Şifrelenmiş bir bölüm ne kadar güvenli?

16

Ubuntu 16.04'ü yüklerken Dosya sistemini şifrelemeyi seçtim ve şimdi Ubuntu önyükleme yapmadan önce bir parola girmem isteniyor.

Bunun içeriğimi ne kadar güvenli hale getirdiğini merak ediyorum? özellikle:

  • Sürücüdeki her şey şifrelenmiş mi (verilerim dahil)?

  • Bu şifreleme ne kadar güçlü? (Biliyorum, bu bir zaman ve kaynak sorunu ve hangi şifreyi seçtim, ama pratik anlamda ... herkes ön kapımdan buldozer olabilir, ancak ortalama bir hırsızın, ev). Örneğin, dizüstü bilgisayarımı onarım için gönderirsem veya dizüstü bilgisayarım kaybolur veya çalınırsa, kolay erişim elde etmek için gerçekten zorlayıcı bir nedene sahip olmayan biri hakkında endişelenmem gerekir mi? ( Burada benzer bir soru sorulduğunu biliyorum , ama bu bir süre önceydi, belki de işler değişti?)

  • Ayrıca, şifreleme beni (a) SSD'yi şifrelenmiş dosya sistemiyle farklı bir aygıta kurmayı veya (b) sürücünün tam bir yedeklemesini (örneğin Ubuntu'nun canlı bir sürümünü kullanarak) ve bir noktada engellememi engelliyor mu? yedeklemeyi geri yüklensin mi?

  • Ayrıca, tüm dosya sistemi şifrelenmişse, Ubuntu'daki ana klasörümü de şifrelemenin bir değeri var mı?

16.04  partitioning  encryption 
litik
kaynak
Deneyim bana son iki noktaya cevap verdiğinden, orijinal yazımda bir güncelleme yapıldı. Hayır, şifreleme sıkıcı bir süreç olmasına rağmen tüm sabit diski sistemimden çıkarmamı ve farklı bir linux makinesinde şifresini çözmemi engellemedi. Ve evet, diğer kullanıcıların bu sistemde hesapları varsa, varsayılan olarak eve erişebilecekleri için birinin ana klasörünü şifrelemenin bir değeri vardır (örneğin, bkz. Techrepublic.com/article/… )
litik

Yanıtlar:

18
  • Yeni sistemi LUKS üzerinden şifrelemeyi seçtiyseniz, tüm sistem şifrelenir. Bu, sistem dosyalarınızı, ana klasörünüzü (ve dolayısıyla verilerinizi) ve takas bölümünü içerir. Bu, diske askıya alma (hazırda bekletme modu) kullanabileceğiniz ve yine de tam disk şifrelemenin tüm avantajlarına sahip olabileceğiniz anlamına gelir. Yorumlarda belirtildiği gibi, Ubuntu varsayılan olarak RAM'a askıya alma özelliğini kullanır. Bunun yerine Ubuntu'nun diski askıya al özelliğini kullanması için help.ubuntu.com adresindeki yönergeleri izlemeniz gerekir; bu, yalnızca sınırlı sayıda makine için çalışır.
  • 256 bit AES şifreleme, öngörülebilir gelecek için yeterince güçlüdür. Burada Kriptografi Yığın Borsası'nda tartışıldığı gibi , kaba zorlama AES-256 dünya GSYİH'sının yaklaşık 100 tredicillion katına mal olacak - hayal edebileceğiniz imkansıza en yakın şey. Kaba zorlamalı 128 bit AES şifrelemesi bile dünya GSYİH'sının yaklaşık bin katını alır.
  • LUKS anahtarı, LUKS üstbilgisi (HDD / SSD'den biridir) ve parolanızdan (kafanızda) başka bir şey tarafından kilitlenmez. Bu, (a) şifrelenmemiş bir sistem diskiyle de mümkün olduğu sürece, başka bir makinede kullanmanıza izin verir, yani ortak sistemler için kusursuz çalışmalıdır. (B) 'ye gelince, evet, tüm disk yedeklemelerini yapabilirsiniz dd, ancak bu görüntülerin önemli bir miktarda sıkıştırılmayacağını unutmayın. Bunun nedeni, şifrelenmiş verilerin doğasının parola olmadan rastgele verilerden ayırt edilememesidir.
  • Bunun sadece akademik faydası vardır, yani tam disk şifrelemesini kırmak için ilk tredecillion dünya GSYİH'sini tükettikten sonra, bir saldırganın şifrelenmiş ana klasörünüze (farklı parolalar / anahtarlar varsayarak) girmesi için başka bir tredecillion dünya GSYİH'sine ihtiyacı olacaktır. Yani aslında şifrelemenizi 256 bit'ten 257 bit anahtar uzunluğuna güçlendirir. Kişisel bir notta, disk şifrelemeyi önyüklemeden sonra parolanın tekrar girilmesini gerektirmeyecek kadar güvenli gördüğüm için, tam disk şifreleme makinelerinde otomatik oturum açmayı bile kullanıyorum.
çapa
kaynak
1
Ubuntu'nun varsayılan olarak, tam disk şifrelemenin nesnesini tamamen yenen, diske askıya alma değil, askıya alma işlemini kullandığını belirtmek gerekir. Diske askıya alma, yani hazırda bekletme, help.ubuntu.com/14.04/ubuntu-help/power-hibernate.html
Andrew Marshall
1
Bu AFAIK iyi bir cevap, ama bir küçük düzeltme var: Amacıyla boot, bir şey diskte gerekir şifresiz bırakılabilir. Bir Ubuntu yüklemesi için, bu normalde önyükleme yükleyicisidir (varsayılan olarak GRUB) ve şifrelenmemiş bir /bootbölüm, çekirdek (ler) i tutar, eşleşen initrd dosyalarını, GRUB yapılandırmasını ve destek dosyalarını ve diğer birkaç olasılık ve bitir. Bu dosyalar hassas değildir (yapılandırma dosyaları hariç tümü Ubuntu'nun stok parçasıdır), bu nedenle büyük bir endişe kaynağı değildir; ancak bilgisayarı Ubuntu çalıştırıyor olarak tanımlarlar.
Rod Smith
@RodSmith Doğru, ama gerçekten sürücü ve hacim arasında bir fark var mı (teknik olarak değil, dilde)? Daha iyi bilsem de, onları sürekli olarak birbirlerinin yerine kullanıyorum.
jpaugh
6

  • Sürücünüzdeki her şey şifrelenmez, ancak verileriniz şifrelenir.

    Şifrelenmeyen kısım, /bootbaşlatma sırasında kullanıldığı gibi bölgenizdir. Buradan akan bazı ilginç sonuçlar burada bulunabilir .

  • Belirli kurulumunuzun cypher gücünü bularak çalıştırabilirsiniz. 

    ls /dev/mapper/ |grep crypt

    Çıktı YOUR_CRYPT olacak

    cryptsetup status YOUR_CRYPT

    Misal: 

    ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards

    Şifreleme dereceniz, Ubuntu'ya ne zaman yüklediğinize ve hangi sürümü kullandığınıza bağlı olarak değişecektir, ancak daha eski kurulum bile oldukça güçlü olacaktır ve büyük olasılıkla sıradan çatlamaya karşı dayanacaktır. Ubuntu blok düzeyinde şifreleme hakkında iyi bir tartışma: Ubuntu'nun varsayılan tam disk şifrelemesi ne kadar güvenli?

  • Şifreli sürücünüzü farklı bir donanımda önyüklemek sorun olmayacaktır. Şifrelenmiş sürücünüzün bit-bit bir kopyasını yaparsanız, yine de normal şekilde önyükleyebilir ve parolanızı kullanarak oturum açabilirsiniz. Kopyalama işlemi "çevrimdışıyken" yapılmalıdır (kapatıldıktan sonra sürücü takılı değilken). On-line veri yakalamanın işe yarama olasılığı düşüktür, ancak% 100 emin değilim.

  • "Ana Klasör" şifrelemesi, "dosya-içinde-dosya" fikri üzerine kuruludur. Sistem şifrelenmemişse ve dosya sistemi bağlanırsa, şifrelenmiş giriş dizini, cryptsetup kullanılarak şifrelenen tek bir büyük dosya olacaktır. Bu nedenle, ana klasörünüzü şifreli bir sistem içinde şifrelemek, kişisel dosyalarınızı elde etmenin zorluğunu artıracaktır. Ancak bir performans değiş tokuşu olabilir. Şifrelenmiş ev hakkında daha fazla bilgi .

sergtech
kaynak
2

Kısa basit cevaplar:

  1. Sürücüdeki her şey şifrelenmiş mi (verilerim dahil)? :

    • Evet, hepsi şifreli

  2. Bu şifreleme ne kadar güçlü? :

    • En zayıf bağlantı kadar güçlü kuvvetli çıkın sizi .

  3. Ayrıca, şifreleme beni (a) SSD'yi şifrelenmiş dosya sistemiyle farklı bir aygıta kurmayı veya (b) sürücünün tam bir yedeklemesini (örneğin Ubuntu'nun canlı bir sürümünü kullanarak) ve bir noktada engellememi engelliyor mu? yedeklemeyi geri yüklensin mi? :

    • Kendinizi ikna etmek için denemelisiniz. Parolayı unutun ve verileriniz kayboldu, böyle bir durumdan sonra onu kırabilen birini biliyorsanız lütfen bana bildirin.

  4. Ayrıca, tüm dosya sistemi şifrelenmişse, Ubuntu'daki ana klasörümü de şifrelemenin bir değeri var mı? :

    • Zaman kaybı, gerek yok. Ama Tamam gerekiyorsa!

Daha fazla bilgi:

Paylaştığınız bağlantıdan takip ettiğim bir bağlantıdan alıntı yapıyorum:

Bu hikayenin ahlaki mi? Telefonunuzda takılı bir LUKS bölümü varsa, birinin ana şifreleme anahtarını alması çok kolaydır. cryptsetup, bir luksClose işlemi sırasında anahtarı ram'dan siler, bu nedenle önerim yalnızca LUKS sürücünüzü kullandığınızda takmanız ve daha sonra çıkarmanız ve luks kapatmanız bittiğinde kapatmanızdır . Aksi takdirde, büyük bir güvenlik açığı haline gelir. Neredeyse sürücünüz ilk etapta şifrelenmemiş gibi.

Android'de LUKS'un bu tür saldırılara duyarlı tek sistem olmadığını belirtmek muhtemelen uygun. Neredeyse tüm disk şifreleme sistemleri şifreleme anahtarını koç içinde saklar. Princeton CITP grubu bu gerçeği uzun zaman önce tanımladı. Demek istediğim sadece böyle bir saldırının yapılması çok kolay!

Daha fazla bilgi için kalın bölüme dikkat edin . Dediğim gibi Eğer senin zayıf ya da dikkatsiz şeyleri ele şekilde o zaman sorun bekliyoruz. Kullanmadığınızda her zaman bağlantısını kes veya kapat tavsiyeleri verdi.

George Udosen
kaynak
"Kullanımdan sonra" nın tam disk veya giriş klasörü şifrelemesi için ne zaman olacağından emin değilim. Mesele "açıkken, açık" mı? Eğer öyleyse, o zaman elbette. Sanırım hırsızlığa karşı koruma sağlamaya çalışıyoruz, bu da bir masaüstü için genellikle elektrik kesintisini içerir. Bu durumda bir dizüstü bilgisayarla ne olacağından emin değilim ...
Greg Bell
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.