Die Standardinstallation des Ubuntu-Desktops bietet eine Option zum Verschlüsseln meiner /home
Verwendung ecryptfs
und mountet das Home bei jeder Anmeldung automatisch.
Wenn mein PC gestohlen worden wäre, hätte der Angreifer dann nicht einfach meine Datei ersetzen /etc/shadow
und sich als ich anmelden können, um Zugriff auf meine Dateien zu erhalten? Wenn ja, was ist dann ein Anwendungsfall für diese Verschlüsselung?
Antwort1
Um den Home-Ordner zu entschlüsseln, müssen Sie beim Anmelden Ihr Passwort eingeben.
Das Passwort istnichtvon Ubuntu in gespeichert /etc/shadow
. Was Sie dort finden, ist nur ein Hash des Passworts plus ein kurzes Salt. Wenn Sie sich anmelden, wird das von Ihnen eingegebene Passwort gehasht und dann werden die Hashes verglichen.
Es ist nicht möglich, das ursprüngliche Passwort aus diesem Hash abzurufen, außer durch Ausprobieren aller möglichen Kombinationen, bis eine übereinstimmt.
Solange Sie Ihr Passwort geheim halten und es sicher (lang und komplex) genug ist, um einem Brute-Force-Angriff (oder Wörterbuch-Angriff) länger standzuhalten, als die Aufmerksamkeitsspanne des Angreifers reicht, ist Ihr verschlüsseltes Home-Verzeichnis sicher.
Für ecryptfs ist es egal, welcher Hash in der Shadow-Datei steht. Es nimmt das vom Benutzer bei der Anmeldung eingegebene Passwort und versucht damit den Home-Ordner zu entschlüsseln. Wenn es das richtige Passwort ist, gelingt die Entschlüsselung, wenn nicht, schlägt sie fehl. Durch Ändern der Shadow-Datei (oder einfaches Booten in eine Root-Shell im Rettungsmodus und Zurücksetzen des Kontopassworts) ändert sich nur das Anmeldepasswort.
Die Verschlüsselung funktioniert nicht, indem Hashes verglichen werden und dann entschieden wird, ob jemand Zugriff erhält oder nicht. Sie funktioniert, indem mithilfe des Passworts und der verschlüsselten Daten auf der Festplatte jede Menge mathematische Berechnungen durchgeführt werden, um die Originaldaten wiederherzustellen.