La instalación de escritorio predeterminada de Ubuntu ofrece una opción para cifrar mi /homeuso ecryptfsy monta automáticamente la casa cada vez que inicio sesión.
Si me hubieran robado mi PC, ¿no podría el atacante simplemente sustituir mi /etc/shadowarchivo e iniciar sesión como yo, obteniendo acceso a mis archivos? En caso afirmativo, ¿cuál es el caso de uso de este cifrado?
Respuesta1
Debe proporcionar su contraseña durante el inicio de sesión para descifrar la carpeta de inicio.
La contraseña esnoalmacenado por Ubuntu en /etc/shadow. Lo que encuentras allí es sólo un hash de la contraseña más un sal corto. Cuando inicia sesión, la contraseña que ingresó se procesa y luego se comparan los hashes.
No es posible recuperar la contraseña original de ese hash, excepto probando todas las combinaciones posibles hasta que una coincida.
Entonces, siempre que mantenga su contraseña privada y sea lo suficientemente segura (larga y compleja) para resistir un ataque de fuerza bruta (o de diccionario) durante más tiempo que la capacidad de atención del atacante, su directorio de inicio cifrado estará seguro.
Para ecryptfs, no importa qué hash haya en el archivo oculto. Toma la contraseña ingresada por el usuario al iniciar sesión e intenta descifrar la carpeta de inicio con ella. Si es la contraseña correcta, el descifrado se realizará correctamente; de lo contrario, fallará. Al modificar el archivo oculto (o simplemente iniciar en un shell raíz en modo de rescate y restablecer la contraseña de la cuenta), solo cambia la contraseña de inicio de sesión.
El cifrado no funciona comparando hashes y decidiendo dejar entrar a alguien o no, funciona haciendo muchos cálculos usando la contraseña y los datos cifrados en el disco para recuperar los datos originales.