暗号化されたパーティションはどのくらい安全ですか?


16

Ubuntu 16.04をインストールするときに、ファイルシステムを暗号化することを選択し、Ubuntuが起動する前にパスワードの入力を求められます。

それが私のコンテンツをどれだけ安全にしているのだろうか?具体的には:

  • ドライブ上のすべてのもの(データを含む)は暗号化されていますか?

  • この暗号化はどれくらい強力ですか?(それは時間とリソースと私が選んだパスワードの問題だと知っていますが、私は実際的な意味で...誰もが私の玄関からブルドーズすることができますが、平均的な泥棒はリソースを持たないか、攻撃する傾向がありません家)。たとえば、ラップトップを修理のために送ったり、ラップトップを紛失したり盗まれたりした場合、簡単にアクセスできるようにするために、本当に差し迫った理由がない人を心配する必要がありますか?(同様の質問がここで尋ねられことは知っていますが、それはかなり前のことなので、おそらく状況は変わったのでしょうか?)

  • また、暗号化により、(a)暗号化されたファイルシステムを備えたSSDを別のデバイスにインストールしたり、(b)ドライブの完全なバックアップを作成したり(たとえば、Ubuntuのライブバージョンを使用)そのバックアップを復元しますか?

  • また、ファイルシステム全体が暗号化されている場合、Ubuntuのホームフォルダーも暗号化することに価値はありますか?


経験から最後の2つのポイントに対する答えが得られたため、元の投稿の更新です。いいえ、暗号化はハードドライブ全体をシステムから取り出して別のLinuxマシンで暗号化を解除することを妨げませんでしたが、それは退屈なプロセスでした。そして、はい、他のユーザーがそのシステム上のアカウントを持っている場合、彼らは(例えば、参照デフォルトでホームにアクセスできるようになりますようにも、自分のホームフォルダを暗号化することで価値があるtechrepublic.com/article/...を
lithic

回答:


18
  • LUKSを介して新しいシステムを暗号化することを選択した場合、システム全体が暗号化されます。これには、システムファイル、ホームフォルダー(したがってデータ)、およびスワップパーティションが含まれます。つまり、ディスクへのサスペンド(別名、休止状態)を使用しても、完全なディスク暗号化のすべての利点が得られます。コメントで指摘されているように、UbuntuはデフォルトでRAMへのサスペンドを使用します。Ubuntuが代わりにディスクへのサスペンドを使用するには、help.ubuntu.com指示に従う必要がありますが、これは限られた数のマシンでのみ機能するようです。
  • 256ビットのAES暗号化は、近い将来に十分に強力である可能性があります。Cryptography Stack Exchangeここで説明しように、AES-256を総当たりすると、世界のGDPの約100兆倍のコストがかかります。総当たり方式の128ビットAES暗号化でさえ、世界のGDPの約1000倍かかります。
  • LUKSキーは、LUKSヘッダー(HDD / SSDの1つ)とパスフレーズ(頭の中にある)以外にはロックされません。これにより、(a)暗号化されていないシステムディスクでも可能であれば、他のマシンで使用できます。つまり、一般的なシステムでは問題なく動作するはずです。(b)に関しては、はい、を使用してディスク全体のバックアップを作成できますがdd、これらのイメージは大幅に圧縮されないことに注意してください。これは、暗号化されたデータがパスフレーズなしのランダムデータと区別できないという性質によるものです。
  • これには学問的な利点しかありません。つまり、完全なディスク暗号化を破るために最初の数十億世界のGDPを消費した後、攻撃者は暗号化されたホームフォルダに入るために別の数十億世界のGDPが必要になります(異なるパスフレーズ/キーを想定)。したがって、実際には暗号化を256ビットから257ビットのキー長に強化します。個人的な注意として、ディスク暗号化は安全で、ブート後にパスワードを再入力する必要がないと考えているため、フルディスク暗号化マシンでも自動ログインを使用します。

1
デフォルトでは、Ubuntuはディスクへのサスペンドではなく、RAMへのサスペンドを使用していることに注意してください-前者はフルディスク暗号化のオブジェクトを完全に無効にします。ディスクへのサスペンド(休止状態)は、help.ubuntu.com
Marshall

1
私の知る限り、これは良い答えですが、ちょっとした修正があります。起動するためには、ディスク上の何かを暗号化せに残しておく必要あります。Ubuntuのインストールの場合、これは通常ブートローダー(デフォルトではGRUB)であり、暗号化さ/bootれていないパーティションはカーネル、一致するinitrdファイル、GRUB構成およびサポートファイル、およびその他のいくつかのオッズとエンドを保持します。これらのファイルは機密性が高くないため(構成ファイルを除き、すべてUbuntuの標準の部分です)、重要な問題ではありません。しかし、彼らはコンピューターがUbuntuを実行していると識別します。
ロッド・スミス

@RodSmith本当ですが、ドライブとボリュームの間に(技術的な用語ではなく、言語で)本当に違いがありますか?私はよく知っているにもかかわらず、私はそれらを常に交換可能に使用しています。
jpaugh

6
  • ドライブ上のすべてが暗号化されているわけではありませんが、データは暗号化されています。

    暗号化されていない部分は、/boot起動時に使用されるため、ユーザーの領域です。それから流れるいくつかの興味深い結果を見つけることができますここます

  • 以下を実行することにより、特定のインストールの暗号強度を調べることができます

    ls /dev/mapper/ |grep crypt
    

    出力はYOUR_CRYPTになります

    cryptsetup status YOUR_CRYPT
    

    例:

    ls /dev/mapper/ |grep crypt
    nvme0n1p4_crypt
    sudo cryptsetup status nvme0n1p4_crypt
    
    /dev/mapper/nvme0n1p4_crypt is active and is in use.   
    type:    LUKS1    
    cipher:  aes-xts-plain64   
    keysize: 512 bits   
    device:  /dev/nvme0n1p4     
    offset:  4096 sectors   
    size:    499410944 sectors   
    mode:   read/write   
    flags:   discards
    

    暗号化のグレードは、Ubuntuにインストールした時期と使用しているバージョンによって異なりますが、古いセットアップでもかなり強力であり、偶然のクラッキングに耐える可能性があります。Ubuntuのブロックレベルの暗号化に関する良い議論: Ubuntuのデフォルトのフルディスク暗号化はどれくらい安全ですか?

  • 暗号化されたドライブを別のハードウェアで起動することは問題になりません。暗号化されたドライブのビット単位のコピーを実行する場合でも、通常どおりに起動し、パスワードを使用してログインできます。コピー操作は、「オフライン」中に実行する必要があります(シャットダウン後にドライブがマウント解除された状態)。オンラインのデータグラブは機能しそうにありませんが、100%確実ではありません。

  • 「ホームフォルダー」の暗号化は、「ファイル内のホームフォルダー」という考え方に基づいています。システムが暗号化されておらず、ファイルシステムがマウントされている場合、暗号化されたホームディレクトリは、cryptsetupを使用して暗号化された単一の大きなファイルになります。そのため、暗号化されたシステム内でホームフォルダーを暗号化すると、個人ファイルを取得するのが難しくなります。ただし、パフォーマンスのトレードオフがある場合があります。暗号化されたホームの詳細


2

短い簡単な答え:

  1. ドライブ上のすべてのもの(データを含む)は暗号化されていますか?

    • はい、すべて暗号化されています
  2. この暗号化はどれくらい強力ですか?

    • あなたの最も弱いリンク同じくらい強いをやめなさい
  3. また、暗号化により、(a)暗号化されたファイルシステムを備えたSSDを別のデバイスにインストールしたり、(b)ドライブの完全なバックアップを作成したり(たとえば、Ubuntuのライブバージョンを使用)そのバックアップを復元しますか?

    • あなたは自分自身を納得させるためにそれを試さなければなりません。パスワードを忘れると、データはすべて失われます。そのような状況の後にパスワードを解読できた人を知っている場合は、お知らせください。
  4. また、ファイルシステム全体が暗号化されている場合、Ubuntuのホームフォルダーも暗号化することに価値はありますか?

    • 時間の無駄、する必要はありません。しかし、OKが必要な場合は!

詳しくは:

あなたが共有したリンクから、私がフォローしたリンクを引用します。

この物語の教訓は?電話機にLUKSパーティションがマウントされている場合、だれかがマスター暗号化キーを取得するのは非常に簡単です。cryptsetupはluksClose操作中にramからキーを削除するため、使用中はLUKSドライブのみをマウントし、完了したらアンマウントしてluksCloseをマウントすることをお勧めします。そうでなければ、それは大きなセキュリティホールになります。そもそもドライブが暗号化されていなかったようです。

ここで言及するのが適切なのは、この種の攻撃を受けやすいシステムはAndroid上のLUKSだけではないということです。実質的にすべてのディスク暗号化システムは、暗号化キーをRAMに保存します。プリンストンCITPグループは、かなり前にこの事実を特定しました。ここでの私のポイントは、このような攻撃は非常に簡単だということだけです!

詳細太字のセクションに注意してください。私が言ったように、あなたがあなたの物を扱う方法であなたの弱いか不注意なら、トラブルを期待してください。彼は、あなたがそれを使わないときは常にアンマウントまたはクローズするアドバイスを与えました。


「使用後」がディスク全体またはホームフォルダーの暗号化のためにいつになるかはわかりません。ポイントは「開いているとき、開いている」ということですか?もしそうなら、もちろん。私たちは、盗難から保護しようとしていると思います。盗難は、デスクトップの場合、通常、電源の中断を伴います。わからない...その場合には、ラップトップで何が起こるか
グレッグ・ベル
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.