Cha*_*had 6 encryption ecryptfs
我正在尝试对计算机上的一些敏感文件进行加密,并且正在尝试找出最佳选择。我正在考虑使用 ecryptfs-setup-private 或 True Crypt 文件容器。我喜欢 ecryptfs,因为它似乎更适合 Ubuntu(毕竟它在存储库中),并且在我的主目录中有 Private 是有意义的。
我想知道的是:如果我在挂载 Private 目录时休眠或关闭了硬电源,有人可以使用 live cd 或将我的硬盘驱动器安装在另一台计算机上并查看 Private 的内容,还是 Private 加密的真实内容我访问文件的时间?
作为 ecryptfs-setup-private 的作者和 eCryptfs 的维护者之一,我将回答这个问题。
eCryptfs 为您的“静止”数据提供了非常强大的加密保护——即,当您的系统断电或休眠时。但是,您应该注意,当您的系统正在运行并且您的主目录已挂载时,您的数据仅由 DAC(自由访问控制)保护——即 UNIX 文件系统权限。默认情况下,在 Ubuntu 中,如果您使用加密主目录,那么您的 $HOME 目录具有 700 权限——因此系统上除了您(和 root)之外的其他用户都无法在安装时看到您的数据。现在,当您的数据被挂载时,它就会被安全地锁定在加密中。
但是,与往常一样,您仍然应该拥有一个非常强大的登录密码。您的 LOGIN 密码用于加密和解密一个更长、更强大的随机生成的挂载密码,该密码存储在$HOME/.ecryptfs/wrapped-passphrase. 如果攻击者可以访问$HOME/.ecryptfs/wrapped-passphrase,那么他们可以通过猜测您的登录密码来尝试解密该文件。如果他们确实解密了,那么他们将可以访问您的长/随机 MOUNT 密码,并且您的数据不再安全。作为一种更强的安全措施,一些偏执的用户(例如我自己)将他们的包装密码文件存储在安全的可移动介质上,例如 USB 密钥或 SD 卡,并使用符号链接将其链接到$HOME/.ecryptfs/wrapped-passphrase. 这只能由专家用户尝试。
干杯!
| 归档时间: |
|
| 查看次数: |
1697 次 |
| 最近记录: |