Muốn có một chương trình mã hóa đĩa Linux dễ sử dụng

Vì lợi ích bảo vệ thông tin cá nhân trong trường hợp máy tính xách tay bị đánh cắp, tôi đang tìm cách tốt nhất để mã hóa hệ thống Linux.

Nhược điểm của mã hóa toàn bộ đĩa bao gồm trao đổi:

• Dấu nhắc mật khẩu trước khi khởi động là loại xấu xí và chưa được đánh bóng, xuất hiện ẩn trong các thông báo khởi động (có thể một cái gì đó như Splashy xử lý việc này không?)
• Cần đăng nhập hai lần (nếu bạn có màn hình đăng nhập GDM và cần nhiều người dùng)

Nhược điểm của mã hóa thư mục cá nhân bằng libpam-mount hoặc tương tự:

• Chỉ thư mục nhà của người dùng được mã hóa (trong khi / etc, / var vv cũng có thể chứa thông tin nhạy cảm).
• Tệp hoán đổi không được mã hóa, do đó có khả năng bị rò rỉ dữ liệu nhạy cảm trong đó
• Không có cách nào để ngủ đông an toàn.

Tôi đang sử dụng Debian Linux nếu có vấn đề. Không cần phải bảo mật một cách lố bịch, nhưng muốn yên tâm rằng một tên trộm không thể đánh cắp danh tính của tôi, chi tiết tài khoản ngân hàng, thông tin đăng nhập VPN, v.v. nếu nó bị đánh cắp trong khi tắt / ngủ đông.

Bạn có biết cách để giải quyết bất kỳ vấn đề nào ở trên không?

Vấn đề của bạn là một vấn đề phổ biến: chủ yếu, sự cân bằng khó khăn giữa bảo mật và khả năng sử dụng.

Đề nghị của tôi là sử dụng một phiên bản sửa đổi một chút của cách tiếp cận hỗn hợp:

• sử dụng phần mềm đa nền tảng như TrueCrypt, chuẩn bị một hoặc nhiều khối lượng được mã hóa cho dữ liệu cá nhân của bạn mà bạn KHÔNG sử dụng hàng ngày (chi tiết ngân hàng, mật khẩu đã lưu, hồ sơ y tế, v.v.)
• lý do để sử dụng nhiều hơn một tập là bạn có thể muốn sao lưu chúng trên các phương tiện khác nhau hoặc sử dụng các chương trình mã hóa khác nhau: ví dụ: bạn có thể muốn chia sẻ hồ sơ sức khỏe của mình với người khác và nói với họ mật khẩu của bạn (nên là khác nhau cho một được sử dụng cho khối lượng khác)
• sử dụng phần mềm đa nền tảng "tiêu chuẩn" có nghĩa là bạn sẽ có thể khôi phục dữ liệu của mình từ một hệ điều hành khác đang hoạt động, nếu máy tính xách tay của bạn bị đánh cắp / hư hỏng
• mã hóa toàn bộ đĩa thường cồng kềnh và khó khăn. Mặc dù có các cuộc tấn công cho nó (xem Evil Maid Attack nhưng nó rất hữu ích nếu bạn sợ những gì có thể xảy ra nếu mọi người có quyền truy cập vào toàn bộ hệ thống. Ví dụ: nếu bạn đang sử dụng máy tính xách tay của công ty, không có truy cập quản trị và có các khóa VPN không nên bị đánh cắp
• mật khẩu được lưu trong bộ nhớ cache cho thư / web / ứng dụng là một vấn đề khác: có lẽ bạn chỉ muốn mã hóa thư mục chính của mình? Để tối ưu hóa hiệu suất và bảo mật / khả năng sử dụng, bạn có thể:
  • mã hóa tất cả thư mục nhà
  • liên kết mềm đến thư mục không được mã hóa trên hệ thống tệp của bạn để lấy dữ liệu mà bạn không quan tâm đến việc mất (nhạc, video, v.v.)

Một lần nữa, đừng quên rằng mọi thứ đều sôi sục với giá trị của những gì bạn phải mất, so với giá trị thời gian và chi phí phục hồi của bạn.

Tôi không mã hóa toàn bộ ổ cứng, nó chỉ là quá nhiều quản trị viên / quản lý.

Vì vậy, tôi sử dụng mã hóa dm để tạo một phân vùng được mã hóa hợp lý.

Tôi đã viết một kịch bản xung quanh nó, mà tôi sử dụng hàng ngày, xem nó có giúp gì cho bạn không. Tôi gọi nó dưới .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Bạn có thể sử dụng ổ đĩa để lưu trữ khóa mã hóa. Để bảo mật tốt nhất, mật khẩu phải được bảo vệ nhưng không cần phải bảo mật.

http://loop-aes.sourceforge.net/loop-AES.README xem ví dụ 7.

Tôi vẫn còn khá mới đối với Linux, nhưng tôi nghĩ khi bạn cài đặt hệ thống, có một cách để bật mã hóa toàn bộ đĩa. Ngoài ra, TrueCrypt có gói .deb.

Tôi chưa sử dụng mã hóa đĩa trên Linux, vì vậy có lẽ các tùy chọn này có vấn đề như bạn mô tả ở trên. Theo như đăng nhập nhiều người dùng, có lẽ TrueCrypt có thể được thiết lập để sử dụng tệp chính trên ổ USB. Bằng cách đó, tất cả những gì bạn cần là máy tính xách tay và ổ USB để truy cập các tệp trên máy tính xách tay.

Tôi vẫn đang tự học Linux, vì vậy tôi hy vọng điều này có ích.

bạn là gì lo lắng về? Vectơ tấn công nào? Trước khi bạn có thể nghiêm túc về bảo mật, bạn phải có câu trả lời cho hai câu hỏi này.

"Thông tin cá nhân" cho thấy rằng bạn lo lắng về những thứ như trộm danh tính, kẻ rình mò thông thường, & c. Một cái gì đó giống như phần mềm móc khóa là đủ để bảo vệ chi tiết đăng nhập ngân hàng, & c, nhưng không thực tế đối với lượng lớn thông tin.

Nếu bạn có nhiều dữ liệu bạn muốn bảo vệ, thông tin mà bạn không cần truy cập nhanh và bạn sẵn sàng trả một khoản tiền nhỏ định kỳ miễn phí, thì S4 của Amazon là một lựa chọn tốt, loại bỏ hoàn toàn những lo lắng về vật lý truy cập, để bảo mật được giảm xuống thành quản lý khóa, một lần nữa, được giải quyết thỏa đáng bằng phần mềm móc khóa. Amazon không thấy nội dung của những gì bạn lưu trữ theo cách này, mà chỉ xem kết quả được mã hóa. Tất nhiên, điều này có nghĩa là nếu bạn làm hỏng và mất chìa khóa, Amazon không thể giúp bạn.

Trong trường hợp thứ ba, khi bạn muốn truy cập tương đối nhanh vào một lượng lớn dữ liệu, tôi khuyên bạn không nên sử dụng mã hóa toàn bộ đĩa, mà là mã hóa toàn bộ phân vùng, theo đề xuất của chinmaya. Mã hóa trên mỗi thư mục là một mối phiền toái và tôi không khuyến nghị điều đó: hãy lấy hệ thống lưu trữ để thực hiện công việc.