eCryptfs -- где указать опции алгоритма шифрования? Или чем лучше шифровать данные?

имеется арч, решил зашифровать некие данные (в основном для опыта), все нормально получилось, однако не могу понять -- где указать необходимый мне алгоритм шифрования?
шифрую данные в каталоге пользователя, без участия рута.
Пользовался постом и постом.
нигде не нашел информации о том, как указать при таком способе алгоритм шифрования, -- нет ни в манах, ни в вики.
если монтировать от рута либо из fstab то, как предполагается такую опцию указать можно через опцию
ecryptfs_cipher=aes
однако опции монтирования не поддерживаются при монтировании не от рута.

в файле конфига ~/.ecryptfs/secret.conf в конце строки
$HOME/.secret $HOME/secret ecryptfs
пробовал указать
-o ecryptfs_cipher=aes
, однако
`--> mount.ecryptfs_private secret
Mount options are not supported here

Как указать нужный алгоритм шифрования?
safocl
Как указать нужный алгоритм шифрования?
AES стоит по дефолту, а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа

А вообще encfs по проще в использовании - ecryptfs реализован в kernel space, а encfs в user space.

Но, имхо, не может быть столько много информации, подлежащей шифрованию - ну от силы несколько файлов, а значит проще зашифровать отдельно файл, используя openssl.
Ну если уж так прижало, то лучше truecrypt (и не верь что о нем пишут)
Ошибки не исчезают с опытом - они просто умнеют
vasek
то лучше truecrypt
так есть жеж его форки веракрипт и еще чото...
они вроде живы норм так, в отличии от ентой тулзы

vasek
AES стоит по дефолту
а где такая инфа? я из офф ничо такого не нашел.
vasek
а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа
да но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма
safocl
да но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма
и таки да, никакого выбора алгоритма при ecryptfs-setup-private нет.
хз даж как то было наверна другая команда...
safocl
а где такая инфа? я из офф ничо такого не нашел.
Видно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes ... (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел?
В части монтирования - что то ты делаешь не то ... во 1-ых, монтирование настраивается от user (удобнее через fstab), во 2-ых для монтирования нужно выполнить две команды
ecryptfs-add-passphrase
mount -i /home/vasek/Private

А вообще мне эта приблуда не нравится. Я сейчас, если уж очень нужно, шифрую файлы openssl (быстро и удобно) - как то был топик, там даже был приведен скрипт для автоматизации процесса.
А вот для паролей, телефонов и прочей мелочи использую KeePass-2.40 (кроссплатформенный, виндовый, в линукс запускаю через mono или линуксовый keepass2) - удобно тем, что можно носить на флешке (без инсталяции) и использовать в любой системе.
Ошибки не исчезают с опытом - они просто умнеют
vasek
использую KeePass-2.40
да, его использую тоже.

vasek
Видно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes … (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел?
енто наверна когда пользователя шифруешь, там же от рута енто делается по ентому и можно через опцию в команде mount

vasek
во 1-ых, монтирование настраивается от user (удобнее через fstab)
ну да, я и монтирую от юзера, по ентому и не доступны опции монтирования потипу
mount -o ecryptfs_cipher=aes
от рута вроде можно как раз указать такое, однако мне от рута и не надо...
через fstab как раз все норм, как представляется там есть енти нужные параметры куда вписать. Мне именно что периодически во время работы надо шифровать, расшифровать.

по поводу openssl -- хз но ента утилита явно намного удобнее, просто расшифровал папку и кидай сколько захочешь файлов.
safocl
ента утилита явно намного удобнее
Просьба - опиши команды для шифрования пакпки и последующего монтирования - мне что то не очень нравится эта приблуда, хочу проверить стойкость к взлому - возможно я что то делаю не так.
Ошибки не исчезают с опытом - они просто умнеют
safocl, это приблуда для детей, как я и думал.
Зашифровал, сделал монтирование от user - все продел согласно Wiki (уточнялся и по другим источникам).
Захожу в систему сегодня утром, пробую расшифровать папку другим паролем
ecryptfs-add-passphrase
Passphrase: ... ввожу 12345 ...
и монтирую
mount -i /home/vasek/Private
mount: /home/vasek/Private: mount(2) system call failed: Нет такого файла или каталога.
получаю облом.
Логинюсь в другую консоль под root, пробую тоже самое - облом.

Далее самое интересное - правлю два файла (разумеется от root) и повторяю монтирование с паролем 12345 - прошло успешно.
ls /home/vasek/Private
wm

И спрашивается - на хрена мне такое шифрование?

PS 1 - какие файлы менял, не спрашивай, не скажу.

PS 2 - юзай truecrypt (кстати там пароли хранятся в самом файл-контейнере - если забудешь, копец)

PS 3 - еще один эксперимент - нехороший нюанс - если зашел в систему и расшифровал папку, затем размонтировал, то можно далее расшифровывать любым паролем (если не перегружался)
размонтировал папку umount /home/vasek/Private ... ls /home/vasek/Private - пусто
ecryptfs-add-passphrase
Passphrase: ... но ввожу уже 123 ...
и монтирую mount -i /home/vasek/Private ... смотрим
ls /home/vasek/Private
wm

Может я что то делаю не так??? Просветите, кто использует. Но если это так, то это нонсенс.
Ошибки не исчезают с опытом - они просто умнеют
vasek
mount -i /home/vasek/Private
а так ты через fstab делал...
там онаж через PAM модуль монтируется, когда через скрипт ты енто все настраиваешь автоматом...
по ентому и пароль не нужен вовсе, но енто не значит чо лбой подойдет для дешифровки. Для PAM главное что бы пользователь зашел в свое окружение (залогинился).

я же делал так:
1. создал файл завернутого ключа состоящего из парольной фразы и случайных чисел из /dev/random
2. по данному файлу с применением завернутой парольной фразы узнал какой енто будет ключ в связке ключей ядра.
3. зашифровал папку с помощью данного ключа и парольной фразы..
итог: если не будет того ключа в связке ключей ядра, то зашифрованные файлы не монтируются даже в случае указания что файлы зашифрованы другим ключем.
однако после такой попытки почему то не монтируется с нормальным ключем до ребута компа (возможно до какогото иного момента, но пока ребут явно помогает, предположительно до перемонтирования ФС, т.к. при этом зашифрованная ФС вроде как монтируется, но и как бы и нет... -- в команде ls выводит значения имен файлов, однако атрибуты вопросами обозначены и пишется, что не удалось найти указанный файл и их нет при проверке командой file). Предположительно такая траббла происходит из-за отсутствия нормального отмонтирования при попытке монтирования с другим ключем. Это подобно стандартному шифрованию ext4 с помощью e4crytp, где если расшифровал, то зашифровать можно только отмонтированием ФС, на которой енти файлы.

Другой вопрос -- существует ли возможность вложить нужный ключ в связку ключей насильно без криптографического способа внесения?
если да, то конечно, можно просто прочесть, какой ключ требуется из файла сигнатуры и просто его внести в связку ключей и расшифровать.
однако, такой подход не возможен при хранении в облаке, думаю для ентих целей данное шифрование норм безопасно, без физического контакта с компом.
О и кстати разобрался на счет данного бага -- он оказался не багом... просто висело монтирование с неверным ключем...
как представляется получилось повторное монтирование, однако, оно не прошло но расшифровало имена файлов, которые оказались фантомными и неработающими.
после отмонтирования командой umount фантомные файлы исчезли, примонтировал с нормальным ключем и все нормально расшифровалось.
хочу так же заметить, что при отмонтировании командой umount.ecryptfs_private ключ автоматом удаляется из связки ключей ядра.
как такое делать самостоятельно? Через keyctl вроде явно не команда revoke, а больше хз вроде не подходят.
 
Зарегистрироваться или войдите чтобы оставить сообщение.