Наскільки безпечним є зашифрований розділ?

16

Під час встановлення Ubuntu 16.04 я вирішив зашифрувати файлову систему, і тепер мені запропоновано ввести пароль перед завантаженням Ubuntu.

Мені цікаво, наскільки безпечно це робить мій вміст? Конкретно:

  • Чи все на накопичувачі зашифровано (включаючи мої дані)?

  • Наскільки сильне це шифрування? (Я знаю, це питання часу та ресурсів, і який пароль я вибрав, але я маю на увазі в практичному сенсі ... будь-хто міг би бульдозувати через мою вхідну двері, але середній злодій не має ресурсів чи схильності набігати на будинок). Наприклад, якщо я надсилаю свій ноутбук на ремонт, або якщо мій ноутбук загублений або вкрадений, чи потрібно мені турбуватися про когось, хто не має насправді причини, щоб спробувати розшифрувати його, отримуючи простий доступ? (Я знаю, тут було задано подібне питання , але це було досить давно, тому, можливо, все змінилося?)

  • Також чи зашифровує мені зашифрування або (a) встановлення SSD із зашифрованою файловою системою на інший пристрій, або (b) створення повної резервної копії накопичувача (наприклад, використовуючи живу версію Ubuntu, наприклад) та в якийсь момент відновлення резервної копії?

  • Крім того, якщо вся файлова система зашифрована, чи є якесь значення в шифруванні моєї домашньої папки в Ubuntu?

16.04  partitioning  encryption 
літичні
джерело
Просто оновлення моєї оригінальної публікації, оскільки досвід дав мені відповіді на останні два моменти. Ні, шифрування не завадило мені вийняти весь жорсткий диск з моєї системи, а потім розшифрувати його на іншій машині Linux, хоча це був копіткий процес. І так, є значення також у шифруванні домашньої папки, якщо інші користувачі мають облікові записи в цій системі, оскільки вони матимуть доступ до дому за замовчуванням (див., Наприклад, techrepublic.com/article/… )
літичний

Відповіді:

18
  • Якщо ви вирішили зашифрувати нову систему через LUKS, вся система шифрується. Сюди входять ваші системні файли, домашня папка (і, отже, ваші дані), а також розділ swap. Це означає, що ви можете використовувати призупинення на диск (він же сплячий) і все-таки мати всі переваги повного шифрування диска. Як було зазначено в коментарях, Ubuntu використовує затримку оперативної пам'яті за замовчуванням. Щоб Ubuntu використовував замість цього призупинення на диск, ви повинні дотримуватися інструкцій на help.ubuntu.com, які, очевидно, працюють лише для обмеженої кількості машин.
  • 256-бітове шифрування AES, ймовірно, досить сильне в осяжному майбутньому. Як обговорювалося тут на біржі криптовалют, жорстоке примушування AES-256 коштувало б приблизно в 100 тридцять мільйонів разів більше світового ВВП - найближче до неможливого, що ви можете собі уявити. Навіть грубе форсування 128-бітного шифрування AES займає приблизно в тисячу разів більше світового ВВП.
  • Ключ LUKS не блокується нічим, крім заголовком LUKS (який є HDD / SSD) та вашою парольною фразою (що знаходиться в голові). Це дозволяє (a) використовувати його на будь-якій іншій машині, якщо це можливо також із незашифрованим системним диском, тобто для загальних систем має працювати бездоганно. Що стосується (b), так, ви можете робити резервні копії цілих дисків dd, але майте на увазі, що ці зображення не стискаються до значної кількості. Це пов’язано з тим, що зашифровані дані не відрізняються від випадкових даних без парольної фрази.
  • У цьому є лише академічна вигода, тобто, споживаючи перший тредецильйонний світовий ВВП для порушення повного шифрування диска, зловмиснику знадобиться ще один тридесятилітровий світовий ВВП, щоб також потрапити у вашу зашифровану домашню папку (припускаючи різні парольні фрази / ключі). Таким чином, це фактично посилює ваше шифрування від 256 біт до 257 біт довжини ключа. В особистому записі я навіть використовую автоматичний вхід на машини для шифрування повного диска, оскільки вважаю шифрування диска досить безпечним, щоб не вимагати введення пароля після завантаження.
мотика
джерело
1
Варто зазначити, що за замовчуванням Ubuntu використовує suspend-to-ram, а не suspend-to-disk - перший повністю переміг об'єкт повного шифрування диска. Підвіска на диск, тобто сплячий режим, має бути спеціально включена відповідно до help.ubuntu.com/14.04/ubuntu-help/power-hibernate.html
Ендрю Маршалл
1
Це хороша відповідь, AFAIK, але у мене є одна невелика корекція: для завантаження щось на диску потрібно залишити незашифрованим. Для установки Ubuntu це, як правило, завантажувач (GRUB, за замовчуванням) та незашифрований /bootрозділ, містять ядро ​​(я), відповідні initrd файли (файли), конфігурацію та підтримку GRUB, а також деякі інші шанси та цілі. Ці файли не є чутливими (всі вони є складовою частиною Ubuntu, за винятком файлів конфігурації), тому вони не є головною проблемою; але вони визначили б комп'ютер як запущений Ubuntu.
Rod Smith
@RodSmith Правда, але чи дійсно є різниця (у мові, а не в технічному плані) між накопичувачем і гучністю? Я постійно користуюся ними взаємозамінно, хоча я знаю краще.
jpaugh
6

  • Не все на вашому диску зашифровано, але ваші дані є.

    Частина, яка не зашифрована, - це ваша /bootобласть, оскільки вона використовується під час запуску. Деякі цікаві наслідки, що випливають з цього, можна знайти тут .

  • Ви можете дізнатися силу вашої конкретної установки, запустивши 

    ls /dev/mapper/ |grep crypt

    Вихід буде YOUR_CRYPT

    cryptsetup status YOUR_CRYPT

    Приклад: 

    ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards

    Ваша ступінь шифрування буде залежати від того, коли ви встановили Ubuntu та версії, яку ви використовуєте, але навіть старша інсталяція буде досить сильною і, ймовірно, може протистояти випадковим злому. Хороша дискусія про шифрування на рівні блоку Ubuntu: наскільки безпечним є повне дискове шифрування Ubuntu за замовчуванням?

  • Завантаження зашифрованого накопичувача на іншому апаратному забезпеченні не буде проблемою. Якщо ви робите побітну копію зашифрованого диска, ви все одно можете завантажувати це як звичайне і входити в нього за допомогою свого пароля. Операцію копіювання слід робити в режимі "офлайн" (при відключенні диска після вимкнення). Онлайн-схоплення даних навряд чи спрацює, але я не впевнений на 100%.

  • Шифрування "домашньої папки" базується на ідеї "домашня папка у файлі". Якщо система не була зашифрована, а файлова система була б змонтована, зашифрований домашній каталог був би одним великим файлом, зашифрованим за допомогою cryptsetup. Оскільки таке шифрування домашньої папки в зашифрованій системі призвело б до складності отримання особистих файлів. Однак може бути компроміс ефективності. Детальніше про зашифрований будинок.

сергтех
джерело
2

Короткі прості відповіді:

  1. Чи все на накопичувачі зашифровано (включаючи мої дані)? :

    • Так, все зашифровано

  2. Наскільки сильне це шифрування? :

    • Кинь сильний і сильний, як найслабше пов'язує тебе .

  3. Також чи зашифровує мені зашифрування або (a) встановлення SSD із зашифрованою файловою системою на інший пристрій, або (b) створення повної резервної копії накопичувача (наприклад, використовуючи живу версію Ubuntu, наприклад) та в якийсь момент відновлення резервної копії?:

    • Ви повинні спробувати це, щоб переконати себе. Забудьте про пароль, і ви втратили дані, якщо ви знаєте того, хто зміг зламати його після такої ситуації, будь ласка, дайте мені знати.

  4. Крім того, якщо вся файлова система зашифрована, чи є якесь значення в шифруванні моєї домашньої папки в Ubuntu?:

    • Марно витрачати час, не потрібно. Але якщо вам потрібно ОК!

Більше інформації:

З цього посилання, яким ви поділилися, я цитую посилання, яке я перейшов:

Мораль цієї історії? Якщо у вас на телефоні встановлений розділ LUKS, хтось може отримати головний ключ шифрування. cryptsetup видаляє ключ із оперативної пам’яті під час операції luksClose, тому моя рекомендація полягає в тому, щоб монтувати привід LUKS лише тоді, коли ви його використовуєте, а потім відключити та luksЗакрити його, коли ви закінчите . В іншому випадку це стає величезною діркою безпеки. Майже так, як ваш диск не був зашифрований в першу чергу.

Тут, мабуть, доречно згадати, що LUKS на Android - не єдина система, схильна до такого типу атак. Практично всі системи шифрування диска зберігають ключ шифрування в операційній пам’яті. Принстонська група CITP давно визначила цей факт. Моя думка тут лише в тому, що таку атаку зробити дуже просто!

Зверніть увагу на жирний розділ, щоб отримати більше інформації . Як я вже сказав, якщо ваш слабкий або необережний у поводженні з вашими речами, то очікуйте неприємностей. Він давав поради, які завжди відключаються або закриваються, коли ви не користуєтесь ними.

Джордж Удосен
джерело
Не впевнений, коли "після використання" буде шифрування цілого диска або домашньої папки. Чи є сенс "коли він відкритий, він відкритий"? Якщо так, то звичайно. Я думаю, що ми намагаємося захистити від крадіжок, які для робочого столу зазвичай передбачають переривання живлення. Не впевнений, що станеться з ноутбуком у такому випадку ...
Грег Белл
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.