A criptografia de disco completo do Linux é uma experiência perfeita para o usuário? É possível usar o FileVault (macOS) ou o BitLocker (Windows)?

Navegue suas respostas
3

Encontrei algumas soluções de criptografia de disco completo (FDE) para sistemas operacionais Linux. Especificamente, eu olhei para soluções que funcionam no Linux Mint ou Ubuntu, uma vez que é o que eu costumo usar. Mas tenho certeza de que essa questão se aplica também a outras distros.

Estou procurando uma solução de disco completo que funcione perfeitamente para a experiência do usuário, como acontece com o FileVault no macOS.

A experiência do FileVault é a seguinte:

  • O FileVault criptografa todo o disco. Fazer isso é uma operação de um clique no painel de preferências do Security.
  • O FV fornece um ambiente de pré-inicialização que desbloqueia um equivalente do Mac de um Trusted Platform Module (ele pode na verdade ser um TPM, mas não acho que seja), que é o que bloqueia a (s) chave (s) que realmente fez a criptografia de disco
  • Quando você efetua login, você efetua login no ambiente de pré-inicialização. Isso então desbloqueia as chaves do FV. Só então o disco do sistema operacional é desbloqueado.
  • A senha do usuário do SO é sincronizada com a senha do FV; para o usuário final, tudo isso é perfeito (exceto em alguns casos de uso)

No Windows, o BitLocker funciona com o TPM da mesma maneira descrita acima para o FileVault.

No Linux, no entanto, mesmo com as ferramentas do TPM instaladas, cada esquema de criptografia de disco completo que eu encontrei exigiu uma senha de inicialização além do nome de usuário e senha de login.

Por exemplo, este exemplo (muito bem escrito e detalhado) do Linux Mint:

link

Neste exemplo, (que é como um milhão de etapas fáceis de fluir da CLI, btw), o FDE está pronto, mas você pode ver que o usuário deve digitar uma frase secreta de descriptografia no prompt do Grub na inicialização.

Alguém já quebrou essa porcaria no Linux?

Requisitos

  • A experiência do usuário é tal que o usuário insere seu login e senha apenas uma vez
  • Criptografia total do disco (incluindo a partição de inicialização)
  • (É bom ter) A configuração é fácil ou, pelo menos, simples (TM)
por JDS 26.04.2017 / 21:47

2 respostas

1

Você não pode criptografar a partição de inicialização, pois precisa inicializar o ambiente de pré-inicialização a partir dela. Criptografar a partição de inicialização não ajuda em nada.

Muitas instalações padrão do Linux (incluindo o Ubuntu) permitem que você selecione "criptografia completa de disco" na inicialização e não exigem uma senha do GRUB como parte da GUI. Ele faz isso ao carregar o ambiente "pré-boot" de um disco RAM e usando isso e o LUKS para destravar a partição.

Uma vez que seu boot lá é normalmente há um segundo passo para logar como um usuário com senha, no entanto, você pode configura o login automático na GUI . É claro, se você se afastar do computador e deixá-lo, seu sistema estará aberto.

Aparentemente (mas eu não testei isso), o Ubuntu suporta o TPM 2.0 nativamente. (Eu confesso que sendo cético isso é configurado automaticamente, mas eu não tentei)

    
por 26.04.2017 / 23:03
0

Mesmo no Windows, a partição do sistema (nomeada pela Microsoft e não visível para os usuários. Use o gerenciador de disco para vê-la) não é criptografada. Deve haver uma parte não criptografada para carregar os arquivos de inicialização. Para o Linux esta partição é / boot

Existe um projeto do github que trata desse desejo: link

    
por 26.06.2018 / 12:55

Tags

Falha ao atualizar de 16.10 para 17.04, agora o APT gera erros Que diferença eu executo o comando com o sudo mesmo com o usuário root?