Desideri uno schema di crittografia del disco Linux facile da usare


11

Nell'interesse di proteggere le informazioni personali in caso di furto di un laptop, sto cercando il modo migliore per crittografare un sistema Linux.

Svantaggi della crittografia dell'intero disco, incluso lo scambio:

  • La richiesta della password di pre-avvio è un po 'brutta e non lucidata, che appare nascosta tra i messaggi di avvio (qualcosa come Splashy può gestire questo?)
  • Devi accedere due volte (se hai una schermata di accesso GDM e hai bisogno di più utenti)

Svantaggi della crittografia delle singole cartelle usando libpam-mount o simili:

  • Solo la cartella principale dell'utente è crittografata (mentre / etc, / var etc potrebbe contenere anche informazioni riservate).
  • Il file di scambio non è crittografato, quindi è probabile che vi siano perdite di dati sensibili
  • Non c'è modo di ibernare in modo sicuro.

Sto usando Debian Linux se è importante. Non ha bisogno di essere ridicolmente sicuro, ma vuoi stare tranquillo che un ladro non può rubare la mia identità, i dettagli del conto bancario, gli accessi VPN, ecc. Se viene rubato mentre è spento / ibernato.

Conosci i modi per risolvere i miei problemi di cui sopra?

Risposte:


7

Il tuo problema è comune: principalmente, il difficile equilibrio tra sicurezza e usabilità.

Il mio suggerimento è di utilizzare una versione leggermente modificata di un approccio misto:

  • l'utilizzo di software multipiattaforma come TrueCrypt prepara uno o più volumi crittografati per i tuoi dati personali che NON usi quotidianamente (dati bancari, password salvate, cartelle cliniche, ecc.)
  • il motivo per utilizzare più di un volume è che potresti voler eseguire il backup su diversi supporti o utilizzare diversi schemi di crittografia: ad esempio, potresti voler condividere i tuoi record di salute con qualcun altro e dire loro la tua passphrase (che dovrebbe essere diverso per quello utilizzato per altri volumi)
  • l'utilizzo di un software multipiattaforma "standard" significa che sarai in grado di recuperare i tuoi dati da un altro sistema operativo al volo, se il tuo laptop viene rubato / danneggiato
  • la crittografia dell'intero disco è spesso ingombrante e difficile. Sebbene ci siano attacchi per questo (vedi Evil Maid Attack risulta utile se hai paura di cosa potrebbe accadere se le persone avessero accesso all'intero sistema. Ad esempio, se stai usando un laptop aziendale, non hai accesso amministrativo e ci sono chiavi VPN che non dovrebbero essere rubate
  • le password memorizzate nella cache per posta / web / app sono un altro problema: forse potresti voler crittografare solo la tua home directory? Per ottimizzare prestazioni e sicurezza / usabilità è possibile:
    • crittografare tutta la home directory
    • collegamento software a una directory non crittografata sul file system per i dati che non ti interessano perdere (musica, video, ecc.)

Ancora una volta, non dimenticare che tutto si riduce al valore di ciò che devi perdere, rispetto al valore del tempo e dei costi di recupero.


Il tuo consiglio è tutto buono, anche se per me personalmente preferirei usare dm-crypt / luks piuttosto che Truecrypt semplicemente perché è supportato dalla mia distribuzione. Nel caso in cui sia interessato, è possibile decrittografare e montare un tale volume da Windows o da un altro disco di avvio ora.
thomasrutter,

TrueCrypt protegge i volumi crittografati durante l'ibernazione?
Craig McQueen,

@thomasrutter: ho capito. Essendo un utente mac, all'epoca preferivo scegliere una soluzione con una gamma più ampia di sistemi operativi supportati.
Lorenzog,

Ho assegnato la grazia alla tua risposta perché, sebbene non risolva tutti i miei problemi, è utile e contiene alcuni buoni suggerimenti. Ta!
thomasrutter,


1

È possibile utilizzare l'unità pend per l'archiviazione delle chiavi di crittografia. Per la massima sicurezza, dovrebbe essere protetto da password ma non è necessario.

http://loop-aes.sourceforge.net/loop-AES.README guarda l'esempio 7.


Grazie per il suggerimento, anche se sono a disagio per il furto, la perdita, ecc. Della chiavetta USB, probabilmente preferisco un'altra password.
Thomas Thomas

1

Sono ancora relativamente nuovo su Linux, ma ho pensato che quando si installava il sistema c'era un modo per attivare la crittografia dell'intero disco. Inoltre, TrueCrypt ha un pacchetto .deb.

Non avevo ancora usato la crittografia del disco su Linux, quindi forse queste opzioni hanno problemi come quelli descritti sopra. Per quanto riguarda l'accesso multiutente, forse TrueCrypt può essere configurato per utilizzare un file chiave su un'unità USB. In questo modo tutto ciò che serve è il laptop e l'unità USB per accedere ai file sul laptop.

Sto ancora imparando Linux da solo, quindi spero che questo aiuti.


Sì, Debian (e probabilmente altre distro) può eseguire la crittografia dell'intero disco nel programma di installazione, ed è anche buono - ma soffre dei problemi in quella prima serie di punti elenco che ho pubblicato. Oltre a ciò, questa opzione (ovvero volume di Luks con volumi logici su di essa) è probabilmente l'opzione migliore di cui sono a conoscenza finora.
Thomas Thomas

0

Di cosa sei preoccupato? Quali vettori di attacco? Prima di poter prendere sul serio la sicurezza, devi avere le risposte a queste due domande.

Le "informazioni personali" suggeriscono che sei preoccupato per cose come il furto di identità, i ficcanaso casuali ecc. Qualcosa come il software portachiavi è sufficiente per proteggere i dettagli di accesso alla banca, ecc., Ma non è pratico per grandi quantità di informazioni.

Se hai molti dati che vuoi proteggere, informazioni a cui non hai bisogno di un accesso rapido e per i quali sei disposto a pagare un piccolo costo ricorrente, allora l'S4 di Amazon è una buona opzione, rimuovendo totalmente le preoccupazioni circa l'accesso, in modo che la sicurezza sia ridotta alla gestione delle chiavi, che, di nuovo, è adeguatamente risolta dal software portachiavi. Amazon non vede il contenuto di ciò che memorizzi in questo modo, ma solo il risultato crittografato. Ovviamente questo significa che se sbagli e perdi le chiavi, Amazon non può aiutarti.

Nel terzo caso, in cui si desidera un accesso relativamente veloce a una grande quantità di dati, si consiglia di utilizzare non la crittografia dell'intero disco, ma la crittografia dell'intera partizione, come suggerito da Chinmaya. La crittografia per directory è una seccatura e non lo consiglio: far funzionare il sistema di archiviazione.


Vettore di attacco: il ladro ruba il mio taccuino mentre è spento o in modalità di ibernazione. Il ladro vuole trovare informazioni su di me, le mie foto o le mie password su vari siti Web, su quali siti web visito o di cui sono membro o banca, ecc.
thomasrutter,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.