Làm thế nào an toàn là một phân vùng được mã hóa?

16

Khi cài đặt Ubuntu 16.04, tôi đã chọn mã hóa hệ thống tệp và bây giờ tôi được nhắc nhập mật khẩu trước khi Ubuntu khởi động.

Tôi đang tự hỏi làm thế nào an toàn mà làm cho nội dung của tôi? Đặc biệt:

  • Là tất cả mọi thứ trên ổ đĩa được mã hóa (bao gồm cả dữ liệu của tôi)?

  • Mã hóa này mạnh đến mức nào? (Tôi biết, đó là câu hỏi về thời gian và tài nguyên và mật khẩu tôi đã chọn, nhưng ý tôi là theo nghĩa thực tế ... bất kỳ ai cũng có thể ủi qua cửa trước của tôi, nhưng tên trộm trung bình không có tài nguyên hoặc thiên hướng để sợ nhà ở). Ví dụ: nếu tôi gửi máy tính xách tay của mình để sửa chữa, hoặc nếu máy tính xách tay của tôi bị mất hoặc bị đánh cắp, tôi có cần phải lo lắng về một người không có lý do thực sự cấp bách để thử và giải mã nó có dễ dàng truy cập không? (Tôi biết một câu hỏi tương tự đã được hỏi ở đây , nhưng cách đây khá lâu nên có lẽ mọi thứ đã thay đổi?)

  • Ngoài ra, việc mã hóa có ngăn tôi (a) cài đặt SSD với hệ thống tệp được mã hóa vào một thiết bị khác hoặc (b) tạo bản sao lưu hoàn chỉnh cho ổ đĩa (ví dụ sử dụng phiên bản Ubuntu trực tiếp) và tại một số điểm Khôi phục bản sao lưu đó?

  • Ngoài ra, nếu toàn bộ hệ thống tập tin được mã hóa thì có giá trị nào trong việc mã hóa thư mục nhà của tôi trong Ubuntu không?

16.04  partitioning  encryption 
thạch
nguồn
Chỉ là một bản cập nhật trên bài viết gốc của tôi, vì kinh nghiệm đã cung cấp cho tôi câu trả lời cho hai điểm cuối cùng. Không, mã hóa không ngăn tôi lấy toàn bộ ổ cứng ra khỏi hệ thống của mình và sau đó không mã hóa nó trên một máy linux khác, mặc dù đó là một quá trình tẻ nhạt. Và Có, cũng có giá trị khi mã hóa thư mục nhà của một người nếu người dùng khác có tài khoản trên hệ thống đó, vì họ sẽ có quyền truy cập vào nhà theo mặc định (xem, ví dụ: techrepublic.com/article/ .)
lithic

Câu trả lời:

18
  • Nếu bạn chọn mã hóa hệ thống mới thông qua LUKS, toàn bộ hệ thống sẽ được mã hóa. Điều này bao gồm các tệp hệ thống, thư mục chính (và do đó là dữ liệu của bạn), cũng như phân vùng trao đổi. Điều này có nghĩa là bạn có thể sử dụng đình chỉ đĩa (hay còn gọi là ngủ đông) và vẫn có tất cả các lợi ích của mã hóa toàn bộ đĩa. Như đã chỉ ra trong các bình luận, Ubuntu sử dụng hệ thống treo vào RAM theo mặc định. Thay vào đó, để Ubuntu sử dụng hệ thống treo vào đĩa, bạn phải làm theo hướng dẫn trên help.ubfox.com dường như chỉ hoạt động đối với một số lượng máy hạn chế.
  • Mã hóa AES 256 bit có khả năng đủ mạnh trong tương lai gần. Như đã thảo luận ở đây trên Sàn giao dịch tiền điện tử , vũ phu buộc AES-256 sẽ tốn khoảng 100 triệu lần GDP thế giới - điều gần nhất mà bạn không thể tưởng tượng được. Ngay cả vũ phu buộc mã hóa AES 128 bit cũng mất khoảng một nghìn lần GDP của thế giới.
  • Khóa LUKS không bị khóa bởi bất cứ thứ gì ngoại trừ tiêu đề LUKS (là một ổ cứng / SSD) và cụm mật khẩu của bạn (nằm trong đầu bạn). Điều này cho phép bạn (a) sử dụng nó trong bất kỳ máy nào khác, miễn là điều đó cũng có thể với một đĩa hệ thống không được mã hóa, tức là đối với các hệ thống thông thường sẽ hoạt động hoàn hảo. Đối với (b), có, bạn có thể tạo toàn bộ bản sao lưu đĩa dd, nhưng lưu ý rằng những hình ảnh này sẽ không nén đến bất kỳ số lượng đáng kể nào. Điều này là do bản chất của dữ liệu được mã hóa không thể phân biệt được với dữ liệu ngẫu nhiên mà không có cụm mật khẩu.
  • Điều này chỉ có lợi ích về mặt học thuật, tức là sau khi sử dụng GDP thế giới đầu tiên để phá vỡ mã hóa toàn bộ đĩa, kẻ tấn công sẽ cần một GDP thế giới khác để vào thư mục nhà được mã hóa của bạn (giả sử các cụm mật khẩu / khóa khác nhau). Vì vậy, nó thực sự tăng cường mã hóa của bạn từ 256 bit đến độ dài khóa 256 bit. Trên một ghi chú cá nhân, tôi thậm chí sử dụng đăng nhập tự động trên các máy mã hóa toàn bộ đĩa, vì tôi cho rằng mã hóa đĩa đủ an toàn để không yêu cầu nhập lại mật khẩu sau khi khởi động.
cuốc
nguồn
1
Đáng chú ý là theo mặc định, Ubuntu sử dụng đình chỉ-ram và không đình chỉ đĩa - trước đây hoàn toàn đánh bại đối tượng mã hóa toàn bộ đĩa. Tạm dừng vào đĩa, tức là ngủ đông, phải được bật cụ thể theo trợ giúp.ubfox.com
Andrew Marshall
1
Đây là một câu trả lời hay, AFAIK, nhưng tôi có một điều chỉnh nhỏ: Để khởi động, một cái gì đó trên đĩa phải không được mã hóa. Đối với cài đặt Ubuntu, đây thường là bộ tải khởi động (GRUB, theo mặc định) và /bootphân vùng không được mã hóa giữ (các) kernel, (các) tệp initrd phù hợp, cấu hình GRUB và các tệp hỗ trợ, và một vài tỷ lệ cược và kết thúc khác. Các tệp này không nhạy cảm (tất cả chúng đều là một phần của Ubuntu, ngoại trừ các tệp cấu hình), vì vậy chúng không phải là mối quan tâm chính; nhưng họ sẽ xác định máy tính đang chạy Ubuntu.
Rod Smith
@RodSmith Đúng, nhưng có thực sự có một sự khác biệt (về ngôn ngữ, không phải về mặt kỹ thuật) giữa ổ đĩa và âm lượng? Tôi liên tục sử dụng chúng thay thế cho nhau, mặc dù tôi biết rõ hơn.
jpaugh
6

  • Không phải tất cả mọi thứ trên ổ đĩa của bạn được mã hóa, nhưng dữ liệu của bạn là.

    Phần không được mã hóa là /bootkhu vực của bạn , vì nó được sử dụng trong quá trình khởi động. Một số hậu quả thú vị chảy từ đó có thể được tìm thấy ở đây .

  • Bạn có thể tìm ra sức mạnh cypher cài đặt cụ thể của bạn bằng cách chạy 

    ls /dev/mapper/ |grep crypt

    Đầu ra sẽ là CỦA BẠN

    cryptsetup status YOUR_CRYPT

    Thí dụ: 

    ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards

    Cấp độ mã hóa của bạn sẽ thay đổi dựa trên thời điểm bạn cài đặt trên Ubuntu và phiên bản nào bạn đang sử dụng, nhưng ngay cả thiết lập cũ hơn cũng sẽ khá mạnh và có khả năng chống lại việc bẻ khóa thông thường. Một cuộc thảo luận tốt về mã hóa cấp khối Ubuntu: Bảo mật mã hóa toàn bộ mặc định của Ubuntu an toàn đến mức nào?

  • Khởi động ổ đĩa được mã hóa của bạn trên các phần cứng khác nhau sẽ không thành vấn đề. Nếu bạn thực hiện một bản sao bit-bit của ổ đĩa được mã hóa, bạn vẫn có thể khởi động như bình thường và đăng nhập vào nó bằng mật khẩu của mình. Thao tác sao chép phải được thực hiện trong khi "ngoại tuyến" (với ổ đĩa chưa được ngắt, sau khi tắt). Việc lấy dữ liệu trực tuyến có thể không hoạt động, nhưng tôi không chắc chắn 100%.

  • Mã hóa "Thư mục nhà" dựa trên ý tưởng "homefolder-in-a-file". Nếu hệ thống không được mã hóa và hệ thống tệp sẽ được gắn kết, thư mục chính được mã hóa sẽ là một tệp lớn duy nhất, được mã hóa bằng cryptsetup. Vì việc mã hóa thư mục nhà của bạn trong một hệ thống được mã hóa sẽ làm tăng khó khăn trong việc lấy các tệp cá nhân của bạn. Có thể có một sự đánh đổi hiệu suất tuy nhiên. Thêm về nhà mã hóa.

sergtech
nguồn
2

Câu trả lời đơn giản ngắn gọn:

  1. Là tất cả mọi thứ trên ổ đĩa được mã hóa (bao gồm cả dữ liệu của tôi)? :

    • Có tất cả được mã hóa

  2. Mã hóa này mạnh đến mức nào? :

    • Thoát mạnh mẽ mạnh mẽ như liên kết yếu nhất bạn .

  3. Ngoài ra, việc mã hóa có ngăn tôi (a) cài đặt SSD với hệ thống tệp được mã hóa vào một thiết bị khác hoặc (b) tạo bản sao lưu hoàn chỉnh cho ổ đĩa (ví dụ như sử dụng phiên bản Ubuntu trực tiếp) và tại một số điểm Khôi phục bản sao lưu đó? :

    • Bạn phải thử nó để thuyết phục chính mình. Quên mật khẩu và dữ liệu của bạn đã biến mất, nếu bạn biết một người đã có thể bẻ khóa nó sau tình huống như vậy xin vui lòng cho tôi biết.

  4. Ngoài ra, nếu toàn bộ hệ thống tập tin được mã hóa thì có giá trị nào trong việc mã hóa thư mục nhà của tôi trong Ubuntu không? :

    • Lãng phí thời gian, không cần. Nhưng nếu bạn cần OK!

Thêm thông tin:

Từ liên kết mà bạn chia sẻ, tôi trích dẫn một liên kết tôi đã theo dõi:

Những đạo đức của câu chuyện này? Nếu bạn có một phân vùng LUKS được gắn trên điện thoại của mình, rất dễ dàng để ai đó có được khóa mã hóa chính. cryptsetup sẽ xóa khóa khỏi ram trong quá trình hoạt động luksClose, vì vậy khuyến nghị của tôi là chỉ gắn ổ đĩa LUKS của bạn khi bạn đang sử dụng và sau đó ngắt kết nối và luks Đóng nó khi bạn hoàn thành . Nếu không, nó trở thành một lỗ hổng bảo mật rất lớn. Gần như ổ đĩa của bạn không được mã hóa ngay từ đầu.

Có lẽ thích hợp để đề cập ở đây rằng LUKS trên Android không phải là hệ thống duy nhất dễ bị loại tấn công này. Hầu như tất cả các hệ thống mã hóa đĩa đều lưu trữ khóa mã hóa trong ram. Nhóm Princeton CITP đã xác định thực tế này từ lâu. Quan điểm của tôi ở đây chỉ là một cuộc tấn công như thế này rất dễ thực hiện!

Lưu ý đậm phần biết thêm thông tin . Giống như tôi đã nói Nếu bạn yếu đuối hoặc bất cẩn trong cách bạn xử lý công cụ của mình thì sẽ gặp rắc rối. Ông đã đưa ra lời khuyên luôn luôn không đếm được hoặc đóng khi bạn không sử dụng nó.

George Udosen
nguồn
Không chắc chắn khi "sau khi sử dụng" sẽ được mã hóa toàn bộ đĩa hoặc thư mục chính. Là điểm "khi nó mở, nó mở"? Nếu vậy, thì tất nhiên. Tôi nghĩ rằng chúng tôi đang cố gắng bảo vệ chống trộm, điều này đối với máy tính để bàn thường liên quan đến gián đoạn điện. Không chắc điều gì xảy ra với máy tính xách tay trong trường hợp đó ...
Greg Bell
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.