpenSSL recentemente adicionaram uma exceção que deve permitir distribuições para enviar o módulo de chave OpenSSL.

Provavelmente, você pode esperar que o módulo principal apareça no lançamento do Ubuntu após a versão 12.04. Observe que o período de tempo ainda está indeciso.

Nesse meio tempo, você poderia compilar o ecryptfs-utils e copiar o libecryptfs_key_mod_openssl.so para o local apropriado (provavelmente / usr / lib / ecryptfs /). Se você decidir fazer isso, lembre-se de que ele não foi testado e você não terá mais suporte.

    
por tyhicks 08.03.2012 / 21:57