Möchten Sie ein einfach zu verwendendes Linux-Festplattenverschlüsselungsschema?

11

Im Interesse des Schutzes persönlicher Daten für den Fall, dass ein Laptop gestohlen wird, suche ich nach dem besten Weg, ein Linux-System zu verschlüsseln.

Nachteile der Verschlüsselung der gesamten Festplatte einschließlich Swap:

  • Die Eingabeaufforderung für das Pre-Boot-Passwort ist hässlich und unpoliert und erscheint versteckt in den Boot-Meldungen (kann so etwas wie Splashy damit umgehen?)
  • Sie müssen sich zweimal anmelden (wenn Sie einen GDM-Anmeldebildschirm haben und mehrere Benutzer benötigen).

Nachteile der Verschlüsselung einzelner Ordner mit libpam-mount oder ähnlichem:

  • Nur der Home-Ordner des Benutzers wird verschlüsselt (während / etc, / var etc möglicherweise auch vertrauliche Informationen enthalten).
  • Die Auslagerungsdatei ist nicht verschlüsselt, sodass wahrscheinlich vertrauliche Daten verloren gehen
  • Keine Möglichkeit zum sicheren Winterschlaf.

Ich benutze Debian Linux, wenn es darauf ankommt. Muss nicht lächerlich sicher sein, möchte aber die Gewissheit haben, dass ein Dieb meine Identität, Bankkontodaten, VPN-Anmeldungen usw. nicht stehlen kann, wenn er im Ruhezustand gestohlen wird.

Kennen Sie Möglichkeiten, um eines meiner oben genannten Probleme zu lösen?

thomasrutter
quelle

Antworten:

7

Ihr Problem ist häufig: vor allem das schwierige Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Mein Vorschlag ist, eine leicht modifizierte Version eines gemischten Ansatzes zu verwenden:

  • Mit plattformübergreifender Software wie TrueCrypt bereiten Sie ein oder mehrere verschlüsselte Volumes für Ihre persönlichen Daten vor, die Sie NICHT täglich verwenden (Bankdaten, gespeicherte Passwörter, Krankenakten usw.).
  • Der Grund für die Verwendung von mehr als einem Volume besteht darin, dass Sie diese möglicherweise auf verschiedenen Medien sichern oder unterschiedliche Verschlüsselungsschemata verwenden möchten. Beispielsweise möchten Sie möglicherweise Ihre Gesundheitsdaten für andere Personen freigeben und ihnen Ihre Passphrase mitteilen (was auch sein sollte) anders als bei anderen Bänden)
  • Die Verwendung einer plattformübergreifenden "Standard" -Software bedeutet, dass Sie Ihre Daten von einem anderen Betriebssystem im laufenden Betrieb wiederherstellen können, wenn Ihr Laptop gestohlen / beschädigt wird
  • Die Verschlüsselung der gesamten Festplatte ist oft umständlich und schwierig. Obwohl es Angriffe dafür gibt (siehe die Evil Maid Attack) , erweist es sich als nützlich, wenn Sie Angst haben, was passieren könnte, wenn Benutzer Zugriff auf das gesamte System haben. Wenn Sie beispielsweise einen Firmen-Laptop verwenden, haben Sie keine Administratorzugriff und es gibt VPN-Schlüssel, die nicht gestohlen werden sollten
  • Zwischengespeicherte Passwörter für Mail / Web / Apps sind ein weiteres Problem: Vielleicht möchten Sie nur Ihr Home-Verzeichnis verschlüsseln? Um die Leistung und Sicherheit / Benutzerfreundlichkeit zu optimieren, können Sie:
    • verschlüsseln alle home dir
    • Softlink zu einem unverschlüsselten Verzeichnis in Ihrem Dateisystem für Daten, die Sie nicht verlieren möchten (Musik, Video usw.)

Vergessen Sie auch hier nicht, dass alles auf den Wert Ihrer Verluste im Vergleich zum Wert Ihrer Zeit und der Kosten für die Wiederherstellung hinausläuft.

Lorenzog
quelle
Ihr Rat ist alles gut, obwohl ich persönlich lieber mit dm-crypt / luks als mit Truecrypt arbeiten würde, nur weil es von meiner Distribution unterstützt wird. Falls Sie interessiert sind, können Sie ein solches Volume jetzt von Windows oder einer anderen Startdiskette entschlüsseln und bereitstellen.
Thomasrutter
Sichert TrueCrypt verschlüsselte Volumes im Ruhezustand?
Craig McQueen
@ Thomasrutter: Ich verstehe. Als Mac-Benutzer zog ich es vor, eine Lösung mit einem breiteren Spektrum unterstützter Betriebssysteme zu wählen.
Lorenzog
Ich habe Ihre Antwort mit dem Kopfgeld ausgezeichnet, da sie zwar nicht alle meine Probleme löst, aber hilfreich ist und einige gute Hinweise enthält. Ta!
Thomasrutter
2

Ich verschlüssele nicht die gesamte Festplatte, es ist einfach zu viel von Admin / Management-Dingen.

Also benutze ich dm-encrypt, um eine logisch verschlüsselte Partition zu erstellen.

Ich habe ein Skript erstellt, das ich täglich verwende, um zu sehen, ob es Ihnen hilft. Ich nenne das unter .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Chinmaya
quelle
1

Sie können das Pend-Laufwerk zum Speichern von Verschlüsselungsschlüsseln verwenden. Für beste Sicherheit sollte es passwortgeschützt sein, muss es aber nicht.

http://loop-aes.sourceforge.net/loop-AES.README siehe Beispiel 7.

Maciek Sawicki
quelle
Vielen Dank für den Vorschlag, obwohl ich mir nicht sicher bin, ob der USB-Stick gestohlen wird, verloren geht usw., bevorzuge ich wahrscheinlich ein anderes Passwort.
Thomasrutter
1

Ich bin noch relativ neu in Linux, aber ich dachte, als Sie das System installierten, gab es eine Möglichkeit, die Verschlüsselung der gesamten Festplatte zu aktivieren. TrueCrypt verfügt außerdem über ein .deb-Paket.

Ich hatte unter Linux noch keine Festplattenverschlüsselung verwendet, daher haben diese Optionen möglicherweise Probleme, wie Sie oben beschrieben haben. Bei der Mehrbenutzeranmeldung kann TrueCrypt möglicherweise so eingerichtet werden, dass eine Schlüsseldatei auf einem USB-Laufwerk verwendet wird. Auf diese Weise benötigen Sie lediglich den Laptop und das USB-Laufwerk, um auf die Dateien auf dem Laptop zugreifen zu können.

Ich lerne immer noch selbst Linux und hoffe, dass dies hilft.

Scott McClenning
quelle
Ja, Debian (und wahrscheinlich auch andere Distributionen) können im Installationsprogramm die gesamte Festplatte verschlüsseln, und das ist auch gut so - leidet jedoch unter den Problemen in den ersten von mir veröffentlichten Aufzählungspunkten. Abgesehen davon ist diese Option (dh Luks-Volume mit logischen Volumes) wahrscheinlich die beste Option, die mir bisher bekannt ist.
Thomasrutter
0

Worüber machst du dir Sorgen? Welche Angriffsmethoden? Bevor Sie sich ernsthaft mit Sicherheit befassen können, müssen Sie Antworten auf diese beiden Fragen haben.

"Persönliche Informationen" deuten darauf hin, dass Sie sich über Dinge wie Identitätsdiebstahl, gelegentliche Schnüffler usw. Sorgen machen. So etwas wie eine Schlüsselbundsoftware reicht aus, um die Anmeldedaten der Bank usw. zu schützen, ist jedoch für große Informationsmengen unpraktisch.

Wenn Sie viele Daten haben, die Sie schützen möchten, Informationen, auf die Sie keinen schnellen Zugriff benötigen und für die Sie bereit sind, eine kleine wiederkehrende Gebühr zu zahlen, ist Amazon S4 eine gute Option, mit der Sie sich keine Sorgen um physische Daten machen müssen Zugriff, so dass die Sicherheit auf die Schlüsselverwaltung reduziert wird, die wiederum durch die Schlüsselbundsoftware angemessen gelöst wird. Amazon sieht nicht den Inhalt dessen, was Sie auf diese Weise speichern, sondern nur das verschlüsselte Ergebnis. Dies bedeutet natürlich, dass Amazon Ihnen nicht helfen kann, wenn Sie die Schlüssel durcheinander bringen und verlieren.

Im dritten Fall, in dem Sie einen relativ schnellen Zugriff auf eine große Datenmenge wünschen, empfehle ich, gemäß Chinmayas Vorschlag nicht die Verschlüsselung der gesamten Festplatte, sondern die Verschlüsselung der gesamten Partition zu verwenden. Die Verschlüsselung pro Verzeichnis ist ein Ärgernis, und ich empfehle es nicht: Lassen Sie das Dateisystem die Arbeit erledigen.

Charles Stewart
quelle
Angriffsvektor: Der Dieb stiehlt mein Notizbuch, während es entweder ausgeschaltet ist oder sich im Ruhezustand befindet. Der Dieb möchte Informationen über mich, Fotos von mir oder meine Passwörter auf verschiedenen Websites herausfinden, welche Websites ich besuche oder Mitglied oder Bank bin usw.
Thomasrutter