full disk encrypted my laptop [...] swap partition [...]
É totalmente até você onde você coloca as partições de swap. Algumas configurações típicas:
-
dm-crypt na partição bruta e
/boot
como pequena partição simples, em seguida, na parte superior da 'criptografia' grande como Volume Físico LVM:- > LVM Volume Group (um PV como membro)
crypto
- > Volumes Lógicos LVM:- crypto-rootfs como
/
- crypto-homes como
/home
(opcional) - troca de criptografia como
swap
(opcional) - deixe algum espaço no grupo de volumes para poder usar os recursos do LVM
Não tente configurá-lo ao contrário - a criptografia em cima de LVs individuais não trará nenhuma vantagem, mas apenas causará dores de cabeça.
- crypto-rootfs como
-
dm-crypt na partição não processada como
/
com/boot
separada e% não codificada separadaswap
.- menos flexível, mas mais portátil sem o LVM (por exemplo, FreeOTFE )
- se mais partições criptográficas forem necessárias, isso significa várias vezes desbloqueio na inicialização usando senhas
- swap pode ser configurado para usar uma criptografia de chave aleatória em cada inicialização - desativa a hibernação
-
O acima sem qualquer troca. Pode ser uma boa idéia se você tiver bastante RAM de qualquer maneira.
O instalador 'alternativo' para 12.04 permitirá que você faça isso de maneira semi GUI. Veja, por exemplo: "Como instalar o Ubuntu 11.04 em um sistema de arquivos LVM criptografado" (embora um pouco antigo, ainda relevante para 12.04).
will the thief be able to extract my files from the swap partition?
Não diretamente. Trocar contém páginas de memória nuas. Seria um quebra-cabeça infernal para remontar isso, mas até mesmo as páginas com memória única podem conter muitos dados secretos. Considera-se inseguro ter swap não criptografado. Desde que você coloque a sua opção de swap em um dispositivo de criptografia (não importa o uso de LVM, RAID ou qualquer outro), tudo bem.
I am assuming s/he will not be able to extract anything from the main partition without doing some form of bruteforce code breaking attack?
Não, é bastante seguro, já que esse é o objetivo da boa criptografia! Para saber mais sobre os detalhes técnicos, como a criptografia usada, consulte O que é usado na criptografia de disco completo do 12.10? ( que também cobre 12,04 na minha resposta).
As preocupações de segurança estão em outro lugar. Você precisará de um /boot
não criptografado separado, independentemente de como você o configurou. Ele contém o kernel e o initramfs. Se alguém pode mexer com os scripts de desbloqueio ou até colocar um backdoor no kernel, eles podem roubar seus dados secretos. Conselhos práticos: nunca deixe seu laptop desacompanhado .
Soluções alternativas para isso (configuração avançada!):
- Use um cartão inteligente + leitor em vez de uma senha e carregue-o em seu corpo se o laptop não estiver em uso.
- Coloque a chave
dm-crypt
criptografada em uma unidade flash separada, em vez de no próprio disco. Faça cópias desta chave criptografada caso a sua unidade flash morra e coloque-a em um local seguro onde ninguém possa alcançá-la. - Sempre use um conjunto confiável de kernel e initramfs, por exemplo, usando a mesma unidade flash USB como
/boot
- e sempre leve isso consigo.