ecryptfs - relazione tra passphrase e sig-cache.txt

Question

ecryptfs - relazione tra passphrase e sig-cache.txt

#1 da (3 voti)

3

In precedenza ho utilizzato TrueCrypt per la creazione di directory crittografate sui server. Ora sto provando ecryptfs a causa della fine dell'annuncio di sviluppo a maggio.

Vedo che quando crittografo una directory e nomi di file con ecryptfs (con una passphrase diversa dalla passphrase dell'account utente), inserisce una firma chiave in /root/.ecryptfs/sig-cache.txt.

La mia comprensione è che questo è derivato e salato dalla passphrase e quindi utilizzato per il montaggio della directory.

Ho letto che questa chiave è potenzialmente vulnerabile ad un attacco di dizionario, anche se ciò sarebbe praticamente impossibile con una passphrase strong, ma cosa ti impedisce di montare / decifrare i file con la conoscenza di questa chiave?

encryption file-encryption

posta RikT 28.10.2014 - 12:54

fonte

1 risposta

Leggi altre domande sui tag encryption file-encryption

Bypass Mitigazione completa degli exploit ASLR + DEP Quali sono i vantaggi dell'utilizzo di una VPN su wifi sicuro / attendibile

score 3 · Accepted Answer

What stops you from mounting/decrypting the files with knowledge of just this key?

Il sig-cache.txt è solo una firma della chiave di crittografia del file. Ciò significa che non viene utilizzato affatto per decrittografare il volume crittografato. Viene utilizzato solo per verificare che la chiave di crittografia memorizzata non sia stata modificata o modificata. Questo per garantire che la chiave corretta venga utilizzata per la decrittografia prima di tentare effettivamente di decrittografare i dati. Se solo questa firma è nota, non può essere utilizzata per generare in alcun modo la chiave di crittografia del file.

Il ArchLinux Wiki fornisce un esempio di come aggiungere una passphrase e puoi vedere che la memorizzazione nella cache di una firma di una chiave di crittografia è facoltativa.

Tuttavia, se un utente malintenzionato si trova nel punto in cui può vedere questo file, è possibile che sia già in grado di richiedere la chiave di crittografia dal kernel. Come l'accesso alla radice sarebbe necessario per entrambe queste azioni.