Mengapa saya tidak bisa menggunakan pasangan kunci OpenSSL dengan ecryptfs?


4

Menurut dokumentasi, saya hanya membuat keypair publik / pribadi untuk ecryptfsdigunakan ecryptfs-manager. Tapi tidak ada yang bisa dipilih.

$ sudo ecryptfs-manager
eCryptfs key management menu
-------------------------------
    1. Add passphrase key to keyring
    2. Add public key to keyring
    3. Generate new public/private keypair
    4. Exit

Make selection: 3
Select key type to use for newly created files: 
Selection: 

Setidaknya harus ada satu opsi bagi saya untuk memilih, agak seperti ini:

Make selection: 3
Select key type to use for newly created files: 
    1. OpenSSL
    2. Probably some other option here
Selection: 

Saya menggunakan Ubuntu 11.10 (dengan Xubuntu-desktop). Saya memiliki semua paket yang relevan AFAIK seperti ecryptfs-utils, openssl, keyutils. Apa yang saya lewatkan?

Meskipun saya dapat membuat pasangan kunci menggunakan opensslseperti itu (saya tidak yakin ini cocok untuk digunakan bersama ecryptfs):

$ openssl genrsa -out rsakey.pem -aes256 2048
Generating RSA private key, 2048 bit long modulus
(...)
Enter pass phrase for rs-efs-rsakey.pem:
Verifying - Enter pass phrase for rs-efs-rsakey.pem:
$ openssl rsa -in rsakey.pem -out rsapub.pem -pubout
Enter pass phrase for rsakey.pem:
writing RSA key

Masih ada masalah dengan ecryptfskarena seperti ecryptfs-manager, mount -t ecryptfsjuga melewatkan opsi untuk memilih kunci.

Ketika saya memasang sesuatu secara acak, saya mendapatkan:

$ sudo mount -t ecryptfs ~/temp ~/temp
[sudo] password for redsandro: 
Passphrase:

Segera menganggap saya ingin menggunakan enkripsi kata sandi. Yang seharusnya saya dapatkan adalah sesuatu seperti ini:

$ sudo mount -t ecryptfs ~/temp ~/temp
[sudo] password for redsandro: 
Select key type to use for newly created files:
    1) openssl
    2) passphrase
    3) tspi
Selection:

Saya menduga [sesuatu] yang sama tidak ada untuk ecryptfs-managerdan mount, karena pertanyaan yang sama ada dalam dokumentasi. Apa yang saya lewatkan?

Jawaban:


2

Anda tidak melewatkan apa pun. Ubuntu, dan distro lainnya, tidak dapat mengirimkan modul kunci OpenSSL karena masalah lisensi dengan libecryptfs berlisensi GPLv2.

Pemegang hak cipta untuk modul kunci OpenSSL baru-baru ini menambahkan pengecualian yang seharusnya memungkinkan distro mengirimkan modul kunci OpenSSL.

Anda mungkin dapat mengharapkan modul kunci muncul di rilis Ubuntu setelah rilis 12,04. Perhatikan bahwa jangka waktu masih belum diputuskan.

Sementara itu, Anda dapat mengkompilasi sendiri ecryptfs-utils dan menyalin libecryptfs_key_mod_openssl.so ke lokasi yang sesuai (kemungkinan / usr / lib / ecryptfs /). Jika Anda memutuskan untuk melakukan itu, harap diingat bahwa itu tidak diuji dan Anda tidak akan didukung.


Saya harus menambahkan bahwa selain modul OpenSSL tidak diuji di Ubuntu, dukungan OpenSSL cukup mentah secara umum. Kode tidak pada tingkat kualitas yang harus Anda andalkan saat ini.
tyhicks

Bisakah Anda memberi saran tentang metode lain untuk cadangan ecryptfs lebih baik untuk transfer ke lokasi terpencil? Karena, seperti yang dikatakan oleh manual ecryptfs: Kunci kriptografi yang berasal dari frasa sandi umumnya tidak berharga.
Redsandro

Catat juga, bahwa sesuai dengan Manual Ubuntu , bagian tentang KEY MODULE OPTIONS, modul kunci mana yang tersedia pada sistem tertentu tergantung pada apa pun yang terjadi untuk diinstal di / usr / lib * / ecryptfs /. Secara default , ini termasuk, paling tidak, "passphrase" dan "openssl. "
Redsandro

Bahwa komentar tentang kunci berbasis frasa sandi agak terlalu kuat. Mereka tidak berharga tetapi Anda perlu menggunakan kata sandi yang kuat.
tyhicks

Tentang halaman manual yang menyatakan bahwa openssl dimasukkan secara default, itu salah dalam konteks Ubuntu tetapi benar dalam konteks upstream. Skrip configure memungkinkan eCryptfs secara default, tetapi Ubuntu build menonaktifkannya.
tyhicks
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.