Pergunta de acompanhamento: quais são as vantagens e desvantagens do disco inteiro vs. apenas / home?
A criptografia em / home é feita usando um sistema de arquivos do espaço do usuário chamado ecryptfs . É muito bem feito e strongmente integrado ao sistema de autenticação padrão, para que você tenha zero desvantagens de usabilidade: quando você insere sua conta (a partir de um shell remoto ou da tela de login padrão), sua senha é usada para desembrulhar uma chave segura , que é então usado para criptografar / descriptografar seus arquivos em seu diretório home rapidamente (O sistema de arquivos montado residirá diretamente em / home / username).
Quando você efetua logout / home / username é desmontado e somente os arquivos criptografados permanecem visíveis no sistema (geralmente em /home/.ecryptfs/username/.Private/). Eles se parecem com um monte de arquivos aleatórios / scrabbled desde nomes de arquivos são criptografados também. O único vazamento de informações é: tamanho do arquivo, registro de data e hora e número de arquivos (com a criptografia completa de disco, estes também estão ocultos).
Se o seu sistema deve ser compartilhado entre vários usuários, esse é um recurso muito interessante, mesmo que você decida adicionar criptografia total de disco junto com isso: a segurança da criptografia de disco total está desativada quando a máquina está em funcionamento enquanto a criptografia home (ecryptfs) está ativada, desde que você esteja desconectado.
Portanto, a criptografia completa de disco e a criptografia doméstica não são necessariamente exclusivas.
Aqui está uma lista de possíveis configurações, dependendo das diferentes necessidades de segurança:
-
SOMENTE ENCRIPTAÇÃO DE DISCO TOTAL: Se você é o único que usa seu computador e sua máquina pode
lidar com a sobrecarga da criptografia total de disco (todos os desktops modernos
fazer isso sem que o usuário perceba, netbooks e laptops antigos não
tanto) você pode usar criptografia de disco completo e colocar em casa no mesmo
partição como seu sistema operacional (/).
-
ENCRIPTAÇÃO DE DISCO TOTAL E INICIAÇÃO DE ECRYPTFS INICIAL : Se você estiver preocupado com a leitura de dados privados enquanto seu computador estiver
em ou você compartilha seu computador com outros usuários, então você poderia ter casa em um
partição diferente de / e usa ecryptfs ao longo da criptografia de disco completo (isto é, criptografia de / através de LUKS)
-
CASA ENCRIPTAÇÃO DE ECRYPTFS SOMENTE : Se você não está muito preocupado com alguém mexendo em seu sistema enquanto estiver fora, mas ainda assim quiser manter seus dados privados seguros, pule a criptografia completa do disco e use ecryptfs ( criptografia de casa). Um bônus adicional desse cenário é que é muito fácil configurar mesmo após você ' Eu instalei o Ubuntu, usando apenas o ecryptfs-migrate-home.
Além disso, esta tem sido a configuração padrão do Ubuntu antes de alterar alguns lançamentos, adicionando a possibilidade de criptografia completa do disco. Como a maioria dos desktops modernos pode manipular a criptografia de disco completo sem suar e adiciona uma fina camada de segurança contra a injeção de código off-line, a criptografia de disco completo foi adicionada ao instalador. Observe que, para a maioria dos usuários, apenas criptografar sua casa com o ecryptfs será suficiente para suas necessidades: manter seus amigos e ladrões de laptops comuns fora de seus dados privados. Além disso, se você foi singularmente visado por uma organização com os meios corretos, ter criptografia de disco completa ou apenas criptografia doméstica não fará muita diferença a menos que você também tenha estabelecido muitos outros comportamentos paranoicos (como: manter o kernel em um pen-drive separado que está sempre em você, constantemente verificando a violação de hardware / keyloggers e assim por diante)
Se eu não habilitei a criptografia de disco durante a instalação, existe alguma maneira de habilitá-lo post facto?
Sim, e será mais fácil se você estiver usando o LVM e tiver espaço suficiente no sistema para copiar todos os arquivos do sistema não criptografados em uma partição LUKS criptografada. Eu não estou indo para os detalhes no momento porque eu não sei se você está usando o LVM e se você preferir não apenas usar ecrypfs por agora e pular o incômodo de criptografia de disco completo até a próxima nova instalação. / p>