Зашифрованные экраны блокировки?
Мне действительно нравится, когда шифрование диска защищает мои фонды, но моя проблема, у меня практически никогда нет своего компьютера прочь. Я живу очень напряженной жизнью, и завершение работы ее полностью каждую ночь совершенно непрактично, так самое большее я обычно приостанавливаю/блокирую ее. У меня есть свои подозрения, что этот экран блокировки делает очень мало против взломщика, который мог бы иметь компьютер в их руках.Я прав? Имеет шифрование диска бессмысленный, если я никогда не выключаю свой компьютер? Есть ли какое-либо программное обеспечение, которое может включить шифрование Lockscreen?
4 ответа
Я думал то же самое, которое является, как я нашел Ваш вопрос.
, Но затем я понял, программы не могут действительно продолжать бежать, если все данные (включая их собственный код) внезапно шифруются. И данные могли бы быть в RAM так или иначе, если программы работают.
, Таким образом, единственный способ зашифровать вещи состоит в том, если все программы прекращают работать, которого не происходит при блокировке.
Позвольте мне ответить на вопрос сначала и затем предложить опцию для шифрования в экране блокировки.
Вы корректны в высказывании, что Ваши данные не шифруются, когда экран блокировки видим. При использовании полного шифрования диска (FDE) данные дешифрованы во время начальной загрузки, прежде чем экран входа в систему покажут и останется дешифрованным, пока система не выключается. Как OP, при использовании шифрования корневого каталога дешифрованы данные, когда Вы входите в свою учетную запись, и остается зашифрованным, пока Вы не выходите из своей учетной записи, которая может произойти во время выхода из системы или завершения работы. То, что Ваши данные дешифрованы, когда Вы зарегистрированы, не делает шифрование бессмысленным. Если кто-то получает физический доступ к Вашему компьютеру, единственный путь вокруг Вашего экрана входа в систему состоит в том, чтобы ввести Ваш текущий пароль, или перезагрузить систему и изменить некоторые файлы. Если они перезагрузят, то Ваша система (FDE) или пользовательские файлы (шифрование корневого каталога) будут в зашифрованном состоянии, предлагая Вам защиту от раскрытия. Нет никакого бэкдора, о котором я знаю, который позволил бы кому-то сидящему на Вашей клавиатуре обходить Lockscreen, если у них уже не было некоторой формы дистанционного управления.
Теперь, если Ваша система была поставлена под угрозу и бэкдор был создан, обеспечив удаленный доступ взломщика, Ваша система будет уязвима любое время, Ваша система или файлы дешифрованы. Никакой объем шифрования не поможет Вам в этом случае. Ваши единственные решения защитить Ваши файлы состоят в том, чтобы 1) вывести из эксплуатации их и систему и 2) удалить вредоносное программное обеспечение.
блокировка А экранируют параметр шифрования:
, Если требуется смочь зашифровать файлы каждый раз, когда Вы блокируете свой экран, Вы все еще не без опций. Вы могли создать контейнер зашифрованного файла, сохранить Ваши чувствительные файлы в том контейнере. Затем можно или вручную заблокировать контейнер файла прежде, чем заблокировать экран или записать простой сценарий, который заблокировал бы контейнер файла и затем заблокировал бы экран. Таким образом Ваши файлы могли быть зашифрованы даже, в то время как Ваша система находится в состоянии выполнения. Все, что необходимо было бы сделать, дешифруют контейнер файла, когда Вы хотите использовать его.
Это может все быть выполнено с VeraCrypt, или если бы Вы, как я, предпочли бы использовать LUKS...
#-------------------- Setup --------------------#
dd of=~/encrypted-fc count=0 seek=1 bs=1G # bs should reflect maximum desired
# container size. This command creates
# a sparse file that will grow
sudo cryptsetup luksFormat ~/encrypted-fc # set up file container encryption
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc # decrypt the file container
sudo mkfs.ext4 /dev/mapper/enc-fc # create a file system in the container
sudo cryptsetup luksClose enc-fc # lock (encrypt) the file container
#--------------------- Usage ---------------------#
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc # decrypt the file container
sudo mount /dev/mapper/enc-fc /your/mount/point # mount decrypted container
sudo umount /dev/mapper/enc-fc # umount decrypted container
sudo cryptsetup luksClose enc-fc # lock (encrypt) the file container
Я вполне уверен, бессмысленно иметь шифрование диска, если Вы никогда не выключаете компьютер. Я мог быть неправым все же.
, Но если Вы никогда не выключаете его, это никогда не будет загружаться на экран, который не шифрует Ваш жесткий диск. Таким образом, это в значительной степени всегда не шифруется.
у Вас есть / домашним разделом, который шифруется? Если так, если бы кто-то должен был украсть его, у них не было бы доступа ко всем файлам в Вашей учетной записи пользователя, поэтому, если бы это требует Вашего пароля пользователя, это было бы безопасно.
Так короче говоря, если просто Ваш жесткий диск шифруется, да, это бессмысленно. Если у Вас есть отдельный / домашний раздел, необходимо быть в порядке, если это шифруется, потому что они не могут получить доступ к тем файлам.
Полное шифрование диска является большими мерами безопасности, но оно рассматривается как способы предотвратить физический доступ к данным машины. Перед шифрованием диска физический доступ к жесткому диску был всем, что потребовалось для получения доступа к данным. Когда Вы можете вынуть жесткий диск, можно использовать любую другую систему для рассмотрения данных, таким образом, Вы не можете думать о нем как безопасном просто, потому что кто-то не знает Вашего пароля root.
Абсолютно возможно иметь зашифрованную систему, которая имеет, приостанавливают к диску поддержку. Это, в комбинации обеспечения, что Ваша RAM и любая подкачка сохранены безопасными, является несовершенным методом для хранения Вас более в безопасности в Вашей ситуации.
После того как Вы помогли защитить от физических угроз, необходимо затем смотреть на то, как сама система уязвима. Путем подключения машины с Интернетом Вы подвергаете его потенциальным проблемам. Если Вы достаточно серьезны, необходимо рассмотреть использование зашифрованной, 'холодильной' системы, где Вы ограничиваете возможность соединения или только взаимодействуете через карту флэш-памяти или последовательный порт.
Другие опции состоят в том, чтобы добавить дополнительные слои шифрования к Вашим данным и только сохранить те данные разблокированными, в то время как это используется. Точка должна использовать в своих интересах хранение данных, зашифрованных максимально долго, и только дешифровать при необходимости, а не предложить чрезмерное использование нескольких/каскадов шифрование. Это означало бы, что любой противник, имеющий доступ к системе, должен будет занять время для дешифрования данных. Если, конечно, Вы не оставляете данные разблокированными, или отпуск, они вводят где-нибудь доступный. Кроме того, существует много способов скрыть данные в данных, и использовать шифры Вернама, лучше защитить информацию.
Даже, шифруя и не оставляя ключи доступными для отдельных наборов данных, кто-то с достаточным количеством времени и доступа мог в конечном счете разблокировать данные. Для чего-то, такого как пароли, это может быть смягчено путем изменения паролей часто и перешифрования набора данных с новым ключом в то время. Для чего-то, что должно держаться в секрете за более длительный промежуток времени, и Вы имеете физически безопасное место, простое решение может быть должно сохранить зашифрованные данные по карте флэш-памяти, которую Вы только подключили к машине при необходимости, и затем поместите диск в сейф.
Центры сертификации, кто обеспечивает надлежащее хранение ключей, обеспечивают хорошие примеры того, как защитить данные в ситуациях, которые требуют смеси безопасности и практичности использования.