Bei der Installation habe ich die Möglichkeit, meinen privaten Ordner zu verschlüsseln - was macht das?

103
  • Macht das Verschlüsseln meines privaten Ordners meinen Computer sicherer?
  • Muss ich mein Passwort mehr eingeben, wenn mein privater Ordner verschlüsselt ist?
  • Was sollte ich noch über das Verschlüsseln meines privaten Ordners wissen?
David Siegel
quelle

Antworten:

95

Einfach

  1. Das Verschlüsseln Ihres privaten Ordners macht Ihren Computer nicht wirklich sicherer - es schützt einfach alle Dateien und Ordner in Ihrem privaten Ordner vor unbefugtem Zugriff.
    • Ihr Computer ist aus Sicherheitsgründen immer noch "verwundbar" - es wird jedoch sehr schwierig, Ihren Inhalt zu stehlen (es sei denn, der Angreifer verfügt über Ihr Kennwort).
  2. Sie müssen Ihr Passwort nicht mehr eingeben, als Sie es normalerweise tun. Wenn Sie sich bei Ihrem Computer anmelden, werden Ihre Dateien nahtlos nur für Ihre Sitzung entschlüsselt.
  3. Es besteht die Möglichkeit (abhängig von der Hardware Ihres Computers), dass dies die Leistung Ihres Computers beeinträchtigt. Wenn Sie sich mehr Gedanken über die Leistung als über die Sicherheit machen (und Sie sich auf einem älteren Computer befinden), können Sie diese Funktion deaktivieren.

Technisch

Ubuntu verwendet "eCryptfs", das alle Daten in einem Verzeichnis (in diesem Fall die Home-Ordner) als verschlüsselte Daten speichert. Wenn ein Benutzer in diesem verschlüsselten Ordner angemeldet ist, wird er mit dem zweiten Entschlüsselungs-Mount eingehängt (dies ist ein temporärer Mount, der ähnlich wie tmpfs funktioniert - er wird erstellt und im RAM ausgeführt, sodass die Dateien niemals entschlüsselt auf der Festplatte gespeichert werden). Die Idee ist - wenn Ihre Festplatte gestohlen wird und der Inhalt gelesen wird, können diese Elemente nicht gelesen werden, da Linux mit Ihrer Authentifizierung ausgeführt werden muss, um das erfolgreiche Mounten und Entschlüsseln zu ermöglichen (Die Schlüssel sind SHA-512-verschlüsselte Daten basierend auf verschiedene Benutzeraspekte - die Schlüssel werden dann in Ihrem verschlüsselten Schlüsselbund gespeichert). Das Endergebnis sind technisch sichere Daten (solange Ihr Passwort nicht geknackt oder durchgesickert ist).

Sie müssen Ihr Passwort nicht mehr als gewöhnlich eingeben. Die Anzahl der E / A-Vorgänge und der CPU-Vorgänge nimmt geringfügig zu, was (abhängig von Ihren Computerspezifikationen) die Leistung beeinträchtigen kann - obwohl dies auf den meisten modernen PCs problemlos möglich ist

Marco Ceppi
quelle
5
Marco, danke für deine Antwort, du scheinst ein exzellentes Verständnis für die Verschlüsselung von privaten Ordnern zu haben. Können Sie mir alle technischen Details ersparen und die Frage beantworten, als würde ich als Computer-Analphabet fragen?
David Siegel
2
Ich habe meine Antwort geändert, um eine einfachere Sichtweise widerzuspiegeln
Marco Ceppi
1
Danke! (Es gibt jedoch einige Formatierungs-Macken)
David Siegel
11
Beachten Sie außerdem, dass der Zugriff auf Ihre Linux-Partition von Ihrem sekundären Betriebssystem aus beim Dual-Boot-Betrieb erheblich erschwert wird. Unter Windows hatte ich einen einfachen Treiber zum Lesen meiner EXT3-Partition installiert, aber jetzt bin ich gesperrt. Oy!
Jono
2
plod: Hier hört die Sicherheit auf. Wenn jemand Ihr Passwort hat, ist das Spiel vorbei.
Marco Ceppi
15

Es gibt einen schönen Artikel über das Thema, den der Ubuntu-Entwickler selbst geschrieben hat, siehe: http://www.linux-mag.com/id/7568/1/

Zusammenfassung:

  • Eine Kombination aus LUKS und dm-crypt wird für die Ganzplattenverschlüsselung unter Linux verwendet. Ubuntu verwendet das Enterprise Cryptographic File System (ECryptfs) ab Version> = 9.10, um die Verschlüsselung des Heimlaufwerks bei der Anmeldung zu aktivieren.

  • Es werden ein oberes und ein unteres Verzeichnis erstellt, in denen das obere Verzeichnis unverschlüsselt im RAM gespeichert wird, um dem System und dem aktuellen Benutzer Zugriff zu gewähren. Das untere Verzeichnis wird in atomaren, verschlüsselten Dateneinheiten übergeben und im physischen Speicher gespeichert.

  • Datei- und Verzeichnisnamen verwenden einen einzelnen, mount-weiten Fnek (Dateinamen-Verschlüsselungsschlüssel). Der Header jeder verschlüsselten Datei enthält einen fek (Dateiverschlüsselungsschlüssel), der mit einem separaten, mount-weiten fekek (Dateiverschlüsselungsschlüssel, Verschlüsselungsschlüssel) umhüllt ist. Der Linux-Kernel-Schlüsselring verwaltet Schlüssel und stellt die Verschlüsselung über seine allgemeinen Chiffren bereit.

  • Die Verwendung eines eCryptfs PAM (Pluggable Authentication Module) unterbricht im Gegensatz zu typischen Festplattenverschlüsselungslösungen keine unbeaufsichtigten Neustarts.

  • Das mehrschichtige Dateisystem eCryptfs ermöglicht inkrementelle, verschlüsselte Sicherungen pro Datei.

al-maisan
quelle
3
Können Sie Ihre Nur-Link-Antwort in eine nützlichere umwandeln, indem Sie die in diesem Artikel angesprochenen Hauptpunkte zusammenfassen?
Arekolek
9

Weniger technisch zu beantworten, als vom OP angefordert.

Sicherheitsvorteile von verschlüsseltem Home per E-Verschlüsselung wie in Ubuntu:

  • Es müssen keine zusätzlichen Passwörter oder Schlüssel gespeichert oder eingegeben werden.
  • Verbessert nicht die Sicherheit Ihres Computers in einem Netzwerk, z. B. im Internet.
  • Wenn der Computer von mehreren Benutzern gemeinsam genutzt wird, ist dies eine zusätzliche Barriere für andere Benutzer, die auf Ihre Dateien zugreifen. (Schwierige technische Diskussion.)
  • Wenn ein Angreifer physischen Zugriff auf Ihren Computer erhält, z. B. Ihr Notebook stiehlt, werden Ihre Daten vor dem Lesen durch den Dieb geschützt. (Wenn der Computer ausgeschaltet ist, können Ihre Daten ohne Ihr Kennwort nicht gelesen werden. Wenn der Computer eingeschaltet ist und Sie angemeldet sind, kann ein Dieb Ihre Daten stehlen, erfordert jedoch einen fortgeschritteneren Angriff. Daher ist die Wahrscheinlichkeit geringer.)
Jan
quelle
6

Was Sie noch über das Verschlüsseln Ihres privaten Ordners wissen sollten, ist, dass auf die darin enthaltenen Daten nicht zugegriffen werden kann, wenn Sie nicht angemeldet sind während Sie es ansehen, aber scheitern, wenn Sie es nicht ansehen. Das Debuggen ist sehr frustrierend.

Neil Vandermeiden
quelle
2

Die Sicherheit Ihres tatsächlichen Systems wird nicht durch die Sicherheit Ihrer Dateien, Ordner und Dokumente bestimmt ... alles, was Sie tun, macht sie etwas sicherer vor neugierigen Blicken ...

zkriesse
quelle