Desideri uno schema di crittografia del disco Linux facile da usare

Nell'interesse di proteggere le informazioni personali in caso di furto di un laptop, sto cercando il modo migliore per crittografare un sistema Linux.

Svantaggi della crittografia dell'intero disco, incluso lo scambio:

• La richiesta della password di pre-avvio è un po 'brutta e non lucidata, che appare nascosta tra i messaggi di avvio (qualcosa come Splashy può gestire questo?)
• Devi accedere due volte (se hai una schermata di accesso GDM e hai bisogno di più utenti)

Svantaggi della crittografia delle singole cartelle usando libpam-mount o simili:

• Solo la cartella principale dell'utente è crittografata (mentre / etc, / var etc potrebbe contenere anche informazioni riservate).
• Il file di scambio non è crittografato, quindi è probabile che vi siano perdite di dati sensibili
• Non c'è modo di ibernare in modo sicuro.

Sto usando Debian Linux se è importante. Non ha bisogno di essere ridicolmente sicuro, ma vuoi stare tranquillo che un ladro non può rubare la mia identità, i dettagli del conto bancario, gli accessi VPN, ecc. Se viene rubato mentre è spento / ibernato.

Conosci i modi per risolvere i miei problemi di cui sopra?

Il tuo problema è comune: principalmente, il difficile equilibrio tra sicurezza e usabilità.

Il mio suggerimento è di utilizzare una versione leggermente modificata di un approccio misto:

• l'utilizzo di software multipiattaforma come TrueCrypt prepara uno o più volumi crittografati per i tuoi dati personali che NON usi quotidianamente (dati bancari, password salvate, cartelle cliniche, ecc.)
• il motivo per utilizzare più di un volume è che potresti voler eseguire il backup su diversi supporti o utilizzare diversi schemi di crittografia: ad esempio, potresti voler condividere i tuoi record di salute con qualcun altro e dire loro la tua passphrase (che dovrebbe essere diverso per quello utilizzato per altri volumi)
• l'utilizzo di un software multipiattaforma "standard" significa che sarai in grado di recuperare i tuoi dati da un altro sistema operativo al volo, se il tuo laptop viene rubato / danneggiato
• la crittografia dell'intero disco è spesso ingombrante e difficile. Sebbene ci siano attacchi per questo (vedi Evil Maid Attack risulta utile se hai paura di cosa potrebbe accadere se le persone avessero accesso all'intero sistema. Ad esempio, se stai usando un laptop aziendale, non hai accesso amministrativo e ci sono chiavi VPN che non dovrebbero essere rubate
• le password memorizzate nella cache per posta / web / app sono un altro problema: forse potresti voler crittografare solo la tua home directory? Per ottimizzare prestazioni e sicurezza / usabilità è possibile:
  • crittografare tutta la home directory
  • collegamento software a una directory non crittografata sul file system per i dati che non ti interessano perdere (musica, video, ecc.)

Ancora una volta, non dimenticare che tutto si riduce al valore di ciò che devi perdere, rispetto al valore del tempo e dei costi di recupero.

Non crittografare l'intero disco rigido, è solo una cosa di amministrazione / gestione.

Quindi uso dm-encrypt per creare una partizione logica crittografata.

Ho creato un copione attorno ad esso, che uso quotidianamente, per vedere se ti aiuta. Lo chiamo sotto .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

È possibile utilizzare l'unità pend per l'archiviazione delle chiavi di crittografia. Per la massima sicurezza, dovrebbe essere protetto da password ma non è necessario.

http://loop-aes.sourceforge.net/loop-AES.README guarda l'esempio 7.

Sono ancora relativamente nuovo su Linux, ma ho pensato che quando si installava il sistema c'era un modo per attivare la crittografia dell'intero disco. Inoltre, TrueCrypt ha un pacchetto .deb.

Non avevo ancora usato la crittografia del disco su Linux, quindi forse queste opzioni hanno problemi come quelli descritti sopra. Per quanto riguarda l'accesso multiutente, forse TrueCrypt può essere configurato per utilizzare un file chiave su un'unità USB. In questo modo tutto ciò che serve è il laptop e l'unità USB per accedere ai file sul laptop.

Sto ancora imparando Linux da solo, quindi spero che questo aiuti.

Di cosa sei preoccupato? Quali vettori di attacco? Prima di poter prendere sul serio la sicurezza, devi avere le risposte a queste due domande.

Le "informazioni personali" suggeriscono che sei preoccupato per cose come il furto di identità, i ficcanaso casuali ecc. Qualcosa come il software portachiavi è sufficiente per proteggere i dettagli di accesso alla banca, ecc., Ma non è pratico per grandi quantità di informazioni.

Se hai molti dati che vuoi proteggere, informazioni a cui non hai bisogno di un accesso rapido e per i quali sei disposto a pagare un piccolo costo ricorrente, allora l'S4 di Amazon è una buona opzione, rimuovendo totalmente le preoccupazioni circa l'accesso, in modo che la sicurezza sia ridotta alla gestione delle chiavi, che, di nuovo, è adeguatamente risolta dal software portachiavi. Amazon non vede il contenuto di ciò che memorizzi in questo modo, ma solo il risultato crittografato. Ovviamente questo significa che se sbagli e perdi le chiavi, Amazon non può aiutarti.

Nel terzo caso, in cui si desidera un accesso relativamente veloce a una grande quantità di dati, si consiglia di utilizzare non la crittografia dell'intero disco, ma la crittografia dell'intera partizione, come suggerito da Chinmaya. La crittografia per directory è una seccatura e non lo consiglio: far funzionare il sistema di archiviazione.