Möchten Sie ein benutzerfreundliches Linux-Festplattenverschlüsselungsschema?

2334
thomasrutter

Um persönliche Daten zu schützen, falls ein Laptop gestohlen wird, suche ich nach dem besten Weg, ein Linux-System zu verschlüsseln.

Nachteile der gesamten Festplattenverschlüsselung einschließlich Swap:

  • Die Eingabeaufforderung für das Pre-Boot-Passwort ist ziemlich hässlich und unpoliert und erscheint versteckt zwischen den Boot-Meldungen (kann Splashy das auch so machen?)
  • Sie müssen sich zweimal anmelden (wenn Sie einen GDM-Anmeldebildschirm haben und mehrere Benutzer benötigen).

Nachteile der individuellen Ordnerverschlüsselung mit libpam-mount oder ähnlichem:

  • Nur der Benutzerordner des Benutzers wird verschlüsselt (wobei / etc, / var usw. auch vertrauliche Informationen enthalten können).
  • Die Auslagerungsdatei wird nicht verschlüsselt. Es ist daher wahrscheinlich, dass vertrauliche Daten in das Verzeichnis gelangen
  • Keine Möglichkeit, den Winterschlaf sicher zu sichern.

Ich verwende Debian Linux, wenn es darauf ankommt. Muss nicht lächerlich sicher sein, möchte aber die Gewissheit haben, dass ein Dieb meine Identität, Bankkontodetails, VPN-Anmeldungen usw. nicht stehlen kann, wenn er während des Ruhezustands gestohlen wird.

Wissen Sie, wie Sie eines meiner oben genannten Probleme lösen können?

11

5 Antworten auf die Frage

7
lorenzog

Ihr Problem ist ein allgemeines Problem: Hauptsächlich das schwierige Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Mein Vorschlag ist, eine leicht modifizierte Version eines gemischten Ansatzes zu verwenden:

  • Verwenden Sie plattformübergreifende Software wie TrueCrypt, um ein oder mehrere verschlüsselte Volumes für Ihre persönlichen Daten vorzubereiten, die Sie NICHT täglich verwenden (Bankverbindung, gespeicherte Passwörter, Krankenakten usw.).
  • Der Grund für die Verwendung mehrerer Volumes besteht darin, dass Sie sie auf verschiedenen Medien sichern oder andere Verschlüsselungsschemata verwenden möchten. Beispielsweise möchten Sie möglicherweise Ihre Gesundheitsdaten für andere Personen freigeben und ihnen Ihre Passphrase mitteilen (was auch der Fall sein sollte) anders für den anderen Datenträger)
  • Durch die Verwendung einer "standardmäßigen" plattformübergreifenden Software können Sie Ihre Daten von einem anderen Betriebssystem schnell wiederherstellen, wenn Ihr Laptop gestohlen / beschädigt wurde
  • Die Verschlüsselung ganzer Festplatten ist oft umständlich und schwierig. Obwohl es Angriffe dafür gibt (siehe den bösen Maid-Angriff), stellt sich heraus, dass es nützlich ist, wenn Sie Angst davor haben, was passieren könnte, wenn Personen Zugriff auf das gesamte System haben. Wenn Sie beispielsweise einen Firmen-Laptop verwenden, haben Sie keine Administratorzugriff und es gibt VPN-Schlüssel, die nicht gestohlen werden sollten
  • Cache-Passwörter für Mail / Web / Apps sind ein weiteres Problem: Vielleicht möchten Sie nur Ihr Home-Verzeichnis verschlüsseln? Um die Leistung und Sicherheit / Benutzerfreundlichkeit zu optimieren, können Sie:
    • Alle Home-Verzeichnisse verschlüsseln
    • Softlink zu einem nicht verschlüsselten Verzeichnis in Ihrem Dateisystem für Daten, die Sie nicht verlieren möchten (Musik, Video usw.)

Vergessen Sie auch nicht, dass sich alles auf den Wert des Verlustes konzentriert, verglichen mit dem Wert Ihrer Zeit und den Kosten der Genesung.

Ihr Rat ist alles gut, obwohl ich persönlich lieber mit dm-crypt / luks als mit Truecrypt gehen würde, nur weil es von meiner Distribution unterstützt wird. Wenn Sie interessiert sind, ist es möglich, ein solches Volume von Windows oder einer anderen Bootdiskette zu entschlüsseln und bereitzustellen. thomasrutter vor 14 Jahren 0
Sichert TrueCrypt verschlüsselte Volumes im Ruhezustand? Craig McQueen vor 14 Jahren 0
@thomasrutter: Ich verstehe. Als Mac-Benutzer habe ich mich zu einer Zeit mit einer breiteren Palette unterstützter Betriebssysteme entschieden. lorenzog vor 14 Jahren 0
Ich habe die Prämie für Ihre Antwort vergeben, da sie zwar nicht alle meine Probleme löst, sie jedoch hilfreich ist und einige gute Hinweise enthält. Ta! thomasrutter vor 14 Jahren 0
2
chinmaya

Ich verschlüssele nicht die gesamte Festplatte, es ist einfach zu viel Administrations- und Verwaltungssache.

Also verwende ich dm-encrypt, um eine logisch verschlüsselte Partition zu erstellen.

Ich habe ein Skript darum geschrieben, das ich täglich verwende. Sehen Sie, ob es Ihnen hilft. Ich nenne das unter .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

1
Maciek Sawicki

Sie können das pend-Laufwerk zum Speichern von Verschlüsselungsschlüsseln verwenden. Für die beste Sicherheit sollte es durch ein Passwort geschützt sein, muss aber nicht.

http://loop-aes.sourceforge.net/loop-AES.README siehe Beispiel 7.

Vielen Dank für den Vorschlag, auch wenn mir der USB-Stick nicht gut geht, verloren geht usw., bevorzuge ich ein anderes Passwort. thomasrutter vor 14 Jahren 0
1
Scott McClenning

Ich bin noch relativ neu in Linux, aber ich dachte, als Sie das System installieren sollten, gab es eine Möglichkeit, die Ganzfestplattenverschlüsselung zu aktivieren. TrueCrypt hat auch ein .deb-Paket.

Ich hatte die Festplattenverschlüsselung noch nicht unter Linux verwendet, daher haben diese Optionen möglicherweise Probleme, wie Sie oben beschrieben haben. Bei der Mehrbenutzeranmeldung kann TrueCrypt möglicherweise so eingestellt werden, dass eine Schlüsseldatei auf einem USB-Laufwerk verwendet wird. Auf diese Weise benötigen Sie lediglich den Laptop und das USB-Laufwerk, um auf die Dateien auf dem Laptop zugreifen zu können.

Ich lerne noch selbst Linux und hoffe, dass dies hilft.

Ja, Debian (und wahrscheinlich auch andere Distributionen) können im Installationsprogramm vollständige Festplattenverschlüsselung vornehmen, und das ist auch gut - leidet jedoch an den Problemen in den ersten Aufzählungspunkten, die ich veröffentlicht habe. Abgesehen davon ist diese Option (dh Luks-Volume mit logischen Volumes) wahrscheinlich die beste Option, die ich bisher kenne. thomasrutter vor 14 Jahren 0
0
Charles Stewart

Worüber machst du dir Sorgen? Welche Angriffsvektoren? Bevor Sie sich ernsthaft mit Sicherheit auseinandersetzen können, müssen Sie Antworten auf diese beiden Fragen haben.

"Persönliche Informationen" deutet darauf hin, dass Sie sich Sorgen über Dinge wie Identitätsdiebstahl, zufällige Snoopers usw. machen. So etwas wie Schlüsselbund-Software reicht aus, um die Anmeldedaten der Bank zu schützen, ist jedoch für große Informationsmengen nicht praktikabel.

Wenn Sie über viele Daten verfügen, die Sie schützen möchten, Informationen, auf die Sie keinen schnellen Zugriff benötigen und für die Sie bereit sind, ein kleines wiederkehrendes kostenloses Geld zu zahlen, dann ist Amazons S4 eine gute Option und beseitigt die körperlichen Sorgen Zugriff, so dass die Sicherheit auf das Schlüsselmanagement reduziert wird, das wiederum durch die Schlüsselbund-Software ausreichend gelöst wird. Amazon sieht nicht den Inhalt dessen, was Sie auf diese Weise speichern, sondern nur das verschlüsselte Ergebnis. Das bedeutet natürlich, dass Amazon Ihnen nicht helfen kann, wenn Sie die Schlüssel verwirren und verlieren.

Im dritten Fall, in dem Sie einen relativ schnellen Zugriff auf eine große Datenmenge wünschen, empfehle ich, nicht die gesamte Festplattenverschlüsselung zu verwenden, sondern die gesamte Partitionsverschlüsselung gemäß Chinmayas Vorschlag. Die Verschlüsselung per Verzeichnis ist ein Ärgernis, und ich empfehle es nicht: Lassen Sie das Ablagesystem die Arbeit erledigen.

Angriffsvektor: Dieb stiehlt mein Notebook, wenn es ausgeschaltet ist oder sich im Ruhezustand befindet. Dieb möchte Informationen über mich, Fotos von mir oder meine Passwörter auf verschiedenen Websites, die Websites, die ich besuche oder Mitglied bei oder eine Bank bin, herausfinden usw. thomasrutter vor 14 Jahren 0

Verwandte Probleme