Beste Weg, um die vollständige Festplattenverschlüsselung zu tun?

13

Ich habe mich ein bisschen verlaufen und bin mir nicht sicher, welche Technologie ich für die vollständige Festplattenverschlüsselung wählen soll. Es ist schwer zu sagen, ob die Informationen noch aktuell sind. Gibt es dafür eine aktuelle Best-Practice-Lösung?

linux security filesystems Martin
quelle

Antworten:

10

Grundsätzlich gibt es 2 'Standard'-Tools für Partitionen:

  • TrueCrypt - plattformübergreifende, offene, plausible Verleugnung
  • dm-crypt - Linux-spezifisch, verwendet die Linux-Crypto-API, kann die Vorteile der von Linux unterstützten Crypto-Hardwarebeschleunigung nutzen und Device-Mapper.

Es gibt auch Cryptoloop, den Vorgänger von dm-crypt

Maciej Piechotka
quelle
"Hardware AES kann nicht verwendet werden" für TrueCrypt wurde entfernt. Ab
Warren Young
4
Soweit ich weiß, kann TrueCrypt Windows-Laufwerke nur verschlüsseln, wenn ich mein Betriebssystem von dort aus starten möchte. Das würde dm-crypt also zur einzigen Lösung machen.
Martin
4

Ich benutze Debian mit verschlüsseltem Dateisystem und tausche mein Notebook seit drei Jahren ohne Probleme aus.

Es fragt zu Beginn des Linux-Startvorgangs nach dem Kennwort und fährt dann fort, direkt auf meinem Desktop zu starten (ich habe den Anmeldedialog deaktiviert).

Das Setup ist ungefähr sda5 -> sda5_crypt -> physisches Volume dm-0 -> Volume-Gruppe Linux -> logische Volumes / dev / Linux / root für / und / dev / Linux / Swap für Swap.

Swap ist verschlüsselt, um Informationslecks zu vermeiden.

Es gibt auch eine unverschlüsselte 200MB Bootpartition für Kernel, Grub etc.

Ich erinnere mich, dass es im Debian-Installer ein komplizierter Tanz war, bis ich das richtig verstanden habe.

sternenblau
quelle
1
Moderne Debian-Installer erledigen dies ohne komplizierte Arbeit. Es funktioniert einfach alles.
Derobert
3

Ich habe True Crypt schon einmal benutzt und finde, dass es sehr gut funktioniert.

vanilleartig
quelle
2
TrueCrypt unterstützt zwar die Festplattenverschlüsselung unter Linux, dies kann jedoch nur auf der Startdiskette unter Windows durchgeführt werden. Ich vermute, dass das ursprüngliche Poster die Bootdiskette verschlüsseln möchte und nicht eine sekundäre Diskette, die nach dem Booten des Systems so weit angehängt werden kann, dass Sie ein Passwort für TrueCrypt erhalten.
Warren Young
3

Es gibt eine Reihe von Optionen.

Distributionen wie OpenSUSE / SLES bieten die Möglichkeit, eine oder mehrere Partitionen zur Installationszeit zu verschlüsseln.

In den meisten Fällen ist dies keine Option, da Sie wahrscheinlich Ihr Betriebssystem nicht neu installieren möchten.

Ich verwende das "encfs" -Dateisystem. Dies sollte unter Linux, MacOS und FreeBSD funktionieren, da encfs auf FUSE aufbaut (http://fuse.sourceforge.net/):

http://www.arg0.net/encfs

Die Idee ist, dass Sie bestimmte Verzeichnisse als verschlüsselte Verzeichnisse kennzeichnen können. Für diese Verzeichnisse müssen Sie zum Zeitpunkt des Ladevorgangs ein Kennwort eingeben, um darauf zugreifen zu können.

miguel.de.icaza
quelle
0

Vielleicht möchten Sie ReiserFS oder Reiser4 ausprobieren. Es ist wirklich sicher und unterstützt die Verschlüsselung. Es ist das einzige Open-Source-Dateisystem, das von der US-Armee verwendet wird. Wenn etwas für die US-Armee gut genug ist, könnte es auch für Sie gut genug sein.

Mirra
quelle