Ratschläge zu Ansätzen zur Festplattenverschlüsselung in Ubuntu?

3124
Yang

Ich überlege mir, den Inhalt meines Laptops zu verschlüsseln, der Ubuntu 10.04 ausführt und einen ext4 + -swap hat, und ich frage mich, was die besten Optionen hier sind. Ich bin mir bewusst über:

  • TrueCrypt: Entweder Blockverschlüsselung oder virtuelles Gerät in einer Datei
  • ecryptfs: Verschlüsselung auf FS-Ebene
  • dm-crypt: Verschlüsselung auf Blockebene
  • Loop-AES: Verschlüsselung auf Blockebene
  • verschlüsselter LVM: Verschlüsselung auf Blockebene

Ich versuche, einen Eindruck von den besten Optionen zu bekommen (oder von den Kompromissen), wenn ich mindestens / var, / home, / tmp, / etc und swap verschlüsseln möchte (denke, dass das ziemlich viel abdeckt die meisten vertraulichen Daten, vorausgesetzt, ich installiere keine geheimen Anwendungen in / usr oder irgendetwas. Einige Leitfragen:

  • Wie groß ist der Einfluss auf Leistung und Akkulaufzeit? Was ist mit der Leistung bei SSDs?
  • Kann ich es in meinem Fall einrichten, ohne ein neues System einrichten zu müssen - nehmen Sie einfach mein vorhandenes ext4 / swap und verschlüsseln Sie es. (Vorzugsweise ohne Zwischenspeicherung, vor allem aber ohne erneute Installation des Betriebssystems?)
  • Wird eine der oben genannten Empfehlungen empfohlen? (Zumindest vorwärts auf Ubuntu)? Alle, die veraltet sind oder nicht mehr empfohlen werden?

Mir ist klar, dass es bereits Diskussionen zur Festplattenverschlüsselung in Linux gab, die jedoch nur Teilbereiche der oben genannten Optionen und Fragen abdecken. Danke für jede Anleitung.

5
Eine relevante vorherige Frage ist: Wie kann ich ein Verzeichnis am einfachsten verschlüsseln? (auf Ubuntu)] (http://superuser.com/questions/182099/what-is-the-easiest-way-to-encrypt-a-dir-on-ubuntu). Eine Möglichkeit, die Sie vermisst haben, ist `encfs`. Gilles vor 14 Jahren 0
Beachten Sie, dass durch keine Verschlüsselung Ihre Daten nicht geschützt werden, wenn jemand vorübergehend Zugriff auf Ihren Laptop erhält und Malware darauf installiert - ein Angriff auf "böse Mädchen" (http://www.schneier.com/blog/). Archiv / 2009/10 / evil_maid_attac.html). Gilles vor 14 Jahren 0

2 Antworten auf die Frage

2
nedm

Ich verwende auch verschlüsseltes LVM - der Ubuntu-Server .iso unterstützt dies sehr einfach während der Installation. Ich installiere ihn also von der Server-Distribution und laufe sudo apt-get install ubuntu-desktop(oder sudo apt-get install xubuntu-desktopauf älteren Systemen), sobald der Desktop von dort aus installiert ist.

Ich merke keinen Leistungshit, auch bei älteren Notebook-Laufwerken mit 5400 U / min. Ich habe auch nicht bemerkt, dass sich dies auf die Akkulaufzeit auswirkt - wenn nicht, waren es nicht mehr als ein paar Prozent.

Wenn Sie sich entschieden haben, das gesamte LVM-Volume zu verschlüsseln, würde ich raten, NICHT die Benutzerordner zusätzlich zu verschlüsseln, da das System aufgrund von Experimenten dazu geführt hat, dass das System zuverlässig an 9.04 und 9.10 hängen blieb (nicht an 10.04).

Ein Hinweis, Desktop und Alternative unterstützen dies auch während der Installation. Ich benutze jedoch Lucid und Maverick, daher wird es in älteren Versionen möglicherweise nicht unterstützt. RobotHumans vor 14 Jahren 1
Das ist gut zu wissen - spart beim nächsten Installieren eines neuen Dektop etwas Zeit. nedm vor 14 Jahren 0
Kann verschlüsseltes LVM den Swap verschlüsseln? Gibt es eine Möglichkeit, zu verschlüsseltem LVM zu migrieren, ohne das Betriebssystem neu zu installieren? Yang vor 14 Jahren 0
Ja, wenn Sie die verschlüsselte LVM-Option wählen, wird Ihr Swap ebenfalls verschlüsselt. nedm vor 14 Jahren 0
* Selbst bei älteren Notebook-Laufwerken mit 5400 U / min kann ich keinen Leistungshit bemerken. * Wenn Leistungseinbußen auftreten, ist dies auf einem neueren, schnelleren Laufwerk wahrscheinlicher. Wenn Ihre Festplatte langsam ist, ist dies der größte Engpass. Federico Poloni vor 7 Jahren 0
1
RobotHumans

Verschlüsselter LVM ist mein Favorit. Verschlüsseln Sie den Swap nicht, wenn Sie sich im Ruhezustand befinden, oder setzen Sie die Festplatte aus. Das kann ein Problem sein.

ohne Zwischenlagerung - wenn es einen Weg gibt, traue ich nicht.

Nicht so bemerkenswert bei der Akkulaufzeit für mich, aber mein Laptop arbeitet mit 53 W, es sei denn, ich schalte das Wireless ein und erhalte etwa 6 Stunden Akkulaufzeit, wenn ich den Bildschirm verdunkeln lasse. Video überspringt im Akkubetrieb etwas, aber ansonsten ist alles in Ordnung.

Bei SSDs werden die Zellen ständig aufgeladen / entladen, um die Lebensdauer dieser Dateisysteme zu verbessern. Ich glaube nicht, dass sie den Durchsatz haben, den ich für ein laufendes Betriebssystem benötigen würde, aber was auch immer Sie mögen, denke ich.

Ich habe gesehen, wie sd oder usb verwendet wurde, um eine wirklich lange LUKS-Passphrase für die LVM-Verschlüsselung zu halten.

Der einzige Nachteil von luks ist, dass der Entschlüsselungsschlüssel in RAM gespeichert wird. Wenn Ihr Computer also in Betrieb genommen wird, gibt es Wiederherstellungsmethoden.

Verschlüsselter Swap wird auf jeden Fall unterstützt. Ich habe den Ruhezustand mit dm-crypt swap verwendet. Sie müssen nur das Kennwort eingeben, um aus dem Ruhezustand zurückzukehren. Gilles vor 14 Jahren 1
Ja, verschlüsselter Swap wird unterstützt, ich verwende ihn seit über einem Jahr :-). In der letzten Version von Debian / Ubuntu ist dies eine Option im Installationsprogramm. sleske vor 14 Jahren 1
"Der einzige Nachteil von luks ist, dass der Entschlüsselungsschlüssel in RAM gespeichert ist." Dies ist der Schwachpunkt von * allen * FDE-Lösungen, keine Möglichkeit, dies zu vermeiden. Man spricht von einem "Cold Boot Attack". sleske vor 14 Jahren 0
Eine vollständige Festplattenverschlüsselung durch einen Hardwaredongle hat diesen Mangel nicht RobotHumans vor 14 Jahren 0
Kann die LVM-Verschlüsselung den Swap verschlüsseln? Gibt es eine Möglichkeit, zu verschlüsseltem LVM zu migrieren, ohne das Betriebssystem neu zu installieren? Yang vor 14 Jahren 0
Swap verschlüsselt wird unterstützt, aber ich vertraue dem nicht. In einigen Konfigurationen zum Anhalten der Festplatte sind für mich Daten verloren gegangen ... Migration ohne erneute Installation des Betriebssystems, ohne Zwischenspeicherung, wenn es einen Weg gibt, dem ich nicht traue RobotHumans vor 14 Jahren 0