Насколько безопасный зашифрованный раздел?

При установке Ubuntu 16.04 я принял решение зашифровать файловую систему, и мне теперь предлагают пароль, прежде чем Ubuntu загрузится.

Я задаюсь вопросом, как безопасный, который делает мое содержание? Конкретно:

  • Все находится на зашифрованном диске (включая мои данные)?

  • Насколько сильный это шифрование? (Я знаю, это - вопрос времени и ресурсов и какой пароль я выбрал, но я имею в виду в практическом смысле... любой мог уничтожить бульдозером через мою парадную дверь, но у среднего вора нет ресурсов или наклона к ramraid домом). Например, если я отправляю свой ноутбук за восстановлениями, или если мой ноутбук потерян или украден, я должен волноваться о ком-то без действительно нажимающей причины попытаться дешифровать его, получая легкий доступ? (Я знаю, что подобный вопрос задали здесь, но это было долгое время назад поэтому, возможно, вещи изменились?)

  • Кроме того, делает шифрование, предотвращают меня от любой (a) установки SSD с системой зашифрованного файла в другое устройство или от (b) создания полного резервного копирования диска (использующий активную версию Ubuntu, например) и в какой-то момент восстанавливающий то резервное копирование?

  • Кроме того, если вся файловая система шифруется, там какое-либо значение в также шифровании моей домашней папки в Ubuntu?

16
задан 27 April 2017 в 00:31

3 ответа

  • , Если Вы приняли решение зашифровать новую систему через LUKS, целая система шифруется. Это включает Ваши системные файлы, домашняя папка (и таким образом Ваши данные), а также раздел подкачки. Это означает, что можно использовать, приостанавливают к диску (иначе в спящем режиме), и все еще обладайте всеми преимуществами полного шифрования диска. Как указано в комментариях, использование Ubuntu приостанавливает к RAM по умолчанию. Чтобы Ubuntu использовала, приостанавливают к диску вместо этого, необходимо следовать эти инструкции относительно help.ubuntu.com , которые по-видимому только работают на ограниченное количество машин.
  • Шифрование AES на 256 битов, вероятно, достаточно сильно для обозримого будущего. Как был обсужден здесь на Exchange Стопки Криптографии, грубый AES-256 принуждения будет стоить приблизительно 100 tredicillion раз миру GDP - самая близкая вещь к невозможному, который можно вообразить. Даже скот, вызывающий Шифрование AES на 128 битов, берет приблизительно тысячу раз GDP в мире.
  • ключ LUKS не заблокирован ничем кроме заголовка LUKS (который является одним жесткий диск/SSD), и Ваш пароль (который находится в Вашей голове). Это позволяет, Вы к (a) используете его в любой другой машине, пока это также возможно с незашифрованным системным диском, т.е. для общих систем должен работать безупречно. Что касается (b), да, можно сделать целые дисковые резервные копии с dd, но знать, что эти изображения не сожмутся ни до какого существенного количества. Это происходит из-за природы зашифрованных данных, являющихся неотличимым от случайных данных без пароля.
  • существует только академическое преимущество для этого, т.е. после потребления первого tredecillion мирового GDPs для повреждения Вас полное шифрование диска, взломщику был бы нужен другой tredecillion мировой GDPs, чтобы также войти в Вашу зашифрованную домашнюю папку (принимающий различные пароли/ключи). Таким образом, это на самом деле усиливает Ваше шифрование от 256 битов до длины ключа на 257 битов. На личном сообщении я даже использую автоматический вход в систему на машинах полного шифрования диска, поскольку я считаю шифрование диска достаточно безопасным не потребовать, чтобы пароль был введен снова после начальной загрузки.
18
ответ дан 23 November 2019 в 02:32
  • Не все на Вашем диске шифруется, но Ваши данные.

    часть, которая не шифруется, является Вашим /boot область, поскольку она используется во время запуска. Некоторые интересные последствия, которые вытекают, который может быть найден здесь .

  • можно узнать силу шифра определенной установки путем выполнения

    ls /dev/mapper/ |grep crypt
    

    , выводом будет пример YOUR_CRYPT

    cryptsetup status YOUR_CRYPT
    

    :

    ls /dev/mapper/ |grep crypt
    nvme0n1p4_crypt
    sudo cryptsetup status nvme0n1p4_crypt
    
    /dev/mapper/nvme0n1p4_crypt is active and is in use.   
    type:    LUKS1    
    cipher:  aes-xts-plain64   
    keysize: 512 bits   
    device:  /dev/nvme0n1p4     
    offset:  4096 sectors   
    size:    499410944 sectors   
    mode:   read/write   
    flags:   discards
    

    Ваш класс шифрования будет варьироваться на основе того, когда Вы установили на Ubuntu и какую версию Вы используете, но еще более старая установка будет довольно сильна, и вероятно поддержит против случайного взламывания. Хорошее обсуждение шифрования блочного уровня Ubuntu: , Насколько безопасный полное шифрование диска Ubuntu по умолчанию?

  • Начальная загрузка Вашего зашифрованного диска на других аппаратных средствах не будет проблемой. Если Вы делаете поразрядную копию своего зашифрованного диска, можно все еще загрузить это как нормальное, и войти в него с помощью пароля. Операция копии должна быть сделана в то время как "офлайн" (с размонтированным диском после закрытия). Захват данных онлайн вряд ли будет работать, но я не на 100% уверен.

  • "Домашняя Папка" шифрование базируется вокруг "homefolder-in-a-file" идеи. Если бы система не была зашифрована, и файловая система была бы смонтирована, то зашифрованный корневой каталог был бы единственным большим файлом, зашифрованное использование cryptsetup. Шифрование как таковое Вашей домашней папки в зашифрованной системе увеличило бы трудность получения Ваших персональных файлов. Может быть компромисс производительности как бы то ни было. Больше на зашифрованный домой.

6
ответ дан 23 November 2019 в 02:32

Короткие простые ответы:

  1. все на зашифрованном диске (включая мои данные)? :

    • Да все шифруется
  2. , Насколько сильный это шифрование? :

    • Выход, сильный столь же сильный как самая слабая ссылка Вы .
  3. кроме того, делает шифрование, предотвращают меня от любой (a) установки SSD с системой зашифрованного файла в другое устройство или от (b) создания полного резервного копирования диска (использующий активную версию Ubuntu, например) и в какой-то момент восстанавливающий то резервное копирование? :

    • необходимо попробовать его для убеждения себя. Забудьте пароль и Вас, данные все уводят, если Вы знаете тот, кто смог взломать его после такой ситуации, сообщенной мне.
  4. кроме того, если вся файловая система шифруется, там какое-либо значение в также шифровании моей домашней папки в Ubuntu? :

    • Пустая трата времени, никакая потребность к. Но если Вам нужно к OK!
[еще 1121] информация:

Из той ссылки, которой Вы поделились, я заключаю в кавычки ссылку, по которой я перешел:

мораль этой истории? Если у Вас есть смонтированный раздел LUKS по Вашему телефону, для кого-то очень легко получить основной ключ шифрования. cryptsetup действительно удаляет ключ из поршня во время luksClose операции, , таким образом, моя рекомендация состоит в том, чтобы только смонтировать Ваш диск LUKS, когда Вы используете его и затем размонтировались и luksClose он, когда Вы сделаны . Иначе это становится огромной дырой в системе безопасности. Почти как Ваш диск не был зашифрован во-первых.

Его, вероятно, соответствующий, чтобы упомянуть здесь, что LUKS на Android не является единственной системой, восприимчивой к этому виду нападения. Фактически все системы шифрования дисков хранят ключ шифрования в поршне. Группа CITP Принстона определила этот факт давным-давно. Моя точка здесь только, который нападение как это очень легко сделать!

Примечание полужирный разделяют [еще 116] информация . Как я сказал, Ожидают ли Ваше слабое или небрежное в способе, которым Вы обрабатываете свой материал затем, проблему. Он дал совет, всегда размонтировались или закрываются когда Вы не использование его.

2
ответ дан 23 November 2019 в 02:32

Другие вопросы по тегам:

Похожие вопросы: