インストール時に、ホームフォルダーを暗号化するオプションが提供されます。これは何をしますか?


103
  • ホームフォルダーを暗号化すると、コンピューターのセキュリティが強化されますか?
  • ホームフォルダーが暗号化されている場合、パスワードをさらに入力する必要がありますか?
  • ホームフォルダーの暗号化について他に知っておくべきことはありますか?

回答:


95

単に

  1. ホームフォルダーを暗号化しても、実際にはコンピューターの安全性が向上するわけではありません。ホームフォルダー内のすべてのファイルとフォルダーを不正な閲覧から保護するだけです。
    • お使いのコンピューターは、セキュリティの観点からは依然として「脆弱」ですが、コンテンツが盗まれることは非常に困難になります(攻撃者がパスワードを持っている場合を除く)。
  2. 通常よりも実際にパスワードを入力する必要はありません。コンピュータにログインすると、セッションだけでファイルがシームレスに復号化されます。
  3. これは、コンピューターのハードウェアに応じて、マシンのパフォーマンスに影響する可能性があります。セキュリティよりもパフォーマンスが心配な場合(そして古いマシンを使用している場合)、この機能を無効にすることができます。

技術的に

Ubuntuは「eCryptfs」を使用します。これは、すべてのデータをディレクトリ(この場合はホームフォルダー)に暗号化されたデータとして保存します。ユーザーがログインすると、暗号化されたフォルダーは2番目の復号化マウントでマウントされます(これはtmpfsと同様に機能する一時マウントです-作成され、RAMで実行されるため、ファイルはHDに復号化された状態で保存されません)。アイデアは-ハードドライブが盗まれ、コンテンツを読む場合、マウントと復号化を成功させるためにLinuxを認証で実行する必要があるため、これらのアイテムを読むことができない場合(キーはSHA-512暗号化されたデータですいくつかのユーザーの側面-キーは暗号化されたキーリングに保存されます)。最終的に、技術的に安全なデータが得られます(パスワードがクラックされたり漏洩したりしない限り)。

通常よりもパスワードを入力する必要はありません。ディスクI / OとCPUのわずかな増加があり(コンピューターの仕様に応じて)パフォーマンスが低下する可能性があります-ほとんどの最新のPCでは非常にシームレスです


5
マルコ、あなたの答えをありがとう、ホームフォルダーの暗号化を十分に把握しているようです。あまり技術的なユーザーの利益のために、私はすべての技術的な詳細をspareしみなく、コンピューターに不慣れなユーザーとして尋ねているかのように質問に答えることができますか?
デイビッドシーゲル

2
私は答えをより簡単な視点を反映するように修正しました
マルコ・セッピ

1
ありがとうございました!(ただし、いくつかの書式設定の癖があります)
デイビッドシーゲル

11
また、デュアルブートする場合、セカンダリOSからLinuxパーティションにアクセスするのがはるかに困難になることに注意してください。Windowsでは、EXT3パーティションを読み取るための簡単なドライバーをインストールしていましたが、今はロックアウトされています。オイ!
城野

2
plod:ここでセキュリティが停止します。誰かがあなたのパスワードを持っている場合、それはゲームオーバーです。
マルコセッピ

15

Ubuntu開発者自身が書いたトピックに関する素晴らしい記事があります。http//www.linux-mag.com/id/7568/1/をご覧ください。

概要:

  • Linuxでは、LUKSとdm-cryptの組み合わせがディスク全体の暗号化に使用されます。Ubuntuは、バージョン9.10以上のEnterprise Cryptographic File System(ECryptfs)を使用して、ログイン時にホームドライブの暗号化を有効にします。

  • 上位ディレクトリと下位ディレクトリが作成されます。上位ディレクトリは暗号化されずにRAMに保存され、システムと現在のユーザーにアクセスを許可します。下位ディレクトリには、アトミックで暗号化されたデータ単位が渡され、物理メモリに保存されます。

  • ファイル名とディレクトリ名は、単一のマウント全体のfnek(ファイル名暗号化キー)を使用します。暗号化された各ファイルのヘッダーには、別のマウント全体のfekek(ファイル暗号化キー、暗号化キー)でラップされたfek(ファイル暗号化キー)が含まれています。Linuxカーネルのキーリングは、キーを管理し、共通の暗号を介して暗号化を提供します。

  • 通常のフルディスク暗号化ソリューションとは異なり、eCryptfs PAM(Pluggable Authentication Module)を使用しても、無人での再起動は中断されません。

  • eCryptfs階層化ファイルシステムは、ファイルごと、増分、暗号化されたバックアップを可能にします。


3
その記事で提起された要点をまとめることで、リンクのみの回答をより有用なものに変えることができますか?
-arekolek

9

OPの要求に応じて、技術的にあまり回答しません。

Ubuntuのようにecryptfs経由で暗号化されたホームのセキュリティ上の利点:

  • 追加のパスワードやキーを記憶または入力する必要はありません。
  • インターネットなどのネットワーク上でコンピューターのセキュリティを強化しません。
  • コンピューターが複数のユーザー間で共有されている場合、ファイルにアクセスする他のユーザーに対する追加の障壁を提供します。(難しい技術的な議論。)
  • 攻撃者がコンピューターに物理的にアクセスした場合(ノートブックを盗むなど)、これによりデータが泥棒に読まれることを防ぎます。(コンピューターがオフの場合、パスワードなしではデータを読み取ることができません。コンピューターの電源を入れてログインすると、泥棒がデータを盗む可能性がありますが、より高度な攻撃が必要になる可能性は低くなります。)

6

ホームフォルダーの暗号化について他に知っておくべきことは、ログインしていないときはホームフォルダー内のデータにアクセスできないことです。あなたがそれを見ている間、あなたがそれを見ていないときに失敗します。これはデバッグするのが非常にイライラします。


2

実際のシステムのセキュリティは、ファイル、フォルダ、およびドキュメントのセキュリティによって決定されるものではありません...すべては、all索好きな目からそれらをわずかに安全にするだけです...

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.