Jak bezpieczna jest zaszyfrowana partycja?

16

Podczas instalowania systemu Ubuntu 16.04 zdecydowałem się zaszyfrować system plików i przed uruchomieniem systemu Ubuntu pojawi się monit o podanie hasła.

Zastanawiam się, jak bezpieczne jest to, że moje treści? Konkretnie:

  • Czy wszystko na dysku jest zaszyfrowane (w tym moje dane)?

  • Jak silne jest to szyfrowanie? (Wiem, to kwestia czasu i zasobów i jakie hasło wybrałem, ale mam na myśli w sensie praktycznym ... każdy mógł spychać moje drzwi, ale przeciętny złodziej nie ma zasobów ani skłonności, by bać się dom). Na przykład, jeśli wyślę laptopa do naprawy lub jeśli mój laptop zostanie zgubiony lub skradziony, to czy muszę martwić się kimś, kto nie ma naprawdę pilnego powodu, aby spróbować go odszyfrować, aby uzyskać łatwy dostęp? (Wiem, że zadano tutaj podobne pytanie , ale to było już dawno, więc może coś się zmieniło?)

  • Ponadto, czy szyfrowanie uniemożliwia mi (a) zainstalowanie dysku SSD z zaszyfrowanym systemem plików na innym urządzeniu lub (b) wykonanie pełnej kopii zapasowej dysku (na przykład przy użyciu wersji Ubuntu na żywo) i w pewnym momencie przywracasz tę kopię zapasową?

  • Ponadto, jeśli cały system plików jest zaszyfrowany, czy jest jakąś wartość w szyfrowaniu mojego folderu domowego w Ubuntu?

16.04 partitioning encryption lityczny
źródło
Tylko aktualizacja mojego oryginalnego postu, ponieważ doświadczenie dostarczyło mi odpowiedzi na dwa ostatnie punkty. Nie, szyfrowanie nie przeszkodziło mi w wyjęciu całego dysku twardego z mojego systemu, a następnie odszyfrowaniu go na innym komputerze z systemem Linux, choć był to żmudny proces. I tak, istnieje również wartość szyfrowanie katalogu domowego własnego jeśli inni użytkownicy mają konta w tym systemie, ponieważ będą one miały dostęp do domu domyślnie (patrz, na przykład, techrepublic.com/article/... )
lithic

Odpowiedzi:

18
  • Jeśli zdecydujesz się zaszyfrować nowy system za pomocą LUKS, cały system jest szyfrowany. Dotyczy to plików systemowych, folderu domowego (a tym samym danych), a także partycji wymiany. Oznacza to, że możesz korzystać z funkcji zawieszenia na dysk (czyli hibernacji) i nadal korzystać ze wszystkich zalet pełnego szyfrowania dysku. Jak wskazano w komentarzach, Ubuntu domyślnie używa zawieszenia do pamięci RAM. Aby Ubuntu zamiast tego używało zawieszenia na dysk, musisz postępować zgodnie z instrukcjami na help.ubuntu.com, które najwyraźniej działają tylko na ograniczonej liczbie komputerów.
  • 256-bitowe szyfrowanie AES jest prawdopodobnie wystarczająco silne na dającą się przewidzieć przyszłość. Jak omówiono tutaj na Cryptography Stack Exchange , brutalne zmuszanie AES-256 kosztowałoby około 100 razy więcej niż światowy PKB - najbliższa niemożliwa do wyobrażenia rzecz. Nawet brutalne wymuszanie 128-bitowego szyfrowania AES zajmuje około tysiąc razy więcej niż światowy PKB.
  • Klucz LUKS nie jest zablokowany przez nic oprócz nagłówka LUKS (który jest dyskiem HDD / SSD) i hasła (które jest w twojej głowie). Pozwala to (a) używać go na dowolnym innym komputerze, o ile jest to możliwe również w przypadku niezaszyfrowanego dysku systemowego, tzn. W przypadku zwykłych systemów powinno działać bezbłędnie. Jeśli chodzi o (b), tak, możesz tworzyć kopie zapasowe całego dysku dd, ale pamiętaj, że te obrazy nie będą kompresowane do żadnej znaczącej ilości. Wynika to z faktu, że zaszyfrowane dane są nierozróżnialne od danych losowych bez hasła.
  • Jest to tylko akademicka korzyść, tj. Po zużyciu pierwszego światowego PKB Tredecillion za złamanie pełnego szyfrowania dysku, osoba atakująca potrzebuje innego światowego PKB Tredecillion, aby dostać się również do zaszyfrowanego folderu domowego (przy założeniu różnych haseł / kluczy). Tak więc faktycznie wzmacnia twoje szyfrowanie z 256 bitów na 257 bitów długości klucza. W osobistej notatce używam nawet automatycznego logowania na maszynach do szyfrowania całego dysku, ponieważ uważam, że szyfrowanie dysku jest wystarczająco bezpieczne, aby nie wymagać ponownego wprowadzania hasła po uruchomieniu.
motyka
źródło
1
Warto zauważyć, że domyślnie Ubuntu używa zawieszenia na ram, a nie zawieszenia na dysk - ten pierwszy całkowicie pokonuje obiekt pełnego szyfrowania dysku. Zawieszenie na dysku, tj. Hibernacja
Andrew Marshall
1
To dobra odpowiedź, AFAIK, ale mam jedną małą poprawkę: aby uruchomić, coś na dysku musi pozostać niezaszyfrowane. W przypadku instalacji Ubuntu jest to zwykle moduł ładujący rozruch (domyślnie GRUB), a niezaszyfrowana /bootpartycja zawiera jądro (-a), pasujące pliki (-a) initrd, pliki konfiguracji i wsparcia GRUB oraz kilka innych drobiazgów. Te pliki nie są wrażliwe (wszystkie są standardową częścią Ubuntu, z wyjątkiem plików konfiguracyjnych), więc nie stanowią poważnego problemu; ale zidentyfikowaliby komputer jako działający na Ubuntu.
Rod Smith
@RodSmith Prawda, ale czy naprawdę jest różnica (w języku, a nie w kategoriach technicznych) między dyskiem a głośnością? Ciągle używam ich zamiennie, chociaż wiem lepiej.
jpaugh
6

  • Nie wszystko na twoim dysku jest szyfrowane, ale twoje dane są.

    Część, która nie jest zaszyfrowana, to Twój /bootobszar, ponieważ jest używana podczas uruchamiania. Niektóre interesujące konsekwencje, które z tego wynikają, można znaleźć tutaj .

  • Możesz sprawdzić siłę szyfrowania konkretnej instalacji, uruchamiając 

    ls /dev/mapper/ |grep crypt

    Dane wyjściowe to YOUR_CRYPT

    cryptsetup status YOUR_CRYPT

    Przykład: 

    ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards

    Twój stopień szyfrowania będzie się różnił w zależności od tego, kiedy zainstalowałeś na Ubuntu i jakiej wersji używasz, ale nawet starsza konfiguracja będzie dość silna i prawdopodobnie wytrzyma przypadkowe złamanie. Dobra dyskusja na temat szyfrowania blokowego na poziomie Ubuntu: Jak bezpieczne jest domyślne szyfrowanie pełnego dysku Ubuntu?

  • Uruchomienie zaszyfrowanego dysku na innym sprzęcie nie będzie problemem. Jeśli wykonasz kopię bit-za-bit swojego zaszyfrowanego dysku, nadal możesz uruchomić go normalnie i zalogować się przy użyciu swojego hasła. Operację kopiowania należy wykonać w trybie „offline” (gdy dysk jest odmontowany, po wyłączeniu). Przechwytywanie danych on-line raczej nie zadziała, ale nie jestem w 100% pewien.

  • Szyfrowanie „folderu domowego” opiera się na pomyśle „homefolder-in-a-file”. Gdyby system nie był zaszyfrowany, a system plików zostałby zamontowany, zaszyfrowany katalog domowy byłby pojedynczym dużym plikiem, zaszyfrowanym przy użyciu cryptsetup. Zaszyfrowanie folderu domowego w zaszyfrowanym systemie zwiększyłoby trudność w uzyskaniu plików osobistych. Może jednak wystąpić kompromis w zakresie wydajności. Więcej na temat zaszyfrowanego domu.

sergtech
źródło
2

Krótkie proste odpowiedzi:

  1. Czy wszystko na dysku jest zaszyfrowane (w tym moje dane)? :

    • Tak, wszystko jest szyfrowane

  2. Jak silne jest to szyfrowanie? :

    • Wyjdź tak silny, jak najsłabszy link do ciebie .

  3. Ponadto, czy szyfrowanie uniemożliwia mi (a) zainstalowanie dysku SSD z zaszyfrowanym systemem plików na innym urządzeniu lub (b) wykonanie pełnej kopii zapasowej dysku (na przykład przy użyciu wersji Ubuntu na żywo) i w pewnym momencie przywracasz tę kopię zapasową? :

    • Musisz spróbować przekonać samego siebie. Zapomnij hasła, a dane zniknęły, jeśli znasz kogoś, kto potrafił je złamać po takiej sytuacji, daj mi znać.

  4. Ponadto, jeśli cały system plików jest zaszyfrowany, czy jest jakąś wartość w szyfrowaniu mojego folderu domowego w Ubuntu? :

    • Strata czasu, nie ma takiej potrzeby. Ale jeśli musisz OK!

Więcej informacji:

Z udostępnionego linku cytuję link, który podążyłem:

Morał tej opowieści? Jeśli masz w telefonie zamontowaną partycję LUKS, bardzo łatwo jest uzyskać główny klucz szyfrowania. cryptsetup usuwa klucz z pamięci RAM podczas operacji luksClose, więc zalecam, aby montować dysk LUKS tylko wtedy, gdy go używasz, a następnie odmontować i luksClose go po zakończeniu . W przeciwnym razie staje się ogromną dziurą bezpieczeństwa. Prawie tak, jakby Twój dysk nie był zaszyfrowany.

Prawdopodobnie należy tu wspomnieć, że LUKS na Androida nie jest jedynym systemem podatnym na tego rodzaju ataki. Praktycznie wszystkie systemy szyfrowania dysku przechowują klucz szyfrowania w pamięci RAM. Grupa CITC w Princeton zidentyfikowała ten fakt dawno temu. Chodzi mi o to, że taki atak jest bardzo łatwy do wykonania!

Zwróć uwagę na pogrubioną część, aby uzyskać więcej informacji . Tak jak powiedziałem Jeśli jesteś słaby lub nieostrożny w sposobie radzenia sobie ze swoimi rzeczami, spodziewaj się kłopotów. Dał radę zawsze odmontowuj lub zamykaj, kiedy jej nie używasz.

George Udosen
źródło
Nie jestem pewien, kiedy „po użyciu” będzie używane do szyfrowania całego dysku lub folderu domowego. Czy chodzi o to, że „kiedy jest otwarty, jest otwarty”? Jeśli tak, to oczywiście. Myślę, że staramy się zabezpieczyć przed kradzieżą, która zwykle wiąże się z przerwą zasilania. Nie jestem pewien, co dzieje się z laptopem w takim przypadku ...
Greg Bell