ホームフォルダを完全に隠す-ecryptfsは正しい選択ですか？

Ecryptfsは、暗号化された各ファイルを1つのファイルに保存します（下のファイル、 ecryptfsの用語 ）。ファイル名は暗号化されていますが、下位ファイルのディレクトリ構造はペイロードファイルのディレクトリ構造を反映しています。下位ファイルのメタデータ（特に変更時間）も、ペイロードファイルのメタデータを明らかにします。下のファイルのサイズは、ペイロードのサイズよりもわずかに大きくなります（Ecryptfsのメタデータのオーバーヘッドは固定されています）¹。

自分の作品を保存している場合、攻撃者はあなたが持っているデータの種類を大まかに知っているでしょう（「これがソースコードツリーであることはすでに知っています。これらがスプレッドシートであることを知っています。知りたいのは！」） 、それは問題ではありません。ただし、レイアウト（ディレクトリ構造、おおよそのサイズ、日付）によって識別される可能性のあるディレクトリツリーを保存している場合、Ecryptfsは適切なツールではありません。

ブロックデバイスレベルで暗号化を使用します。 Linuxはこれに dm-crypt を提供します。ディスク全体（ブートローダー用の小さな領域を除く）を暗号化するか、/homeまたはその他のパーティションを暗号化できます。ディスク全体を暗号化しない場合は、機密情報が他の場所、特にスワップスペースに保存される可能性があることに注意してください（暗号化されたデータがどこかにある場合は、スワップを暗号化する必要があります）。ディスク全体の暗号化を使用する場合、コンピューターは無人で起動できず、キーボードでパスフレーズを入力する必要があることに注意してください。

ブロックデバイス全体が暗号化されているため、ディスクを盗む攻撃者がファイルの内容とメタデータの場所を検出することはできません。暗号化された領域の先頭にあるヘッダーを除いて、コンテンツはランダムノイズと区別できません。攻撃者は、暗号化されたデータの複数のスナップショットを見て、さまざまなセクターが時間の経過とともにどのように進化するかを調査することで情報を引き出すことができますが、それでも興味深いものを見つけるのは困難であり、後でデータの変更を停止した場合は当てはまりません。攻撃者は暗号文を見ました（ディスク盗難の場合のように）。

多くのディストリビューションでは、インストール時にdmcryptボリュームを作成したり、ディスク全体を暗号化したりすることができます。 「デスクトップ」または「基本」イメージではなく、「詳細」または「サーバー」インストールイメージを選択する必要がある場合があります。

Dm-cryptボリュームを操作するツールは cryptsetup です。 dmcryptボリュームを作成するには、パーティション/dev/sdz9を作成してから、cryptsetup luksFormat /dev/sdz9を実行します。ボリュームを /etc/crypttab ;に追加する必要があります。 cryptsetup luksOpenを使用してその場でボリュームをアクティブにするか、cryptmount -aを設定した後に /etc/crypttab を使用します。 Dm-cryptは暗号層にすぎないため、暗号化されたボリューム上にファイルシステムを作成する必要があります。

buntuでインストールされたLUKSセットアップの実行にBacktrack 5 r2をインストールします dm-cryptを完全に手動でセットアップするためのチュートリアルがあります。

¹ _{実験的に、デフォルト設定では、小さいファイルサイズはペイロードファイルサイズであり、4kBの倍数と8kBのオーバーヘッドに切り上げられます。}