Хотите простую в использовании схему шифрования диска Linux

11

В целях защиты личной информации в случае кражи ноутбука я ищу лучший способ шифрования системы Linux.

Недостатки шифрования всего диска, включая обмен:

  • Запрос пароля перед загрузкой выглядит некрасиво и неполированно, и кажется скрытым среди загрузочных сообщений (может ли что-то вроде Splashy справиться с этим?)
  • Необходимо войти в систему дважды (если у вас есть экран входа в GDM и вам нужно несколько пользователей)

Недостатки шифрования отдельных папок с использованием libpam-mount или аналогичного:

  • Зашифрована только домашняя папка пользователя (тогда как / etc, / var etc могут также содержать конфиденциальную информацию).
  • Файл подкачки не зашифрован, поэтому возможна утечка конфиденциальных данных
  • Нет способа безопасно перевести в спящий режим.

Я использую Debian Linux, если это имеет значение. Не нужно быть смехотворно защищенным, но нужно быть уверенным, что вор не может украсть мою личность, банковские реквизиты, логин VPN и т. Д., Если он был украден во время выключения / гибернации.

Знаете ли вы способы решения любой из моих вышеупомянутых проблем?

thomasrutter
источник

Ответы:

7

Ваша проблема является общей: в основном, сложный баланс между безопасностью и удобством использования.

Я предлагаю использовать слегка измененную версию смешанного подхода:

  • с помощью кросс-платформенного программного обеспечения, такого как TrueCrypt, подготовьте один или несколько зашифрованных томов для ваших личных данных, которые вы НЕ используете ежедневно (банковские реквизиты, сохраненные пароли, медицинские записи и т. д.)
  • причина использования более одного тома заключается в том, что вы можете создать резервную копию их на другом носителе или использовать разные схемы шифрования: например, вы можете поделиться своими записями о здоровье с кем-то другим и сообщить им свою парольную фразу (которая должна быть отличается от того, что используется для других томов)
  • Использование «стандартного» кроссплатформенного программного обеспечения означает, что вы сможете восстановить данные из другой ОС на лету, если ваш ноутбук будет украден / поврежден
  • шифрование всего диска часто бывает громоздким и сложным. Хотя для этого есть атаки (см. « Злая атака горничной», она оказывается полезной, если вы боитесь того, что может произойти, если у людей есть доступ ко всей системе. Например, если вы используете ноутбук компании, не административный доступ и есть ключи VPN, которые не должны быть украдены
  • Кэшированные пароли для mail / web / apps - еще одна проблема: возможно, вы захотите зашифровать только свой домашний каталог? Для оптимизации производительности и безопасности / удобства использования вы можете:
    • зашифровать весь домашний каталог
    • мягкая ссылка на незашифрованный каталог в вашей файловой системе для данных, которые вы не хотите потерять (музыка, видео и т. д.)

Опять же, не забывайте, что все сводится к стоимости того, что вы должны потерять, по сравнению с ценой вашего времени и затрат на восстановление.

lorenzog
источник
Все ваши советы хороши, хотя лично для меня я бы предпочел использовать dm-crypt / luks, а не Truecrypt просто потому, что он поддерживается моим дистрибутивом. Если вам интересно, можно расшифровать и смонтировать такой том из Windows или другого загрузочного диска.
Томасруттер
Защищает ли TrueCrypt зашифрованные тома во время гибернации?
Крейг МакКуин
@thomasrutter: я понимаю. Будучи пользователем Mac, я предпочел использовать решение с более широким диапазоном поддерживаемых ОС в то время.
Лоренцог
Я получил награду за ваш ответ, потому что, хотя она не решает всех моих проблем, она полезна и содержит несколько полезных указателей. Та!
Томасруттер
2

Я не зашифровываю весь жесткий диск, это просто слишком много для администратора / управления.

Поэтому я использую dm-encrypt для создания логического зашифрованного раздела.

Я написал сценарий вокруг него, который я использую ежедневно, чтобы понять, поможет ли он вам. Я называю это под .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Chinmaya
источник
1

Вы можете использовать Pend Drive для хранения ключей шифрования. Для лучшей безопасности он должен быть защищен паролем, но это не обязательно.

http://loop-aes.sourceforge.net/loop-AES.README посмотрите на пример 7.

Maciek Sawicki
источник
Спасибо за предложение, хотя меня беспокоит, что USB-флешка может быть украдена, потеряна и т. Д., Я, вероятно, предпочитаю использовать другой пароль.
Томасруттер
1

Я все еще относительно новичок в Linux, но я подумал, что когда вы устанавливали систему, был способ включить шифрование всего диска. Кроме того, TrueCrypt имеет пакет .deb.

Я еще не использовал шифрование диска в Linux, поэтому, возможно, у этих опций есть проблемы, которые вы описали выше. Что касается многопользовательского входа, возможно, TrueCrypt может быть настроен на использование файла ключа на USB-накопителе. Таким образом, все, что вам нужно, это ноутбук и USB-накопитель для доступа к файлам на ноутбуке.

Я все еще изучаю Linux, поэтому надеюсь, что это поможет.

Скотт МакКленнинг
источник
Да, Debian (и, возможно, другие дистрибутивы) может выполнять шифрование всего диска в установщике, и это тоже хорошо - но страдает от проблем в первом наборе пунктов, которые я опубликовал. Помимо этого, этот вариант (т. Е. Том Luks с логическими томами на нем), вероятно, является лучшим вариантом, который я знаю до сих пор.
Томасруттер
0

Что вас беспокоит? Какие векторы атаки? Прежде чем вы начнете серьезно относиться к безопасности, у вас должны быть ответы на эти два вопроса.

«Личная информация» предполагает, что вы беспокоитесь о таких вещах, как кража личных данных, случайные шпионы и т. Д. Что-то вроде программного обеспечения цепочки для ключей достаточно для защиты банковских учетных данных и т. Д., Но нецелесообразно для больших объемов информации.

Если у вас есть много данных, которые вы хотите защитить, информация, к которой вам не нужен быстрый доступ, и за которую вы готовы платить небольшую повторяющуюся бесплатную плату, то Amazon S4 - хороший вариант, полностью устраняющий беспокойство по поводу физического доступ, так что безопасность сводится к управлению ключами, что, опять же, адекватно решается программным обеспечением цепочки для ключей. Amazon не видит содержимое того, что вы храните таким образом, а только зашифрованный результат. Конечно, это означает, что если вы испортите и потеряете ключи, Amazon не сможет вам помочь.

В третьем случае, когда вам нужен относительно быстрый доступ к большому количеству данных, я рекомендую использовать не целое шифрование диска, а шифрование всего раздела, согласно предложению chinmaya. Шифрование по каталогам - это неприятность, и я не рекомендую этого: заставить систему делопроизводства делать свою работу.

Чарльз Стюарт
источник
Вектор атаки: вор крадет мой ноутбук, когда он выключен или находится в режиме гибернации. Thief хочет узнать информацию обо мне, моих фотографиях или моих паролях на различных веб-сайтах, какие веб-сайты я посещаю, членом или банком или т. Д.
thomasrutter