使いやすいLinuxディスク暗号化スキームが必要

11

ラップトップが盗まれた場合に個人情報を保護するために、Linuxシステムを暗号化する最良の方法を探しています。

スワップを含むディスク全体の暗号化の欠点:

  • 起動前のパスワードプロンプトはkindくて洗練されておらず、起動メッセージの中に隠れているように見えます(Splashyなどがこれを処理できますか?)
  • 2回ログインする必要がある(GDMログイン画面があり、複数のユーザーが必要な場合)

libpam-mountなどを使用した個々のフォルダー暗号化の欠点:

  • ユーザーのホームフォルダーのみが暗号化されます(/ etc、/ varなどにも機密情報が含まれる場合があります)。
  • スワップファイルは暗号化されていないため、そこに機密データが漏洩する可能性が高い
  • 安全に休止状態にする方法はありません。

問題があればDebian Linuxを使用しています。途方もなく安全である必要はありませんが、オフ/休止中に盗まれた場合、泥棒は私の身元、銀行口座の詳細、VPNログインなどを盗むことができないので安心してください。

上記の問題を解決する方法を知っていますか?

linux  encryption  disk-encryption 
トーマス
ソース

回答:

7

あなたの問題はよくある問題です。主に、セキュリティと使いやすさの難しいバランスです。

私の提案は、混合アプローチのわずかに修正されたバージョンを使用することです:

  • TrueCryptなどのクロスプラットフォームソフトウェアを使用して、毎日使用しない個人データ用に1つ以上の暗号化ボリュームを準備します(銀行口座の詳細、保存されたパスワード、医療記録など)
  • 複数のボリュームを使用する理由は、異なるメディアにバックアップしたり、異なる暗号化スキームを使用したりすることです。たとえば、健康記録を他の人と共有し、パスフレーズを伝えたい場合があります他のボリュームに使用されるものとは異なる)
  • 「標準」のクロスプラットフォームソフトウェアを使用すると、ラップトップが盗難/破損した場合に、その場で別のOSからデータを回復できます。
  • ディスク全体の暗号化は、しばしば面倒で困難です。それに対する攻撃はありますが(悪魔のメイド攻撃を参照してください)、システム全体にアクセスできる人がいる場合に何が起こるのかを恐れている場合に役立つことがわかります。たとえば、会社のラップトップを使用している場合、管理アクセスと盗まれてはならないVPNキーがあります
  • mail / web / appsのキャッシュされたパスワードは別の問題です。おそらく、ホームディレクトリのみを暗号化することができますか?パフォーマンスとセキュリティ/使いやすさを最適化するには、次のことができます。
    • すべてのホームディレクトリを暗号化する
    • 失うことを気にしないデータ(音楽、ビデオなど)のファイルシステム上の暗号化されていないディレクトリへのソフトリンク

繰り返しますが、時間と回復のコストの価値と比較して、失うものの価値にすべてが集約されることを忘れないでください。

ロレンツォグ
ソース
あなたのアドバイスはすべて良いですが、個人的には、私のディストリビューションでサポートされているという理由だけで、Truecryptよりもdm-crypt / luksを使いたいと思っています。興味がある場合は、Windowsまたは別のブートディスクからそのようなボリュームを復号化してマウントすることができます。
thomasrutter
TrueCryptは、休止中に暗号化されたボリュームを保護しますか?
クレイグマックイーン
@thomasrutter:わかりました。Macユーザーであるため、その時点でサポートされているOSの範囲が広いソリューションを使用することを好みました。
ロレンツォグ
私のすべての問題を解決するわけではありませんが、役に立つし、いく​​つかの良い指針が含まれているので、私はあなたの答えに賞金を授与しました。じゃ!
thomasrutter
2

私はハードドライブ全体を暗号化するのではなく、管理/管理の面倒さだけです。

そこで、dm-encryptを使用して、論理的に暗号化されたパーティションを作成します。

それを取り巻くスクリプトを作成し、それを毎日使用し、それがあなたに役立つかどうかを確認します。これを.bashrcの下で呼び出します

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

チンマヤ
ソース
1

暗号化キーを保存するためにペンドライブを使用できます。最高のセキュリティを確保するには、パスワードで保護する必要がありますが、必須ではありません。

http://loop-aes.sourceforge.net/loop-AES.READMEの例7をご覧ください。

マシーク・サウィッキ
ソース
提案をありがとう、USBスティックが盗まれたり、紛失したりすることには不安を感じますが、おそらく別のパスワードを使う方がいいでしょう。
thomasrutter
1

私はまだLinuxには比較的慣れていませんが、システムをインストールするときにディスク全体の暗号化を有効にする方法があると考えました。また、TrueCryptには.debパッケージがあります。

Linuxではディスク暗号化をまだ使用していなかったため、これらのオプションには上記のような問題がある可能性があります。マルチユーザーログオンに関する限り、おそらくTrueCryptはUSBドライブ上のキーファイルを使用するようにセットアップできます。必要なのは、ラップトップとラップトップ上のファイルにアクセスするためのUSBドライブだけです。

私はまだ自分でLinuxを学んでいるので、これが役立つことを願っています。

スコット・マクレニング
ソース
はい、Debian(およびおそらく他のディストリビューション)はインストーラーでディスク全体の暗号化を行うことができます。これも良いことですが、私が投稿した最初の一連の箇条書きの問題に苦しんでいます。それ以外は、このオプション(つまり、論理ボリュームを持つLuksボリューム)は、おそらく私がこれまでに知っている最高のオプションです。
-thomasrutter
0

何が心配?どのような攻撃ベクトルですか?セキュリティについて真剣に考える前に、これらの2つの質問に答える必要があります。

「個人情報」は、個人情報の盗難、偶然のスヌーパー、&cなどのことを心配していることを示唆しています。キーチェーンソフトウェアのようなもので銀行のログイン情報を保護するには十分ですが、大量の情報については非実用的です。

保護したいデータが多く、高速アクセスを必要とせず、定期的に少額の無料を支払う必要がある情報がある場合は、Amazon S4が良い選択肢であり、物理的な心配を完全に取り除きますこれにより、セキュリティはキー管理に限定され、これもキーチェーンソフトウェアによって適切に解決されます。Amazonは、この方法で保存したものの内容は表示しませんが、暗号化された結果のみを表示します。もちろん、これは、キーを紛失して紛失した場合、Amazonがあなたを助けることができないことを意味します。

大量のデータへの比較的高速なアクセスが必要な3番目のケースでは、チンマヤの提案に従って、ディスク全体の暗号化ではなく、パーティション全体の暗号化を使用することをお勧めします。ディレクトリごとの暗号化は厄介であり、私はそれをお勧めしません:ファイリングシステムに仕事をさせる。

チャールズ・スチュワート
ソース
攻撃ベクトル:泥棒は、ノートブックがオフになっているか、休止モードになっている間にノートブックを盗みます。泥棒は、私についての情報を見つけるために望んでいる私の写真、私が訪問するか、またはでのメンバーや銀行ださまざまなウェブサイト、どのようなウェブサイト、などの私のパスワード
thomasrutter
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.