พาร์ติชั่นที่เข้ารหัสปลอดภัยแค่ไหน?

16

เมื่อติดตั้ง Ubuntu 16.04 ฉันเลือกที่จะเข้ารหัสระบบไฟล์และตอนนี้ฉันขอรหัสผ่านก่อนที่ Ubuntu จะบูต

ฉันสงสัยว่าเนื้อหาของฉันปลอดภัยเพียงใด โดยเฉพาะ:

ทุกอย่างในไดรฟ์เข้ารหัส (รวมถึงข้อมูลของฉัน) หรือไม่
การเข้ารหัสนี้แข็งแกร่งเพียงใด (ฉันรู้ว่ามันเป็นคำถามของเวลาและทรัพยากรและรหัสผ่านที่ฉันเลือก แต่ฉันหมายถึงในทางปฏิบัติ ... ทุกคนสามารถบุกผ่านประตูหน้าของฉันได้ แต่ขโมยโดยเฉลี่ยไม่มีทรัพยากรหรือความชอบที่จะกลัว บ้าน). ตัวอย่างเช่นถ้าฉันส่งแล็ปท็อปของฉันเพื่อซ่อมแซมหรือหากแล็ปท็อปของฉันสูญหายหรือถูกขโมยฉันต้องกังวลกับคนที่ไม่มีเหตุผลเร่งด่วนจริงๆเพื่อลองและถอดรหัสเพื่อให้เข้าถึงได้ง่ายหรือไม่? (ฉันรู้ว่าคำถามที่คล้ายกันถูกถามที่นี่แต่เมื่อไม่นานมานี้ดังนั้นสิ่งต่าง ๆ อาจมีการเปลี่ยนแปลง?)
การเข้ารหัสยังป้องกันไม่ให้ฉัน (a) ติดตั้ง SSD ด้วยระบบไฟล์ที่เข้ารหัสลงในอุปกรณ์อื่นหรือ (b) ทำการสำรองข้อมูลทั้งหมดของไดรฟ์ (โดยใช้ Ubuntu เวอร์ชันสดเป็นต้น) และในบางจุด คืนค่าการสำรองข้อมูลนั้นหรือไม่
นอกจากนี้หากระบบไฟล์ทั้งหมดถูกเข้ารหัสมีค่าใดในการเข้ารหัสโฟลเดอร์บ้านของฉันใน Ubuntu หรือไม่

16.04 partitioning encryption

แค่อัปเดตในโพสต์ต้นฉบับของฉันเนื่องจากประสบการณ์ทำให้ฉันได้รับคำตอบในสองประเด็นสุดท้าย ไม่การเข้ารหัสไม่ได้ป้องกันไม่ให้ฉันนำฮาร์ดไดรฟ์ทั้งหมดออกจากระบบของฉันแล้วทำการเข้ารหัสในเครื่องอื่น ๆ ของ linux แม้ว่ามันจะเป็นกระบวนการที่น่าเบื่อ และใช่มีค่าในการเข้ารหัสโฟลเดอร์หลักของผู้ใช้หากผู้ใช้รายอื่นมีบัญชีในระบบนั้นเนื่องจากพวกเขาจะสามารถเข้าถึงที่บ้านได้ตามค่าเริ่มต้น (ดูตัวอย่างเช่นtechrepublic.com/article/ … )

— lithic

18

หากคุณเลือกที่จะเข้ารหัสระบบใหม่ผ่าน LUKS ระบบทั้งหมดจะถูกเข้ารหัส ซึ่งรวมถึงไฟล์ระบบโฟลเดอร์บ้าน (และข้อมูลของคุณ) รวมถึงพาร์ทิชันสลับ ซึ่งหมายความว่าคุณสามารถใช้ suspend-to-disk (aka hibernate) และยังคงมีประโยชน์ทั้งหมดของการเข้ารหัสดิสก์เต็มรูปแบบ ตามที่ระบุไว้ในความคิดเห็น Ubuntu ใช้ suspend-to-RAM เป็นค่าเริ่มต้น เพื่อให้ Ubuntu ใช้ suspend-to-disk แทนคุณต้องทำตามคำแนะนำบน help.ubuntu.comซึ่งเห็นได้ชัดว่าใช้ได้กับเครื่องที่มีจำนวน จำกัด เท่านั้น
การเข้ารหัส AES 256 บิตมีแนวโน้มแข็งแกร่งพอสำหรับอนาคตอันใกล้ ดังที่ได้กล่าวไว้ที่นี่ใน Cryptography Stack Exchange การบังคับให้ AES-256 เดียรัจฉานคิดเป็นมูลค่าประมาณ 100 ล้านล้านเท่าของ GDP ของโลกซึ่งเป็นสิ่งที่ใกล้เคียงที่สุดที่เป็นไปไม่ได้ที่คุณจะจินตนาการได้ แม้แต่การบังคับใช้การเข้ารหัส AES แบบ 128 บิตก็ใช้เวลาประมาณหนึ่งพันเท่าของ GDP ของโลก
กุญแจ LUKS ไม่ได้ล็อคอะไรเลยยกเว้นส่วนหัว LUKS (ซึ่งเป็นหนึ่งใน HDD / SSD) และข้อความรหัสผ่านของคุณ (ซึ่งอยู่ในหัวของคุณ) สิ่งนี้จะช่วยให้คุณ (ก) ใช้มันในเครื่องอื่น ๆ ได้ตราบใดที่ยังเป็นไปได้ด้วยดิสก์ระบบที่ไม่ได้เข้ารหัสเช่นสำหรับระบบทั่วไปควรทำงานได้อย่างไร้ที่ติ สำหรับ (b) ใช่คุณสามารถสำรองข้อมูลดิสก์ทั้งหมดด้วยddแต่โปรดทราบว่ารูปภาพเหล่านี้จะไม่บีบอัดให้มีจำนวนมากพอสมควร นี่เป็นเพราะลักษณะของข้อมูลที่เข้ารหัสนั้นแยกไม่ออกจากข้อมูลที่สุ่มโดยไม่มีข้อความรหัสผ่าน
มีประโยชน์ทางวิชาการเพียงอย่างเดียวคือหลังจากการใช้จีดีพีโลกล้านล้านแรกในการทำลายการเข้ารหัสดิสก์เต็มรูปแบบผู้โจมตีจะต้องจีดีพีโลกล้านล้านอีกโลกเพื่อเข้าสู่โฟลเดอร์ที่เข้ารหัสของคุณ (สมมติว่ารหัสผ่าน / คีย์แตกต่างกัน) ดังนั้นมันจึงทำให้การเข้ารหัสของคุณแข็งแกร่งจาก 256 บิตถึง 257 บิตความยาวคีย์ ในบันทึกส่วนตัวฉันยังใช้การเข้าสู่ระบบอัตโนมัติในเครื่องเข้ารหัสดิสก์เต็มรูปแบบเพราะฉันถือว่าการเข้ารหัสดิสก์ปลอดภัยพอที่จะไม่ต้องป้อนรหัสผ่านอีกครั้งหลังจากการบูท

— จอบ
แหล่งที่มา

1

เป็นที่น่าสังเกตว่าโดยปกติแล้ว Ubuntu จะใช้ suspend-to-ram และไม่ใช่ suspend-to-disk - ซึ่งก่อนหน้านี้ได้เอาชนะวัตถุของการเข้ารหัสดิสก์เต็มรูปแบบอย่างสมบูรณ์ ระงับไปยังดิสก์เช่นจำศีล, จะต้องมีการเปิดใช้งานเฉพาะตามhelp.ubuntu.com/14.04/ubuntu-help/power-hibernate.html

— แอนดรูมาร์แชลล์

1

นี่เป็นคำตอบที่ดี AFAIK แต่ฉันมีการแก้ไขเพียงเล็กน้อย: ในการบู๊ตต้องมีบางสิ่งในดิสก์ที่ไม่ได้เข้ารหัส สำหรับการติดตั้ง Ubuntu นี่เป็นบูตโหลดเดอร์ (เป็นค่าเริ่มต้น) และพาร์ติชั่นที่ไม่ได้เข้ารหัสจะเก็บเคอร์เนลไฟล์เริ่มต้นที่ตรงกันการกำหนดค่าและการสนับสนุนของไฟล์ GRUB และอัตราต่อรองและอื่น ๆ ไฟล์เหล่านี้ไม่อ่อนไหว (เป็นส่วนหนึ่งของอูบุนตูทั้งหมดยกเว้นไฟล์กำหนดค่า) ดังนั้นจึงไม่ใช่ปัญหาหลัก แต่พวกเขาจะระบุคอมพิวเตอร์ว่าใช้งาน Ubuntu /boot

— Rod Smith

@RodSmith จริง แต่มีความแตกต่าง (ในภาษาไม่ใช่ทางเทคนิค) ระหว่างไดรฟ์และไดรฟ์ใช่ไหม ฉันใช้มันอย่างต่อเนื่องแทนกันแม้ว่าฉันจะรู้ดีกว่า

— jpaugh

6

ไม่ใช่ทุกอย่างในไดรฟ์ของคุณที่ถูกเข้ารหัส แต่ข้อมูลของคุณคือ

ส่วนที่ไม่ได้เข้ารหัสนั้นเป็น/bootพื้นที่ของคุณเนื่องจากถูกใช้ในระหว่างการเริ่มต้น บางผลกระทบที่น่าสนใจที่ไหลจากที่สามารถพบได้ที่นี่
คุณสามารถค้นหาจุดแข็งของการติดตั้งที่เฉพาะเจาะจงของคุณได้โดยการเรียกใช้
```
ls /dev/mapper/ |grep crypt
```
ผลลัพธ์จะเป็น YOUR_CRYPT
```
cryptsetup status YOUR_CRYPT
```
ตัวอย่าง:
```
ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards
```
ระดับการเข้ารหัสของคุณจะแตกต่างกันไปตามเมื่อคุณติดตั้งบน Ubuntu และเวอร์ชันที่คุณใช้ แต่การตั้งค่าที่เก่ากว่านั้นค่อนข้างแข็งแกร่งและมีแนวโน้มที่จะทนต่อการถอดรหัสได้ การอภิปรายที่ดีเกี่ยวกับการเข้ารหัสระดับบล็อกของ Ubuntu: การเข้ารหัสดิสก์เต็มรูปแบบเริ่มต้นของ Ubuntu มีความปลอดภัยเพียงใด
การบูตไดรฟ์ที่เข้ารหัสของคุณบนฮาร์ดแวร์ที่แตกต่างกันจะไม่มีปัญหา หากคุณทำสำเนาไดรฟ์ที่เข้ารหัสของคุณแบบบิตต่อบิตคุณยังสามารถบู๊ตได้ตามปกติและเข้าสู่ระบบโดยใช้รหัสผ่านของคุณ การดำเนินการคัดลอกควรทำในขณะที่ "ออฟไลน์" (โดยไม่ได้ต่อเชื่อมไดรฟ์หลังจากปิดระบบ) คว้าข้อมูลออนไลน์ไม่น่าจะทำงาน แต่ฉันไม่แน่ใจ 100%
การเข้ารหัส "โฮมโฟลเดอร์" ขึ้นอยู่กับแนวคิด "homefolder-in-a-file" หากระบบไม่ได้เข้ารหัสและระบบไฟล์จะถูกเมาท์ไดเรกทอรีบ้านที่เข้ารหัสจะเป็นไฟล์ขนาดใหญ่ไฟล์เดียวซึ่งเข้ารหัสโดยใช้ cryptsetup เช่นการเข้ารหัสโฟลเดอร์บ้านของคุณภายในระบบเข้ารหัสจะเพิ่มความยากลำบากในการรับไฟล์ส่วนบุคคลของคุณ อาจมีการปิดการซื้อขายอย่างไรก็ตาม เพิ่มเติมเกี่ยวกับการเข้ารหัสหน้าแรก

— sergtech
แหล่งที่มา

2

คำตอบสั้น ๆ ง่ายๆ:

ทุกอย่างในไดรฟ์เข้ารหัส (รวมถึงข้อมูลของฉัน) หรือไม่ :
- ใช่ทั้งหมดถูกเข้ารหัส
การเข้ารหัสนี้แข็งแกร่งเพียงใด :
- ออกจากที่แข็งแกร่งเป็นที่แข็งแกร่งเป็นจุดอ่อนคุณ
การเข้ารหัสยังป้องกันไม่ให้ฉัน (a) ติดตั้ง SSD ด้วยระบบไฟล์ที่เข้ารหัสลงในอุปกรณ์อื่นหรือ (b) ทำการสำรองข้อมูลทั้งหมดของไดรฟ์ (โดยใช้ Ubuntu เวอร์ชันสดเป็นต้น) และในบางจุด คืนค่าการสำรองข้อมูลนั้นหรือไม่ :
- คุณต้องลองเพื่อโน้มน้าวตัวเอง ลืมรหัสผ่านและข้อมูลของคุณจะหายไปทั้งหมดถ้าคุณรู้ว่าใครสามารถถอดรหัสได้หลังจากสถานการณ์ดังกล่าวโปรดแจ้งให้เราทราบ
นอกจากนี้หากระบบไฟล์ทั้งหมดถูกเข้ารหัสมีค่าใดในการเข้ารหัสโฟลเดอร์บ้านของฉันใน Ubuntu หรือไม่ :
- เสียเวลาไม่จำเป็นต้อง แต่ถ้าคุณต้องตกลง!

ข้อมูลมากกว่านี้:

จากลิงค์ที่คุณแบ่งปันฉันอ้างอิงลิงค์ที่ฉันติดตาม:

คุณธรรมของเรื่องนี้? หากคุณมีพาร์ติชัน LUKS ที่ติดตั้งอยู่ในโทรศัพท์ของคุณเป็นเรื่องง่ายมากที่ใครบางคนจะได้รับคีย์การเข้ารหัสหลัก cryptsetup จะลบคีย์ออกจาก ram ในระหว่างการดำเนินการ luksClose ดังนั้นคำแนะนำของฉันคือการเมาท์ไดรฟ์ LUKS ของคุณเมื่อคุณใช้งานและจากนั้นก็ยกเลิกการเมานท์และ luks ปิดเมื่อคุณทำเสร็จแล้ว มิฉะนั้นมันจะกลายเป็นช่องโหว่ขนาดใหญ่ เกือบเหมือนไดรฟ์ของคุณไม่ได้เข้ารหัสในตอนแรก

อาจเหมาะสมที่จะพูดถึงที่นี่ว่า LUKS บน Android ไม่ใช่ระบบเดียวที่ไวต่อการโจมตีประเภทนี้ ระบบเข้ารหัสลับดิสก์ทั้งหมดจัดเก็บคีย์การเข้ารหัสในหน่วยความจำ กลุ่ม CITP ของ Princeton ระบุข้อเท็จจริงนี้มานานแล้ว จุดของฉันที่นี่เป็นเพียงการโจมตีแบบนี้ทำง่ายมาก!

หมายเหตุตัวหนาส่วนข้อมูลเพิ่มเติม อย่างที่ฉันพูดถ้าคนอ่อนแอหรือประมาทในแบบที่คุณจัดการกับสิ่งที่คุณคาดหวัง เขาให้คำแนะนำให้เลิกเมานท์หรือปิดเสมอเมื่อคุณไม่ได้ใช้งาน

— George Udosen
แหล่งที่มา

ไม่แน่ใจว่าเมื่อใด "หลังการใช้งาน" สำหรับการเข้ารหัสทั้งดิสก์หรือโฮมโฟลเดอร์ เป็นจุด "เมื่อเปิดมันเปิดอยู่"? ถ้าเป็นเช่นนั้นแน่นอน ฉันคิดว่าเรากำลังพยายามป้องกันการโจรกรรมซึ่งสำหรับเดสก์ท็อปมักจะเกี่ยวข้องกับการหยุดชะงักของพลังงาน ไม่แน่ใจว่าสิ่งที่เกิดขึ้นกับแล็ปท็อปในกรณีที่ว่า ...

— เกร็กเบลล์