| safocl |
|
|
Темы:
122
Сообщения:
1571
Участник с: 08 октября 2015
|
имеется арч, решил зашифровать некие данные (в основном для опыта), все нормально получилось, однако не могу понять -- где указать необходимый мне алгоритм шифрования? шифрую данные в каталоге пользователя, без участия рута. Пользовался постом и постом. нигде не нашел информации о том, как указать при таком способе алгоритм шифрования, -- нет ни в манах, ни в вики. если монтировать от рута либо из fstab то, как предполагается такую опцию указать можно через опцию в файле конфига ~/.ecryptfs/secret.conf в конце строки Как указать нужный алгоритм шифрования? |
| vasek |
|
|
Темы:
47
Сообщения:
11743
Участник с: 17 февраля 2013
|
safoclAES стоит по дефолту, а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа А вообще encfs по проще в использовании - ecryptfs реализован в kernel space, а encfs в user space. Но, имхо, не может быть столько много информации, подлежащей шифрованию - ну от силы несколько файлов, а значит проще зашифровать отдельно файл, используя openssl. Ну если уж так прижало, то лучше truecrypt (и не верь что о нем пишут)
Ошибки не исчезают с опытом - они просто умнеют
|
| safocl |
|
|
Темы:
122
Сообщения:
1571
Участник с: 08 октября 2015
|
vasekтак есть жеж его форки веракрипт и еще чото... они вроде живы норм так, в отличии от ентой тулзы vasekа где такая инфа? я из офф ничо такого не нашел. vasekда но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма |
| safocl |
|
|
Темы:
122
Сообщения:
1571
Участник с: 08 октября 2015
|
safoclи таки да, никакого выбора алгоритма при ecryptfs-setup-private нет. хз даж как то было наверна другая команда... |
| vasek |
|
|
Темы:
47
Сообщения:
11743
Участник с: 17 февраля 2013
|
safoclВидно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes ... (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел? В части монтирования - что то ты делаешь не то ... во 1-ых, монтирование настраивается от user (удобнее через fstab), во 2-ых для монтирования нужно выполнить две команды А вообще мне эта приблуда не нравится. Я сейчас, если уж очень нужно, шифрую файлы openssl (быстро и удобно) - как то был топик, там даже был приведен скрипт для автоматизации процесса. А вот для паролей, телефонов и прочей мелочи использую KeePass-2.40 (кроссплатформенный, виндовый, в линукс запускаю через mono или линуксовый keepass2) - удобно тем, что можно носить на флешке (без инсталяции) и использовать в любой системе.
Ошибки не исчезают с опытом - они просто умнеют
|
| safocl |
|
|
Темы:
122
Сообщения:
1571
Участник с: 08 октября 2015
|
vasekда, его использую тоже. vasekенто наверна когда пользователя шифруешь, там же от рута енто делается по ентому и можно через опцию в команде mount vasekну да, я и монтирую от юзера, по ентому и не доступны опции монтирования потипу через fstab как раз все норм, как представляется там есть енти нужные параметры куда вписать. Мне именно что периодически во время работы надо шифровать, расшифровать. по поводу openssl -- хз но ента утилита явно намного удобнее, просто расшифровал папку и кидай сколько захочешь файлов. |
| vasek |
|
|
Темы:
47
Сообщения:
11743
Участник с: 17 февраля 2013
|
safoclПросьба - опиши команды для шифрования пакпки и последующего монтирования - мне что то не очень нравится эта приблуда, хочу проверить стойкость к взлому - возможно я что то делаю не так.
Ошибки не исчезают с опытом - они просто умнеют
|
| vasek |
|
|
Темы:
47
Сообщения:
11743
Участник с: 17 февраля 2013
|
safocl, это приблуда для детей, как я и думал. Зашифровал, сделал монтирование от user - все продел согласно Wiki (уточнялся и по другим источникам). Захожу в систему сегодня утром, пробую расшифровать папку другим паролем ecryptfs-add-passphrase Passphrase: ... ввожу 12345 ... и монтирую mount -i /home/vasek/Private mount: /home/vasek/Private: mount(2) system call failed: Нет такого файла или каталога. получаю облом. Логинюсь в другую консоль под root, пробую тоже самое - облом. Далее самое интересное - правлю два файла (разумеется от root) и повторяю монтирование с паролем 12345 - прошло успешно. ls /home/vasek/Private wm И спрашивается - на хрена мне такое шифрование? PS 1 - какие файлы менял, не спрашивай, не скажу. PS 2 - юзай truecrypt (кстати там пароли хранятся в самом файл-контейнере - если забудешь, копец) PS 3 - еще один эксперимент - нехороший нюанс - если зашел в систему и расшифровал папку, затем размонтировал, то можно далее расшифровывать любым паролем (если не перегружался) размонтировал папку umount /home/vasek/Private ... ls /home/vasek/Private - пусто ecryptfs-add-passphrase Passphrase: ... но ввожу уже 123 ... и монтирую mount -i /home/vasek/Private ... смотрим ls /home/vasek/Private wm Может я что то делаю не так??? Просветите, кто использует. Но если это так, то это нонсенс.
Ошибки не исчезают с опытом - они просто умнеют
|
| safocl |
|
|
Темы:
122
Сообщения:
1571
Участник с: 08 октября 2015
|
vasekа так ты через fstab делал... там онаж через PAM модуль монтируется, когда через скрипт ты енто все настраиваешь автоматом... по ентому и пароль не нужен вовсе, но енто не значит чо лбой подойдет для дешифровки. Для PAM главное что бы пользователь зашел в свое окружение (залогинился). я же делал так: 1. создал файл завернутого ключа состоящего из парольной фразы и случайных чисел из /dev/random 2. по данному файлу с применением завернутой парольной фразы узнал какой енто будет ключ в связке ключей ядра. 3. зашифровал папку с помощью данного ключа и парольной фразы.. итог: если не будет того ключа в связке ключей ядра, то зашифрованные файлы не монтируются даже в случае указания что файлы зашифрованы другим ключем. однако после такой попытки почему то не монтируется с нормальным ключем до ребута компа (возможно до какогото иного момента, но пока ребут явно помогает, предположительно до перемонтирования ФС, т.к. при этом зашифрованная ФС вроде как монтируется, но и как бы и нет... -- в команде ls выводит значения имен файлов, однако атрибуты вопросами обозначены и пишется, что не удалось найти указанный файл и их нет при проверке командой file). Предположительно такая траббла происходит из-за отсутствия нормального отмонтирования при попытке монтирования с другим ключем. Это подобно стандартному шифрованию ext4 с помощью e4crytp, где если расшифровал, то зашифровать можно только отмонтированием ФС, на которой енти файлы. Другой вопрос -- существует ли возможность вложить нужный ключ в связку ключей насильно без криптографического способа внесения? если да, то конечно, можно просто прочесть, какой ключ требуется из файла сигнатуры и просто его внести в связку ключей и расшифровать. однако, такой подход не возможен при хранении в облаке, думаю для ентих целей данное шифрование норм безопасно, без физического контакта с компом. |
| safocl |
|
|
Темы:
122
Сообщения:
1571
Участник с: 08 октября 2015
|
О и кстати разобрался на счет данного бага -- он оказался не багом... просто висело монтирование с неверным ключем... как представляется получилось повторное монтирование, однако, оно не прошло но расшифровало имена файлов, которые оказались фантомными и неработающими. после отмонтирования командой umount фантомные файлы исчезли, примонтировал с нормальным ключем и все нормально расшифровалось. хочу так же заметить, что при отмонтировании командой umount.ecryptfs_private ключ автоматом удаляется из связки ключей ядра. как такое делать самостоятельно? Через keyctl вроде явно не команда revoke, а больше хз вроде не подходят. |