eCryptfs -- где указать опции алгоритма шифрования? Или чем лучше шифровать данные?

safocl	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	имеется арч, решил зашифровать некие данные (в основном для опыта), все нормально получилось, однако не могу понять -- где указать необходимый мне алгоритм шифрования? шифрую данные в каталоге пользователя, без участия рута. Пользовался постом и постом. нигде не нашел информации о том, как указать при таком способе алгоритм шифрования, -- нет ни в манах, ни в вики. если монтировать от рута либо из fstab то, как предполагается такую опцию указать можно через опцию `ecryptfs_cipher=aes` однако опции монтирования не поддерживаются при монтировании не от рута. в файле конфига ~/.ecryptfs/secret.conf в конце строки `$HOME/.secret $HOME/secret ecryptfs` пробовал указать `-o ecryptfs_cipher=aes` , однако `--> mount.ecryptfs_private secret Mount options are not supported here Как указать нужный алгоритм шифрования?

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Сообщения: 1570

Участник с: 08 октября 2015

имеется арч, решил зашифровать некие данные (в основном для опыта), все нормально получилось, однако не могу понять -- где указать необходимый мне алгоритм шифрования?
шифрую данные в каталоге пользователя, без участия рута.
Пользовался постом и постом.
нигде не нашел информации о том, как указать при таком способе алгоритм шифрования, -- нет ни в манах, ни в вики.
если монтировать от рута либо из fstab то, как предполагается такую опцию указать можно через опцию

ecryptfs_cipher=aes

однако опции монтирования не поддерживаются при монтировании не от рута.

в файле конфига ~/.ecryptfs/secret.conf в конце строки

$HOME/.secret $HOME/secret ecryptfs

пробовал указать

-o ecryptfs_cipher=aes

, однако

`--> mount.ecryptfs_private secret
Mount options are not supported here

Как указать нужный алгоритм шифрования?

vasek	# 3 года, 1 месяц назад
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	safocl Как указать нужный алгоритм шифрования? AES стоит по дефолту, а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа А вообще encfs по проще в использовании - ecryptfs реализован в kernel space, а encfs в user space. Но, имхо, не может быть столько много информации, подлежащей шифрованию - ну от силы несколько файлов, а значит проще зашифровать отдельно файл, используя openssl. Ну если уж так прижало, то лучше truecrypt (и не верь что о нем пишут) Ошибки не исчезают с опытом - они просто умнеют

vasek

# 3 года, 1 месяц назад

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

safocl
Как указать нужный алгоритм шифрования?

AES стоит по дефолту, а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа

А вообще encfs по проще в использовании - ecryptfs реализован в kernel space, а encfs в user space.

Но, имхо, не может быть столько много информации, подлежащей шифрованию - ну от силы несколько файлов, а значит проще зашифровать отдельно файл, используя openssl.
Ну если уж так прижало, то лучше truecrypt (и не верь что о нем пишут)

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	vasek то лучше truecrypt так есть жеж его форки веракрипт и еще чото... они вроде живы норм так, в отличии от ентой тулзы vasek AES стоит по дефолту а где такая инфа? я из офф ничо такого не нашел. vasek а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа да но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма

safocl

# 3 года, 1 месяц назад

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

vasek
то лучше truecrypt

так есть жеж его форки веракрипт и еще чото...
они вроде живы норм так, в отличии от ентой тулзы

vasek
AES стоит по дефолту

а где такая инфа? я из офф ничо такого не нашел.

vasek
а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа

да но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	safocl да но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма и таки да, никакого выбора алгоритма при ecryptfs-setup-private нет. хз даж как то было наверна другая команда...

safocl

# 3 года, 1 месяц назад

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

safocl
да но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма

и таки да, никакого выбора алгоритма при ecryptfs-setup-private нет.
хз даж как то было наверна другая команда...

vasek	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	safocl а где такая инфа? я из офф ничо такого не нашел. Видно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes ... (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел? В части монтирования - что то ты делаешь не то ... во 1-ых, монтирование настраивается от user (удобнее через fstab), во 2-ых для монтирования нужно выполнить две команды `ecryptfs-add-passphrase mount -i /home/vasek/Private` А вообще мне эта приблуда не нравится. Я сейчас, если уж очень нужно, шифрую файлы openssl (быстро и удобно) - как то был топик, там даже был приведен скрипт для автоматизации процесса. А вот для паролей, телефонов и прочей мелочи использую KeePass-2.40 (кроссплатформенный, виндовый, в линукс запускаю через mono или линуксовый keepass2) - удобно тем, что можно носить на флешке (без инсталяции) и использовать в любой системе. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

safocl
а где такая инфа? я из офф ничо такого не нашел.

Видно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes ... (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел?
В части монтирования - что то ты делаешь не то ... во 1-ых, монтирование настраивается от user (удобнее через fstab), во 2-ых для монтирования нужно выполнить две команды

ecryptfs-add-passphrase
mount -i /home/vasek/Private

А вообще мне эта приблуда не нравится. Я сейчас, если уж очень нужно, шифрую файлы openssl (быстро и удобно) - как то был топик, там даже был приведен скрипт для автоматизации процесса.
А вот для паролей, телефонов и прочей мелочи использую KeePass-2.40 (кроссплатформенный, виндовый, в линукс запускаю через mono или линуксовый keepass2) - удобно тем, что можно носить на флешке (без инсталяции) и использовать в любой системе.

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	vasek использую KeePass-2.40 да, его использую тоже. vasek Видно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes … (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел? енто наверна когда пользователя шифруешь, там же от рута енто делается по ентому и можно через опцию в команде mount vasek во 1-ых, монтирование настраивается от user (удобнее через fstab) ну да, я и монтирую от юзера, по ентому и не доступны опции монтирования потипу `mount -o ecryptfs_cipher=aes` от рута вроде можно как раз указать такое, однако мне от рута и не надо... через fstab как раз все норм, как представляется там есть енти нужные параметры куда вписать. Мне именно что периодически во время работы надо шифровать, расшифровать. по поводу openssl -- хз но ента утилита явно намного удобнее, просто расшифровал папку и кидай сколько захочешь файлов.

safocl

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

vasek
использую KeePass-2.40

да, его использую тоже.

vasek
Видно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes … (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел?

енто наверна когда пользователя шифруешь, там же от рута енто делается по ентому и можно через опцию в команде mount

vasek
во 1-ых, монтирование настраивается от user (удобнее через fstab)

ну да, я и монтирую от юзера, по ентому и не доступны опции монтирования потипу

mount -o ecryptfs_cipher=aes

от рута вроде можно как раз указать такое, однако мне от рута и не надо...
через fstab как раз все норм, как представляется там есть енти нужные параметры куда вписать. Мне именно что периодически во время работы надо шифровать, расшифровать.

по поводу openssl -- хз но ента утилита явно намного удобнее, просто расшифровал папку и кидай сколько захочешь файлов.

vasek	# 3 года, 1 месяц назад
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	safocl ента утилита явно намного удобнее Просьба - опиши команды для шифрования пакпки и последующего монтирования - мне что то не очень нравится эта приблуда, хочу проверить стойкость к взлому - возможно я что то делаю не так. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 3 года, 1 месяц назад

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

safocl
ента утилита явно намного удобнее

Просьба - опиши команды для шифрования пакпки и последующего монтирования - мне что то не очень нравится эта приблуда, хочу проверить стойкость к взлому - возможно я что то делаю не так.

Ошибки не исчезают с опытом - они просто умнеют

vasek	# 3 года, 1 месяц назад
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	safocl, это приблуда для детей, как я и думал. Зашифровал, сделал монтирование от user - все продел согласно Wiki (уточнялся и по другим источникам). Захожу в систему сегодня утром, пробую расшифровать папку другим паролем ecryptfs-add-passphrase Passphrase: ... ввожу 12345 ... и монтирую mount -i /home/vasek/Private mount: /home/vasek/Private: mount(2) system call failed: Нет такого файла или каталога. получаю облом. Логинюсь в другую консоль под root, пробую тоже самое - облом. Далее самое интересное - правлю два файла (разумеется от root) и повторяю монтирование с паролем 12345 - прошло успешно. ls /home/vasek/Private wm И спрашивается - на хрена мне такое шифрование? PS 1 - какие файлы менял, не спрашивай, не скажу. PS 2 - юзай truecrypt (кстати там пароли хранятся в самом файл-контейнере - если забудешь, копец) PS 3 - еще один эксперимент - нехороший нюанс - если зашел в систему и расшифровал папку, затем размонтировал, то можно далее расшифровывать любым паролем (если не перегружался) размонтировал папку umount /home/vasek/Private ... ls /home/vasek/Private - пусто ecryptfs-add-passphrase Passphrase: ... но ввожу уже 123 ... и монтирую mount -i /home/vasek/Private ... смотрим ls /home/vasek/Private wm Может я что то делаю не так??? Просветите, кто использует. Но если это так, то это нонсенс. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 3 года, 1 месяц назад

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

safocl, это приблуда для детей, как я и думал.
Зашифровал, сделал монтирование от user - все продел согласно Wiki (уточнялся и по другим источникам).
Захожу в систему сегодня утром, пробую расшифровать папку другим паролем
ecryptfs-add-passphrase
Passphrase: ... ввожу 12345 ...
и монтирую
mount -i /home/vasek/Private
mount: /home/vasek/Private: mount(2) system call failed: Нет такого файла или каталога.
получаю облом.
Логинюсь в другую консоль под root, пробую тоже самое - облом.

Далее самое интересное - правлю два файла (разумеется от root) и повторяю монтирование с паролем 12345 - прошло успешно.
ls /home/vasek/Private
wm

И спрашивается - на хрена мне такое шифрование?

PS 1 - какие файлы менял, не спрашивай, не скажу.

PS 2 - юзай truecrypt (кстати там пароли хранятся в самом файл-контейнере - если забудешь, копец)

PS 3 - еще один эксперимент - нехороший нюанс - если зашел в систему и расшифровал папку, затем размонтировал, то можно далее расшифровывать любым паролем (если не перегружался)
размонтировал папку umount /home/vasek/Private ... ls /home/vasek/Private - пусто
ecryptfs-add-passphrase
Passphrase: ... но ввожу уже 123 ...
и монтирую mount -i /home/vasek/Private ... смотрим
ls /home/vasek/Private
wm

Может я что то делаю не так??? Просветите, кто использует. Но если это так, то это нонсенс.

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	vasek mount -i /home/vasek/Private а так ты через fstab делал... там онаж через PAM модуль монтируется, когда через скрипт ты енто все настраиваешь автоматом... по ентому и пароль не нужен вовсе, но енто не значит чо лбой подойдет для дешифровки. Для PAM главное что бы пользователь зашел в свое окружение (залогинился). я же делал так: 1. создал файл завернутого ключа состоящего из парольной фразы и случайных чисел из /dev/random 2. по данному файлу с применением завернутой парольной фразы узнал какой енто будет ключ в связке ключей ядра. 3. зашифровал папку с помощью данного ключа и парольной фразы.. итог: если не будет того ключа в связке ключей ядра, то зашифрованные файлы не монтируются даже в случае указания что файлы зашифрованы другим ключем. однако после такой попытки почему то не монтируется с нормальным ключем до ребута компа (возможно до какогото иного момента, но пока ребут явно помогает, предположительно до перемонтирования ФС, т.к. при этом зашифрованная ФС вроде как монтируется, но и как бы и нет... -- в команде ls выводит значения имен файлов, однако атрибуты вопросами обозначены и пишется, что не удалось найти указанный файл и их нет при проверке командой file). Предположительно такая траббла происходит из-за отсутствия нормального отмонтирования при попытке монтирования с другим ключем. Это подобно стандартному шифрованию ext4 с помощью e4crytp, где если расшифровал, то зашифровать можно только отмонтированием ФС, на которой енти файлы. Другой вопрос -- существует ли возможность вложить нужный ключ в связку ключей насильно без криптографического способа внесения? если да, то конечно, можно просто прочесть, какой ключ требуется из файла сигнатуры и просто его внести в связку ключей и расшифровать. однако, такой подход не возможен при хранении в облаке, думаю для ентих целей данное шифрование норм безопасно, без физического контакта с компом.

safocl

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

vasek
mount -i /home/vasek/Private

а так ты через fstab делал...
там онаж через PAM модуль монтируется, когда через скрипт ты енто все настраиваешь автоматом...
по ентому и пароль не нужен вовсе, но енто не значит чо лбой подойдет для дешифровки. Для PAM главное что бы пользователь зашел в свое окружение (залогинился).

я же делал так:
1. создал файл завернутого ключа состоящего из парольной фразы и случайных чисел из /dev/random
2. по данному файлу с применением завернутой парольной фразы узнал какой енто будет ключ в связке ключей ядра.
3. зашифровал папку с помощью данного ключа и парольной фразы..
итог: если не будет того ключа в связке ключей ядра, то зашифрованные файлы не монтируются даже в случае указания что файлы зашифрованы другим ключем.
однако после такой попытки почему то не монтируется с нормальным ключем до ребута компа (возможно до какогото иного момента, но пока ребут явно помогает, предположительно до перемонтирования ФС, т.к. при этом зашифрованная ФС вроде как монтируется, но и как бы и нет... -- в команде ls выводит значения имен файлов, однако атрибуты вопросами обозначены и пишется, что не удалось найти указанный файл и их нет при проверке командой file). Предположительно такая траббла происходит из-за отсутствия нормального отмонтирования при попытке монтирования с другим ключем. Это подобно стандартному шифрованию ext4 с помощью e4crytp, где если расшифровал, то зашифровать можно только отмонтированием ФС, на которой енти файлы.

Другой вопрос -- существует ли возможность вложить нужный ключ в связку ключей насильно без криптографического способа внесения?
если да, то конечно, можно просто прочесть, какой ключ требуется из файла сигнатуры и просто его внести в связку ключей и расшифровать.
однако, такой подход не возможен при хранении в облаке, думаю для ентих целей данное шифрование норм безопасно, без физического контакта с компом.

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	О и кстати разобрался на счет данного бага -- он оказался не багом... просто висело монтирование с неверным ключем... как представляется получилось повторное монтирование, однако, оно не прошло но расшифровало имена файлов, которые оказались фантомными и неработающими. после отмонтирования командой umount фантомные файлы исчезли, примонтировал с нормальным ключем и все нормально расшифровалось. хочу так же заметить, что при отмонтировании командой umount.ecryptfs_private ключ автоматом удаляется из связки ключей ядра. как такое делать самостоятельно? Через keyctl вроде явно не команда revoke, а больше хз вроде не подходят.

safocl

# 3 года, 1 месяц назад

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

О и кстати разобрался на счет данного бага -- он оказался не багом... просто висело монтирование с неверным ключем...
как представляется получилось повторное монтирование, однако, оно не прошло но расшифровало имена файлов, которые оказались фантомными и неработающими.
после отмонтирования командой umount фантомные файлы исчезли, примонтировал с нормальным ключем и все нормально расшифровалось.
хочу так же заметить, что при отмонтировании командой umount.ecryptfs_private ключ автоматом удаляется из связки ключей ядра.
как такое делать самостоятельно? Через keyctl вроде явно не команда revoke, а больше хз вроде не подходят.