วิธีที่ง่ายที่สุดในการเข้ารหัส dir คืออะไร? (บน Ubuntu)

13

วิธีที่ง่ายที่สุดในการเข้ารหัสไดเรกทอรีบนระบบที่ใช้ Ubuntu คืออะไร?

สมมติว่าฉันมีแล็ปท็อปที่ใช้ Ubuntu 10.04 และที่ฉันมีเอกสารบางอย่างที่ควรเก็บไว้อย่างปลอดภัย (ถ้าฉันทำแล็ปท็อปหาย)

สมมติว่าเอกสารทั้งหมดอยู่ใน dir ที่เรียกว่า ~ / work / และไม่มีความลับอะไรอยู่นอก dir นี้ ดังนั้นไม่จำเป็นต้องเข้ารหัส dir บ้านทั้งหมด

จะมีวิธีในการล็อค / ปลดล็อค dir นี้จากบรรทัดคำสั่ง

ดูเหมือนจะมีวิธีต่าง ๆ ในการทำเช่นนี้:

ecryptfs-utils
cryptsetup
truecrypt (แต่ไม่ใช่ OSI อนุมัติโอเพ่นซอร์ส)

แต่วิธีที่ง่ายที่สุดและน่าเชื่อถือที่สุดคืออะไร?

ขอบคุณโจฮาน

ปรับปรุง : คำถามที่เกี่ยวข้อง แต่ไม่เหมือนกันวิธีที่ง่ายที่สุดในการเข้ารหัสไฟล์ทั้งหมดของฉันใน Ubuntu 10.04 คืออะไร?

ubuntu encryption disk-encryption

— โจฮาน
แหล่งที่มา

2

ใครสนใจว่า Truecrypt ไม่ได้รับการรับรองจาก OSI OSI ที่อนุมัติแล้วไม่เท่ากับซอฟต์แวร์ที่ดีกว่า Truecrypt นั้นดีที่สุดและได้ขัดขวาง FBI ในหลาย ๆ กรณี

— TheLQ

3

ซอฟต์แวร์ที่ใช้ไลเซนส์ที่ได้รับการรับรองจาก OSI จะปลอดภัยกว่า

— Johan

1

@TheLQ, @Johan: superuser.com/questions/164162/is-truecrypt-truly-safe

— Hello71

10

มีสามวิธี: ตั้งค่าโวลุ่มที่เข้ารหัสบนพาร์ติชัน ( dm-cryptกำหนดค่าด้วยcryptsetup) ตั้งค่าไฟล์ซึ่งเป็นโวลุ่มที่เข้ารหัส (truecrypt) ตั้งค่าไดเรกทอรีที่แต่ละไฟล์ถูกเข้ารหัสแยกต่างหาก ( ecryptfsหรือencfs)

การตั้งค่าโวลุ่มที่เข้ารหัสให้ความลับเล็กน้อยเนื่องจากเมทาดาทา (ขนาดเวลาการแก้ไข) ของไฟล์ของคุณจะมองไม่เห็น ข้อเสียมีความยืดหยุ่นน้อยกว่า (คุณต้องเลือกขนาดของวอลลุ่มเข้ารหัสล่วงหน้า) ecryptfs คำถามที่พบบ่อยรายการแตกต่างบางอย่างระหว่างคนทั้งสองวิธี

หากคุณเลือกที่จะเข้ารหัสไฟล์โดยไฟล์ฉันรู้สองตัวเลือก: และecryptfs encfsอดีตใช้ไดรเวอร์ในเคอร์เนลในขณะที่หลังใช้ FUSE นี่อาจทำให้ecryptfsได้เปรียบความเร็ว มันให้encfsความยืดหยุ่นได้เปรียบโดยไม่ต้องทำอะไรเหมือนรูท ประโยชน์ที่เป็นไปได้ecryptfsคือเมื่อคุณตั้งค่าเริ่มต้นแล้วคุณสามารถใช้รหัสผ่านเข้าสู่ระบบเป็นรหัสผ่านระบบไฟล์ด้วยpam_ecryptfsโมดูล

สำหรับการใช้งานของฉันเองในสถานการณ์ที่คล้ายกันฉันเลือกencfsเพราะฉันไม่เห็นประโยชน์ด้านความปลอดภัยที่แท้จริงสำหรับโซลูชั่นอื่น ๆ ดังนั้นความง่ายในการใช้งานจึงเป็นปัจจัยกำหนด ประสิทธิภาพไม่เป็นปัญหา เวิร์กโฟลว์นั้นง่ายมาก (การรันครั้งแรกของการencfsสร้างระบบไฟล์):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

ฉันขอแนะนำให้คุณเข้ารหัสพื้นที่สว็อปของคุณและสถานที่ที่อาจมีการเขียนไฟล์ลับชั่วคราวเช่น/tmpและ/var/spool/cups(หากคุณพิมพ์ไฟล์ที่เป็นความลับ) ใช้cryptsetupเพื่อเข้ารหัสพาร์ติชัน swap ของคุณ วิธีที่ง่ายที่สุดในการจัดการกับ/tmpมันคือการเก็บไว้ในหน่วยความจำโดยการติดตั้งเป็นtmpfs(ซึ่งอาจให้ประโยชน์ประสิทธิภาพเล็กน้อยในกรณีใด ๆ )

— Gilles 'หยุดความชั่วร้าย'
แหล่งที่มา

ฉันไม่ได้คิดถึง / tmp แต่ tmpfs แก้ปัญหานี้ได้อย่างดี เพียงแค่ทำการปิดระบบจริง: s

— Johan

1

ขอบคุณสำหรับการสอนencfs! มันยอดเยี่ยมมาก!

— user39559

1

ฉันใช้ TrueCrypt สำหรับสิ่งต่าง ๆ โดยเฉพาะ ได้รับการอนุมัติจาก OSI หรือไม่ฉันพบว่ามันไม่ทำให้ฉันผิดหวังและฉันต้องการการเข้ารหัสหลายครั้ง

— easyegoism
แหล่งที่มา

1

วิธีที่รวดเร็วและง่ายคือการtarและแล้วcompressbcrypt

tar cfj safe-archive.tar.bz2 ไดเรกทอรี / 
bcrypt safe-archive.tar.bz2 
# จะถามรหัสผ่าน 8 ถ่านสองครั้งเพื่อล็อค
# แต่อย่าลืมลบไดเรกทอรีของคุณหลังจากนี้
rm -rf ไดเรกทอรี / 
# และฉันหวังว่าคุณจะไม่ลืมรหัสผ่านหรือข้อมูลของคุณหายไป!

ทำให้safe-archive.tar.bz2.bfe- ซึ่งคุณสามารถเปลี่ยนชื่อถ้าคุณรู้สึกหวาดระแวงเกี่ยวกับมัน

ในการเปิดแพ็คที่เข้ารหัส

bcrypt safe-archive.tar.bz2.bf3 # หรืออะไรก็ตามที่คุณเรียกมัน
tar xfj safe-archive.tar.bz2 
# และไดเรกทอรีของคุณกลับมาแล้ว!

หากคุณพร้อมที่จะยุ่งมากขึ้นฉันแนะนำtruecryptและสร้างวอลลุ่มเข้ารหัส
แต่ฉันไม่คิดว่าจำเป็นสำหรับข้อมูลทั่วไป (เช่นไม่เกี่ยวข้องกับความมั่นคงของชาติ)

^{ป.ล. : โปรดทราบว่าฉันไม่ได้แนะนำbcrypt ที่อ่อนแอหรือไม่สามารถรักษาความปลอดภัยของประเทศในทางใดทางหนึ่ง}

ตอบความคิดเห็นในคำตอบของฉันด้านบน
ฉันพยายามให้คำตอบง่ายๆ - และฉันยอมรับว่าตัวเลือกของฉันไม่แนะนำ Truecrypt เนื่องจากตัวเลือกแรกอาจไม่เหมาะสมสำหรับบางคนที่นี่

คำถามถามหาวิธีง่าย ๆ ในการเข้ารหัสไดเรกทอรี
มาตรการความปลอดภัยของฉันที่นี่ขึ้นอยู่กับสองสิ่ง

คุณต้องการความปลอดภัยอะไรและ
คุณต้องการให้ปลอดภัยจากใคร

ฉันให้คะแนนสิ่งนี้ว่าเป็นระดับของ 'ความหวาดระแวง' ของคุณ

ตอนนี้โดยไม่บอก Truecrypt (หรือวิธีอื่น ๆ ที่คล้ายกัน) เป็น costlier
ทั้งหมดที่ฉันต้องการจะบอกคือลำดับ bcrypt ทำงานใน tmpfs เพียงพอสำหรับการใช้งานประจำวันของคุณวันนี้
(มันจะไม่เป็นเช่นนั้นอาจจะประมาณหนึ่งทศวรรษฉัน เดาสิ แต่ตอนนี้จริง ๆ แล้ว)
และฉันยังสมมติว่าค่าของข้อมูลที่ถูกรักษาความปลอดภัยที่นี่จะไม่ถูกเปรียบเทียบกับความพยายามในการ 'กู้คืน' คลาสของโมนาลิซ่า

คำถามง่ายๆแล้ว - คุณคาดหวังว่าจะมีใครบางคนลองใช้แล็ปท็อปที่ปิดเครื่องแล้วลองกู้คืนข้อมูลจากพื้นที่ RAM เย็น ๆ หรือไม่?
หากคุณทำเช่นนั้นคุณควรพิจารณาฮาร์ดแวร์และซอฟต์แวร์ของคุณใหม่ตั้งแต่แรกตรวจสอบ ISP ที่คุณเชื่อมต่อด้วยใครจะได้ยินเสียงกดปุ่มของคุณเป็นต้น

^{ps: ฉันชอบ Truecrypt และใช้มัน การปฏิบัติตาม OSI หรือขาดมันไม่สำคัญ และฉันไม่ได้จัดเตรียมbcryptและโครงการเสนอที่นี่ในการแข่งขันกับมัน}

— nik
แหล่งที่มา

2

ในขณะที่ฉันให้คำตอบ +1 สำหรับความหวาดระแวงอย่างแท้จริงในหมู่พวกเรา ... ขึ้นอยู่กับมูลค่าของข้อมูลของคุณซึ่งอาจเป็นความคิดที่ไม่ดี ผู้ใช้จะต้องตระหนักว่าวิธีนี้ทำให้ไฟล์ของไดเรกทอรีที่ถูกลบไปอยู่ในดิสก์ที่พวกเขาสามารถกู้คืนได้โดย "คนเลว" เพียงแค่มองไปรอบ ๆ SU สำหรับ "กู้คืนไฟล์ที่ถูกลบในลินุกซ์" เพื่อดูวิธีการที่ปลอดภัยคือ ...

— Hotei

@hotei ใช่Truecryptจะจัดการกับปัญหาดังกล่าว เคล็ดลับอีกอย่างคือการใช้การtmpfsติดตั้งบน RAM สำหรับการทำงานกับไดเรกทอรีที่เข้ารหัส - คัดลอกbfeไปยัง ramdisk ทำงานกับมันที่นั่นเข้ารหัสอีกครั้งและบันทึกการเก็บถาวรที่เข้ารหัสลับกลับไปยังระบบไฟล์

— nik

2

ฉันจะไปอีกขั้นกว่าที่ @hotei ทำและพูดว่ามันไม่ได้มีคุณภาพเท่ากับการเข้ารหัสเพราะมันง่ายต่อการกู้คืนไฟล์ (มีทั้งตลาดที่ทุ่มเทให้กับการกู้คืนไฟล์) การเข้ารหัสจะต้องมีการเข้ารหัส นี่เป็นเพียงความรู้สึกเท็จของการเข้ารหัส

— TheLQ

2

@ นิค: ไม่เพียง แต่วิธีการในคำตอบของคุณไม่ปลอดภัยอย่างที่ hotei ได้อธิบายไว้ แต่ก็มีข้อผิดพลาดเช่นกัน (ถ้าคุณลืมลบไฟล์ที่ถอดรหัสแล้ว) แม้แต่ข้อเสนอการใช้งานของคุณtmpfsก็มีความเสี่ยงมาก: ถ้าคุณลืมเข้ารหัสไฟล์ใหม่และทำให้การดัดแปลงของคุณสูญหาย จะเกิดอะไรขึ้นถ้าคอมพิวเตอร์ขัดข้อง (คุณจะสูญเสียการแก้ไขทั้งหมด) มันซับซ้อนโดยไม่จำเป็น มีวิธีที่แท้จริงหลายวิธีในการแก้ปัญหานี้โดยใช้เครื่องมือที่เหมาะสมเพียงใช้วิธีใดวิธีหนึ่ง

— Gilles 'หยุดชั่วร้าย'

1

@nik มีนิทรรศการที่มหาวิทยาลัยในบริเวณใกล้เคียงซึ่งแสดงให้เห็นว่าแม้หลังจากหนึ่งชั่วโมงของ RAM ถูกปิดคุณยังสามารถสร้างภาพของ Mona Lisa ที่เต็มไปด้วยความทรงจำ เว้นแต่คุณจะรีบูตเครื่องทันทีหลังจากนั้นมันเป็นเรื่องง่ายสุด ๆ ในการกู้คืนข้อมูลจาก RAM Truecrypt, IIRC เข้ารหัส RAM ของมัน

— digitxp

1

หากคุณกำลังเพียงกังวลเกี่ยวกับการสูญเสียแล็ปท็อปของคุณอูบุนตูได้ecryptfsตั้งขึ้นแล้วสำหรับคุณ

เพียงเลือก "ไดเรกทอรีบ้านที่เข้ารหัส" เมื่อคุณสร้างบัญชีผู้ใช้ของคุณและให้รหัสผ่านที่เหมาะสม สิ่งนี้จะป้องกันสิ่งที่อยู่ในโฟลเดอร์ภายในบ้านของคุณ

ใช่มันจะเข้ารหัสมากกว่า~/workแต่มันไร้รอยต่อ

สำหรับการใช้งาน/tmptmpfs

ข้อดี:

คุณไม่จำเป็นต้องทำอะไรอีก Ubuntu ทำทุกอย่างให้คุณ
เพื่อนของคุณอาจใช้คอมพิวเตอร์ของคุณในระหว่างเดินทางพวกเขาจะต้องใช้รหัสผ่านเฉพาะเมื่อพวกเขาต้องการเข้าถึงไฟล์ของคุณ

Con:

มีสถานที่อื่น ๆ ที่คุณสร้างข้อมูลรั่ว - คำตอบของ Gilles นั้นสมบูรณ์ที่สุด (+1 สำหรับเขา)

ดังนั้นหากคุณไม่คิดว่าผู้เชี่ยวชาญด้านนิติเวชบางคนจะพยายามรับข้อมูลจากสิ่งที่คุณพิมพ์ออกมาสิ่งนี้ก็เพียงพอแล้ว

ecryptfsสามารถเข้ารหัสการสลับได้เช่นกัน แต่ฉันขอแนะนำให้คุณเพียงแค่ปิดการใช้งานการสลับเว้นแต่จะเกิดขึ้นกับคุณที่คุณออกจาก RAM ชีวิตดีขึ้นโดยไม่ต้องเปลี่ยน (หรือเพียงแค่เรียกใช้ecryptfs-setup-swapและทำตามคำแนะนำเพื่อเปลี่ยน fstab)

คำเตือน : ไม่ว่าในกรณีใด ๆ เว้นแต่คุณจะได้รับแล็ปท็อปเครื่องนี้มีสิ่งต่างๆมากมายที่เขียนไว้ในฮาร์ดดิสก์ของคุณ ฉันพบสิ่งต่าง ๆ มากมายในของฉันและไม่มีอะไรจะล้างมันออกไป คุณต้องสำรองข้อมูลไปยังไดรฟ์หรือพาร์ติชั่นอื่นเขียนทับระบบไฟล์ปัจจุบันด้วยค่าศูนย์และกู้คืนไฟล์ของคุณ (แน่นอนเพียงคืนค่าไฟล์ที่มีความละเอียดอ่อนหลังจากตั้งค่าการเข้ารหัส)

— user39559
แหล่งที่มา

1

วิธีที่ง่ายที่สุดและเร็วที่สุดในการตั้งค่านี้คือการติดตั้งecryptfs-utilsและcryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

จากนั้นเมื่อเสร็จแล้วให้ดูใน systray ของคุณ คุณจะเห็นไอคอนของสองปุ่ม คลิกที่มันและเลือกโฟลเดอร์ที่เข้ารหัสใหม่ พิมพ์ชื่อและคลิกปุ่มไปข้างหน้า (แปลก ๆ ที่ด้านล่างซ้ายไม่ใช่ขวา) จากนั้นพิมพ์รหัสผ่านที่คุณต้องการยืนยันอีกครั้งและคลิกส่งต่ออีกครั้งแล้วคลิกตกลง

นี่จะเป็นการเมานต์โฟลเดอร์ที่เข้ารหัสและคุณสามารถคัดลอกไฟล์ลงไปได้ เมื่อเสร็จแล้วหากคุณออกจากระบบหรือยกเลิกการเลือกโฟลเดอร์ที่ติดตั้ง (คลิกที่ไอคอน Keys ใน systray เพื่อทำเช่นนั้น) มันจะต้องใช้รหัสผ่านอีกครั้งก่อนที่คุณจะทำการติดตั้งใหม่

— Volomike
แหล่งที่มา