Por que a criptografia de disco completo do Ubuntu não requer tempo?

5

Tanto quanto eu entendo, a opção "Criptografar a nova instalação do Ubuntu para segurança" no instalador do Ubuntu serve para fornecer criptografia completa de disco.

No entanto, ao usar essa opção, parece que a criptografia terminaria instantaneamente, literalmente não parece levar tempo algum.

Ao usar o BitLocker no Windows para criptografar todo o disco, pode levar horas para criptografar totalmente o disco, mesmo em SSDs. Com o BitLocker e outras ferramentas de criptografia, como DiskCryptor ou TrueCrypt, por exemplo, há também um indicador de progresso, que mostra quanto do disco já está criptografado.

Por que esse não é o caso da opção "Criptografar a nova instalação do Ubuntu para segurança" no instalador do Ubuntu?

Mesmo no meu SSD de 1 TB, a criptografia parece ser configurada instantaneamente e não há nenhum indicador de progresso.

Como isso é possível?

Alguém no fórum disse:

  

link

     

Os dados não são criptografados até serem gravados

Mas se isso for verdade, então a opção "Criptografar a nova instalação do Ubuntu para segurança" no instalador não é criptografia completa de disco.

Se ele estiver correto, então ele não criptografa o disco inteiro. Apenas criptografa o espaço em disco usado. O espaço vazio não é criptografado então.

Pelo menos com o BitLocker, você tem a opção de escolher entre criptografar somente o espaço em disco usado ou criptografar todo o disco, por exemplo, veja a seguinte captura de tela:

link

No mesmo tópico do fórum, também foi mencionado que:

  

Se você quiser inicializar aleatoriamente as áreas de armazenamento ANTES de escrever qualquer coisa,   isso levará alguns. Parece que me lembro de ser uma caixa de seleção opcional para a instalação.

E, de fato, há um "Para mais segurança: Substitua o espaço em disco vazio (a instalação pode levar muito mais tempo.)" na próxima tela após a tela que tem a opção "Criptografar a nova instalação do Ubuntu para segurança" .

Agora, a pergunta é: se essa opção estiver marcada, ela sobrescreve o espaço em disco vazio? Ou também criptografa?

Eu estava assumindo que ele apenas substitui com zeros antes de criptografá-lo. Eu estava assumindo que o disco inteiro seria criptografado de qualquer maneira usando a opção "Criptografar a nova instalação do Ubuntu para segurança" , independentemente do "Para mais segurança: Substituir espaço em disco vazio (A instalação pode demorar muito mais tempo.) "Opção.

Atenciosamente

    
por nw9165-3201 16.07.2016 / 09:17

1 resposta

4

Ok, antes de responder às suas perguntas, preciso primeiro explicar a diferença entre "Quick format" e "Full format" (para emprestar a terminologia do Windows), e a diferença entre um volume lógico e um volume físico :

Formatação rápida : Grava a estrutura do sistema de arquivos na unidade (sobre os dados existentes).

Formato completo : Apaga a unidade (normalmente escrevendo 0s) antes de gravar a estrutura do sistema de arquivos.

Todos os sistemas de arquivos em uso hoje (ext2, ext3, ext4, btrfs, zfs, xfs) executam um "formato rápido" por padrão. Isso significa que os dados anteriores que residiam no disco, embora não sejam diretamente visíveis por meio do sistema de arquivos, ainda estarão disponíveis se você fosse verificar o disco usando o software de recuperação de dados.

Como exemplo: você tem um disco rígido de 100 GB que costumava armazenar fotos. Você decide formatar este disco rígido e instalar o Ubuntu. Vamos fingir que a instalação do Ubuntu levará ~ 4GB. Depois de instalar o Ubuntu, aproximadamente 4 GB dos 100 GB de dados seriam substituídos pela instalação do Ubuntu. Os 96 GB restantes de dados fotográficos ainda estão fisicamente presentes no disco rígido. Se você usou o software de recuperação de dados, poderá recuperar a maioria dessas fotos, apesar do fato de a unidade ter sido "formatada" durante a instalação do Ubuntu.

Volume lógico : qualquer região de um meio de armazenamento, até e incluindo todo o espaço físico. por exemplo. Se você criar uma partição de 100MB em um disco de 100GB, a partição de 100MB será considerada um volume lógico

Volume físico : Toda a capacidade física do hardware ^. Em nosso exemplo, com um disco rígido de 100 GB, o volume físico é todo o dispositivo (100 GB) sem nenhum volume menor alocado dentro dele.

^ O hardware em si terá capacidade adicional (provisionamento) para lidar com a degradação do meio físico. Esta capacidade adicional é gerida pelo próprio dispositivo e não é visível para o sistema operativo, exceto através do S.M.A.R.T. interface, que você pode acessar instalando smartmontools .

Agora, responda às suas perguntas ...

  

Mas se isso for verdade, a opção "Criptografar a nova instalação do Ubuntu para segurança" no instalador não é criptografia completa de disco.

Esta é uma diferença de definição / perspectiva. Você está interpretando "criptografia de disco completo" como significando que todo o conteúdo do volume físico é criptografado, enquanto o Ubuntu está usando "criptografia de disco completo" para significar o conteúdo do volume lógico onde o Ubuntu está instalado é criptografado.

Portanto, se você instalou o Ubuntu e preencheu o disco rígido completamente com dados, o volume lógico criptografado preencheria todo o volume físico .

No entanto, há casos em que alguém instala o Ubuntu ao lado do Windows em seu disco. Neste caso, a instalação do Windows pode estar descriptografada, mas a instalação do Ubuntu é criptografada.

Nesse cenário, o Ubuntu ainda está fornecendo "criptografia de disco completo" porque todos os dados no volume lógico do Ubuntu são criptografados. O Ubuntu não se importa com os dados em outros volumes lógicos que estão presentes no volume físico.

  

Se ele estiver correto, então ele não criptografa o disco inteiro. Apenas criptografa o espaço em disco usado. O espaço vazio não é criptografado então.

Sim, porque criptografar o espaço vazio tornaria o sistema muito mais lento e não há nenhum benefício de segurança em fazê-lo.

  

Agora, a pergunta é: se essa opção estiver marcada, ela sobrescreve o espaço em disco vazio? Ou também criptografa?

Eu não me verifiquei, mas é provável que seja sobrescrito o espaço em disco não utilizado com dados aleatórios. Certamente não está criptografando o espaço vazio. Dados apropriadamente criptografados são indecifráveis a partir de dados aleatórios, então preencher o disco com dados aleatórios antes de instalar o Ubuntu tornaria impossível dizer quais partes do disco estão "vazias" e quais são criptografadas

  

Eu estava assumindo que ele apenas substitui com zeros antes de criptografá-lo. Eu estava assumindo que o disco inteiro seria criptografado de qualquer maneira usando a opção "Criptografar a nova instalação do Ubuntu para segurança"

Novamente, "criptografia total de disco" neste contexto refere-se à criptografia de todos os dados lógicos no disco, sem criptografar todo o dispositivo físico.

Não há nenhum benefício de segurança para criptografar o espaço vazio. Se você estiver preocupado com o espaço livre não criptografado, selecione "Para obter mais segurança: Sobrescreva o espaço vazio em disco (a instalação pode levar muito mais tempo.) " " durante a instalação para sobrescrever todo o disco físico.

Agora, é possível comprar uma unidade de autocriptografia (SED). Para SSDs, o recurso relevante é chamado de OPAL . Se o seu computador tiver um SED instalado, a criptografia será tratada por um hardware de criptografia especializado no dispositivo. Todos os dados gravados no meio físico (discos magnéticos para um disco rígido ou silício para um SSD) são criptografados pelo dispositivo antes de serem gravados. Isso significa que, se alguém remover os discos ou chips de silício, eles não poderão ler os dados. No entanto, depende de você confiar na implementação de criptografia do SED. Como o firmware do dispositivo é de código fechado e raramente auditado, você está colocando a confiança no fornecedor para implementá-lo corretamente e sem backdoors. Você descriptografa o SED na inicialização, fornecendo uma senha.

    
por hwmartin 05.05.2017 / 11:23