暗号化されたパーティションはどのくらい安全ですか？

Ubuntu 16.04をインストールするときに、ファイルシステムを暗号化することを選択し、Ubuntuが起動する前にパスワードの入力を求められます。

それが私のコンテンツをどれだけ安全にしているのだろうか？具体的には：

• ドライブ上のすべてのもの（データを含む）は暗号化されていますか？

• この暗号化はどれくらい強力ですか？（それは時間とリソースと私が選んだパスワードの問題だと知っていますが、私は実際的な意味で...誰もが私の玄関からブルドーズすることができますが、平均的な泥棒はリソースを持たないか、攻撃する傾向がありません家）。たとえば、ラップトップを修理のために送ったり、ラップトップを紛失したり盗まれたりした場合、簡単にアクセスできるようにするために、本当に差し迫った理由がない人を心配する必要がありますか？（同様の質問がここで尋ねられたことは知っていますが、それはかなり前のことなので、おそらく状況は変わったのでしょうか？）

• また、暗号化により、（a）暗号化されたファイルシステムを備えたSSDを別のデバイスにインストールしたり、（b）ドライブの完全なバックアップを作成したり（たとえば、Ubuntuのライブバージョンを使用）そのバックアップを復元しますか？

• また、ファイルシステム全体が暗号化されている場合、Ubuntuのホームフォルダーも暗号化することに価値はありますか？

• LUKSを介して新しいシステムを暗号化することを選択した場合、システム全体が暗号化されます。これには、システムファイル、ホームフォルダー（したがってデータ）、およびスワップパーティションが含まれます。つまり、ディスクへのサスペンド（別名、休止状態）を使用しても、完全なディスク暗号化のすべての利点が得られます。コメントで指摘されているように、UbuntuはデフォルトでRAMへのサスペンドを使用します。Ubuntuが代わりにディスクへのサスペンドを使用するには、help.ubuntu.comの指示に従う必要がありますが、これは限られた数のマシンでのみ機能するようです。
• 256ビットのAES暗号化は、近い将来に十分に強力である可能性があります。Cryptography Stack Exchangeでここで説明したように、AES-256を総当たりすると、世界のGDPの約100兆倍のコストがかかります。総当たり方式の128ビットAES暗号化でさえ、世界のGDPの約1000倍かかります。
• LUKSキーは、LUKSヘッダー（HDD / SSDの1つ）とパスフレーズ（頭の中にある）以外にはロックされません。これにより、（a）暗号化されていないシステムディスクでも可能であれば、他のマシンで使用できます。つまり、一般的なシステムでは問題なく動作するはずです。（b）に関しては、はい、を使用してディスク全体のバックアップを作成できますがdd、これらのイメージは大幅に圧縮されないことに注意してください。これは、暗号化されたデータがパスフレーズなしのランダムデータと区別できないという性質によるものです。
• これには学問的な利点しかありません。つまり、完全なディスク暗号化を破るために最初の数十億世界のGDPを消費した後、攻撃者は暗号化されたホームフォルダに入るために別の数十億世界のGDPが必要になります（異なるパスフレーズ/キーを想定）。したがって、実際には暗号化を256ビットから257ビットのキー長に強化します。個人的な注意として、ディスク暗号化は安全で、ブート後にパスワードを再入力する必要がないと考えているため、フルディスク暗号化マシンでも自動ログインを使用します。

• ドライブ上のすべてが暗号化されているわけではありませんが、データは暗号化されています。

  暗号化されていない部分は、/boot起動時に使用されるため、ユーザーの領域です。それから流れるいくつかの興味深い結果を見つけることができますここます。

• 以下を実行することにより、特定のインストールの暗号強度を調べることができます

  ls /dev/mapper/ |grep crypt
  

  出力はYOUR_CRYPTになります

  cryptsetup status YOUR_CRYPT
  

  例：

  ls /dev/mapper/ |grep crypt
  nvme0n1p4_crypt
  sudo cryptsetup status nvme0n1p4_crypt
  
  /dev/mapper/nvme0n1p4_crypt is active and is in use.   
  type:    LUKS1    
  cipher:  aes-xts-plain64   
  keysize: 512 bits   
  device:  /dev/nvme0n1p4     
  offset:  4096 sectors   
  size:    499410944 sectors   
  mode:   read/write   
  flags:   discards
  

  暗号化のグレードは、Ubuntuにインストールした時期と使用しているバージョンによって異なりますが、古いセットアップでもかなり強力であり、偶然のクラッキングに耐える可能性があります。Ubuntuのブロックレベルの暗号化に関する良い議論： Ubuntuのデフォルトのフルディスク暗号化はどれくらい安全ですか？

• 暗号化されたドライブを別のハードウェアで起動することは問題になりません。暗号化されたドライブのビット単位のコピーを実行する場合でも、通常どおりに起動し、パスワードを使用してログインできます。コピー操作は、「オフライン」中に実行する必要があります（シャットダウン後にドライブがマウント解除された状態）。オンラインのデータグラブは機能しそうにありませんが、100％確実ではありません。

• 「ホームフォルダー」の暗号化は、「ファイル内のホームフォルダー」という考え方に基づいています。システムが暗号化されておらず、ファイルシステムがマウントされている場合、暗号化されたホームディレクトリは、cryptsetupを使用して暗号化された単一の大きなファイルになります。そのため、暗号化されたシステム内でホームフォルダーを暗号化すると、個人ファイルを取得するのが難しくなります。ただし、パフォーマンスのトレードオフがある場合があります。暗号化されたホームの詳細。

短い簡単な答え：

1. ドライブ上のすべてのもの（データを含む）は暗号化されていますか？：

   • はい、すべて暗号化されています

2. この暗号化はどれくらい強力ですか？：

   • あなたの最も弱いリンクと同じくらい強いをやめなさい。

3. また、暗号化により、（a）暗号化されたファイルシステムを備えたSSDを別のデバイスにインストールしたり、（b）ドライブの完全なバックアップを作成したり（たとえば、Ubuntuのライブバージョンを使用）そのバックアップを復元しますか？：

   • あなたは自分自身を納得させるためにそれを試さなければなりません。パスワードを忘れると、データはすべて失われます。そのような状況の後にパスワードを解読できた人を知っている場合は、お知らせください。

4. また、ファイルシステム全体が暗号化されている場合、Ubuntuのホームフォルダーも暗号化することに価値はありますか？：

   • 時間の無駄、する必要はありません。しかし、OKが必要な場合は！

詳しくは：

あなたが共有したリンクから、私がフォローしたリンクを引用します。

この物語の教訓は？電話機にLUKSパーティションがマウントされている場合、だれかがマスター暗号化キーを取得するのは非常に簡単です。cryptsetupはluksClose操作中にramからキーを削除するため、使用中はLUKSドライブのみをマウントし、完了したらアンマウントしてluksCloseをマウントすることをお勧めします。そうでなければ、それは大きなセキュリティホールになります。そもそもドライブが暗号化されていなかったようです。

ここで言及するのが適切なのは、この種の攻撃を受けやすいシステムはAndroid上のLUKSだけではないということです。実質的にすべてのディスク暗号化システムは、暗号化キーをRAMに保存します。プリンストンCITPグループは、かなり前にこの事実を特定しました。ここでの私のポイントは、このような攻撃は非常に簡単だということだけです！

詳細は太字のセクションに注意してください。私が言ったように、あなたがあなたの物を扱う方法であなたの弱いか不注意なら、トラブルを期待してください。彼は、あなたがそれを使わないときは常にアンマウントまたはクローズするアドバイスを与えました。