Quão segura é uma partição criptografada?

12

Ao instalar o Ubuntu 16.04, optei por criptografar o sistema de arquivos, e agora sou solicitado a fornecer uma senha antes que o Ubuntu seja inicializado.

Eu estou querendo saber o quão seguro isso faz o meu conteúdo? Especificamente:

  • Está tudo criptografado na unidade (incluindo meus dados)?

  • Quão strong é essa criptografia? (Eu sei, é uma questão de tempo e recursos e qual senha eu escolhi, mas quero dizer, em um sentido prático ... qualquer um poderia arrasar pela minha porta da frente, mas o ladrão médio não tem os recursos ou a inclinação para casa). Por exemplo, se eu enviar meu laptop para reparos, ou se meu laptop for perdido ou roubado, preciso me preocupar com alguém sem motivo realmente urgente para tentar descriptografar o acesso fácil? (Eu sei que uma pergunta semelhante foi feita aqui , mas isso foi bastante um tempo atrás, então talvez as coisas tenham mudado?)

  • Além disso, a criptografia me impede de (a) instalar o SSD com o sistema de arquivos criptografado em um dispositivo diferente ou (b) fazer um backup completo da unidade (usando uma versão ao vivo do Ubuntu). exemplo) e, em algum momento, restaurando esse backup?

  • Além disso, se todo o sistema de arquivos estiver criptografado, existe algum valor em também criptografar minha pasta pessoal no Ubuntu?

por lithic 27.04.2017 / 09:27

3 respostas

11

Bem, resposta curta: essa resposta de 2011 ainda é válida agora e provavelmente continuará assim por um tempo.

Resposta mais longa (de acordo com os seus marcadores):

  • Se você optar por criptografar o novo sistema via LUKS, todo o sistema será criptografado. Isso inclui seus arquivos de sistema, pasta base (e, portanto, seus dados), bem como a partição de troca. Isso significa que você pode usar o comando suspender para o disco (também conhecido como hibernar) e ainda ter todos os benefícios da criptografia completa do disco. Como apontado nos comentários, o Ubuntu usa suspensão-para-RAM por padrão. Para o Ubuntu usar suspender para o disco, você deve seguir as instruções em help.ubuntu. com que aparentemente só funciona para um número limitado de máquinas.
  • A criptografia AES de 256 bits é provavelmente strong o suficiente para o futuro previsível. Como foi discutido aqui no Cryptography Stack Exchange , o forçamento brutal do AES-256 custaria cerca de 100 trilhões de vezes o PIB mundial - a coisa mais próxima do impossível que você pode imaginar. Mesmo a força bruta forçando a criptografia AES de 128 bits leva cerca de mil vezes o PIB mundial.
  • A chave LUKS não está bloqueada por nada além do cabeçalho LUKS (que é um dos HDD / SSD) e da sua frase secreta (que está na sua cabeça). Isso permite que você (a) o use em qualquer outra máquina, desde que isso também seja possível com um disco do sistema não criptografado, ou seja, para sistemas comuns que funcionem perfeitamente. Quanto a (b), sim, você pode fazer backups completos de disco com dd , mas esteja ciente de que essas imagens não serão compactadas em quantidade significativa. Isso se deve à natureza dos dados criptografados serem indistinguíveis dos dados aleatórios sem a frase secreta.
  • Há apenas benefícios acadêmicos para isso, ou seja, depois de consumir o primeiro trilhão de PIBs mundiais para quebrar a criptografia total de disco, um atacante precisaria de outros trilhões de PIBs mundiais para entrar em sua pasta pessoal criptografada (assumindo diferentes passphrases / chaves). Então, isso realmente fortalece sua criptografia de 256 bits para 257 bits. Em uma nota pessoal, eu até uso o login automático em máquinas de criptografia de disco completo, pois considero a criptografia de disco segura o suficiente para não exigir que a senha seja inserida novamente após a inicialização.
por hoe 27.04.2017 / 09:50
5
  • Nem tudo na sua unidade é criptografado, mas seus dados são.

    A parte que não está criptografada é sua área /boot , como é usada durante a inicialização. Algumas conseqüências interessantes que fluem disso podem ser encontradas aqui .

  • Você pode descobrir a força do cypher de sua instalação específica executando

    ls /dev/mapper/ |grep crypt
    

    A saída será YOUR_CRYPT

    cryptsetup status YOUR_CRYPT
    

    Exemplo:

    ls /dev/mapper/ |grep crypt
    nvme0n1p4_crypt
    sudo cryptsetup status nvme0n1p4_crypt
    
    /dev/mapper/nvme0n1p4_crypt is active and is in use.   
    type:    LUKS1    
    cipher:  aes-xts-plain64   
    keysize: 512 bits   
    device:  /dev/nvme0n1p4     
    offset:  4096 sectors   
    size:    499410944 sectors   
    mode:   read/write   
    flags:   discards
    

    Sua nota de criptografia irá variar dependendo de quando você instalou no Ubuntu e qual versão você está usando, mas mesmo configurações mais antigas serão bastante strongs, e provavelmente resistirão a rachaduras casuais. Uma boa discussão sobre a criptografia em nível de bloco do Ubuntu: Quão seguro é o Ubuntu? criptografia padrão de disco completo?

  • A inicialização da sua unidade criptografada em hardware diferente não será um problema. Se você fizer uma cópia bit-a-bit da sua unidade criptografada, ainda poderá inicializá-la normalmente e fazer login usando sua senha. A operação de cópia deve ser feita enquanto "offline" (com a unidade desmontada, após um desligamento). É improvável que uma coleta de dados on-line funcione, mas não tenho 100% de certeza.

  • A criptografia "Home Folder" é baseada na idéia de "homefolder-in-a-file". Se o sistema não fosse criptografado e o sistema de arquivos fosse montado, o diretório inicial criptografado seria um único arquivo grande, criptografado usando cryptsetup. Assim, criptografar sua pasta pessoal dentro de um sistema criptografado aumentaria a dificuldade de obter seus arquivos pessoais. Pode haver um trade-off de desempenho no entanto. Mais em home criptografado.

por sergtech 27.04.2017 / 10:12
1

Respostas simples e curtas:

  1. Está tudo criptografado na unidade (incluindo meus dados)? :

    • Sim, tudo é criptografado
  2. Quão strong é essa criptografia? :

    • Saia strong e strong como o link mais fraco você .
  3. Além disso, a criptografia me impede de (a) instalar o SSD com o sistema de arquivos criptografado em um dispositivo diferente ou (b) fazer um backup completo da unidade (usando uma versão ao vivo do Ubuntu, por exemplo). exemplo) e em algum momento restaurando esse backup? :

    • Você tem que tentar convencer a si mesmo. Esqueça a senha e todos os seus dados desapareceram, se você souber de alguém que conseguiu decifrá-la depois de tal situação, por favor me avise.
  4. Além disso, se todo o sistema de arquivos estiver criptografado, existe algum valor em também criptografar minha pasta pessoal no Ubuntu? :

    • Desperdício de tempo, não é necessário. Mas se você precisa OK!

Mais informações:

A partir desse link que você compartilhou, cito um link que eu segui:

  

A moral desta história? Se você tiver uma partição LUKS montada em seu telefone, é muito fácil para alguém obter a chave mestra de criptografia. O cryptsetup exclui a chave do ram durante uma operação luksClose, , portanto, minha recomendação é apenas montar sua unidade LUKS quando você a estiver usando e, em seguida, desmontar e luksFechar quando estiver pronto . Caso contrário, torna-se um enorme buraco de segurança. Quase como se a sua unidade não estivesse criptografada em primeiro lugar.

     

É provavelmente apropriado mencionar aqui que o LUKS no Android não é o único sistema suscetível a esse tipo de ataque. Praticamente todos os sistemas de criptografia de disco armazenam a chave de criptografia no RAM. O grupo Princeton CITP identificou esse fato há muito tempo. Meu ponto aqui é apenas que um ataque como esse é muito fácil de fazer!

Observe a seção em negrito as mais informações . Como eu disse Se você é fraco ou descuidado na maneira como lida com suas coisas, então espera problemas. Ele deu conselhos sempre desmontar ou fechar quando você não usá-lo.

    
por George Udosen 27.04.2017 / 09:42