Encryption ecryptfs-手动安装时用户输入的密码短语与FEKEK的关系

我一直在尝试按照中的说明设置加密文件夹。在这种情况下，将使用所选密码手动创建和包装装载密码短语（在该示例中为“Arch”）。这是预期的工作

还有另一种可能是如何手动设置。即使用简单安装，例如： mount-t ecryptfs~/.Private/~/Private-o key=passphrase，ecryptfs_cipher=aes，ecryptfs_key_bytes=32，ecryptfs_passthrough=n，ecryptfs_enable_filename_crypto=y

在这种情况下，系统会提示我输入[password]，并在装入该文件夹后输入

我的问题是：在第二个示例中，mount密码短语隐藏在哪里？在这种情况下，我输入的[密码]与它和FEKEK有什么关系

谁能解释一下吗

---

提前谢谢。

我认为输入的密码短语本身就是“文件加密密钥、加密密钥或FEKEK”，并在装入文件夹时临时存储在内核密钥环（如果需要使用

sudo

装入，则为root的密钥环）中。您可以使用

sudo keyctl show

查看安装和卸载前后的钥匙圈

它不会将passphrase/FEKEK存储在磁盘上的任何位置，这与您喜欢的ArchWiki中的“无ecryptfs utils”方法以及下面的ecryptfs utils中的方法不同

---

仅供参考，如果您没有指定自己的密码短语，它将使用ecryptfs utils工具创建一个随机（16字节）密码短语，显然是文件加密密钥（FEKEK）/FNEK

查看

ecryptfs migrate home

中的两个ecryptfs utils工具（几个是shell脚本），它收集一些数据并调用

ecryptfs setup private

，该工具具有此功能以生成更安全的16字节随机密码/FEKEK/FNEK（然后得到“包装”）/使用您的登录密码进行加密并存储在磁盘上）：

random_passphrase () {
        bytes=$1
        # Pull $1 of random data from /dev/urandom,
        # and convert to a string of hex digits
        od -x -N $bytes --width=$bytes /dev/urandom | head -n 1 | sed "s/^0000000//" | sed "s/\s*//g"
}