/homeデフォルトの Ubuntu デスクトップ インストールでは、 を使用して暗号化するオプションが提供されておりecryptfs、ログインするたびにホームが自動的にマウントされます。
私の PC が盗まれた場合、攻撃者は私の/etc/shadowファイルを置き換えて私としてログインし、私のファイルにアクセスすることはできませんか? もしそうなら、この暗号化の使用例は何ですか?
答え1
ホーム フォルダーを復号化するには、ログイン時にパスワードを入力する必要があります。
パスワードはないUbuntu によって に保存されます/etc/shadow。そこには、パスワードのハッシュと短いソルトのみが含まれています。ログインすると、入力したパスワードがハッシュ化され、ハッシュが比較されます。
一致するまですべての可能な組み合わせを試す以外に、そのハッシュから元のパスワードを取得することはできません。
したがって、パスワードを秘密にしておき、攻撃者の注意力が持続するよりも長いブルートフォース攻撃(または辞書攻撃)に耐えられるほど安全(長くて複雑)である限り、暗号化されたホーム ディレクトリは安全です。
ecryptfs にとって、シャドウ ファイル内のハッシュは関係ありません。ユーザーがログイン時に入力したパスワードを取得し、それを使用してホーム フォルダーの暗号化を解除しようとします。正しいパスワードであれば暗号化解除は成功しますが、そうでない場合は失敗します。シャドウ ファイルを変更すると (または単にレスキュー モードのルート シェルを起動してアカウント パスワードをリセットすると)、ログイン パスワードのみが変更されます。
暗号化は、ハッシュを比較して誰かを許可するかどうかを決定することによって機能するのではなく、パスワードとディスク上の暗号化されたデータを使用して大量の計算を実行し、元のデータを取り戻すことによって機能します。