web-dev-qa-db-ja.com

使いやすいLinuxディスク暗号化スキームが必要

ノートパソコンが盗まれた場合に個人情報を保護するために、Linuxシステムを暗号化するための最良の方法を探しています。

スワップを含むディスク全体の暗号化のデメリット:

  • 起動前のパスワードプロンプトは、ちょっと醜くて洗練されておらず、起動メッセージの中に隠されて表示されます(Splashyのようなものでこれを処理できますか?)
  • 2回ログインする必要があります(GDMログイン画面があり、複数のユーザーが必要な場合)

Libpam-mountなどを使用した個々のフォルダーの暗号化のデメリット:

  • ユーザーのホームフォルダーのみが暗号化されます(/ etc、/ varなどには機密情報も含まれる場合があります)。
  • スワップファイルは暗号化されていないため、機密データが漏洩する可能性があります
  • 安全に休止状態にする方法はありません。

重要な場合はDebianLinuxを使用しています。ばかばかしいほど安全である必要はありませんが、オフ/休止中に盗まれた場合、泥棒が私のID、銀行口座の詳細、VPNログインなどを盗むことができないという安心感が必要です。

上記の問題を解決する方法を知っていますか?

linuxencryptiondisk-encryption
11
thomasrutter

あなたの問題はよくある問題です。主に、セキュリティと使いやすさのバランスが難しいことです。

私の提案は、混合アプローチのわずかに変更されたバージョンを使用することです。

  • trueCryptのようなクロスプラットフォームソフトウェアを使用して、毎日使用しない個人データ(銀行の詳細、保存されたパスワード、医療記録など)用に1つ以上の暗号化されたボリュームを準備します
  • 複数のボリュームを使用する理由は、それらを異なるメディアにバックアップしたり、異なる暗号化スキームを使用したりする場合があるためです。たとえば、健康記録を他の人と共有し、パスフレーズを伝えたい場合があります(他のボリュームで使用されているものとは異なります)
  • 「標準の」クロスプラットフォームソフトウェアを使用すると、ラップトップが盗難/損傷した場合に、別のOSからオンザフライでデータを回復できるようになります
  • ディスク全体の暗号化は、多くの場合、面倒で困難です。それに対する攻撃はありますが( 悪意あるメイド攻撃 を参照)人々が全体にアクセスできる場合に何が起こるかを恐れている場合に役立つことがわかりますシステム。たとえば、会社のラップトップを使用している場合、管理アクセス権がなく、盗まれてはならないVPNキーがあります。
  • メール/ウェブ/アプリのキャッシュされたパスワードは別の問題です:おそらくあなたはあなたのホームディレクトリだけを暗号化したいかもしれませんか?パフォーマンスとセキュリティ/ユーザビリティを最適化するには、次のことができます。
    • すべてのホームディレクトリを暗号化する
    • 失うことを気にしないデータ(音楽、ビデオなど)のファイルシステム上の暗号化されていないディレクトリへのソフトリンク

繰り返しになりますが、回復の時間とコストの価値と比較して、失うものの価値にすべてが要約されることを忘れないでください。

7
lorenzog

私はハードドライブ全体を暗号化するのではなく、管理/管理が多すぎます。

そこで、dm-encryptを使用して論理暗号化パーティションを作成します。

私はその周りにスクリプトを作成しました。これは毎日使用しています。それが役立つかどうかを確認してください。私はこれを.bashrcで呼んでいます

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

2
chinmaya

暗号化キーの保存にはペンドドライブを使用できます。最高のセキュリティを得るには、パスワードで保護する必要がありますが、そうする必要はありません。

http://loop-aes.sourceforge.net/loop-AES.README 例7を見てください。

1
Maciek Sawicki

私はまだLinuxに比較的慣れていませんが、システムをインストールするときに、ディスク全体の暗号化をオンにする方法があると思いました。また、TrueCryptには.debパッケージがあります。

Linuxではまだディスク暗号化を使用していなかったので、おそらくこれらのオプションには上記のような問題があります。マルチユーザーログオンに関しては、おそらくTrueCryptはUSBドライブ上のキーファイルを使用するように設定できます。そうすれば、必要なのはラップトップとラップトップ上のファイルにアクセスするためのUSBドライブだけです。

私はまだLinuxを自分で学んでいるので、これがお役に立てば幸いです。

1
Scott McClenning

何が心配ですか?どのような攻撃ベクトルですか?セキュリティについて真剣に考える前に、これら2つの質問に答える必要があります。

「個人情報」は、個人情報の盗難、カジュアルなスヌーパーなどについて心配していることを示唆しています。キーチェーンソフトウェアのようなものは、銀行のログイン詳細などを保護するのに十分ですが、大量の情報には実用的ではありません。

保護したいデータがたくさんあり、高速アクセスを必要としない情報があり、少額の定期的な無料料金を支払う用意がある場合は、AmazonのS4が適したオプションであり、物理的な心配を完全に取り除きます。アクセス。これにより、セキュリティがキー管理に限定されます。これも、キーチェーンソフトウェアによって適切に解決されます。 Amazonは、この方法で保存したものの内容を認識せず、暗号化された結果のみを認識します。もちろん、これは、あなたが混乱して鍵を紛失した場合、Amazonはあなたを助けることができないことを意味します。

大量のデータへの比較的高速なアクセスが必要な3番目のケースでは、chinmayaの提案に従って、ディスク全体の暗号化ではなく、パーティション全体の暗号化を使用することをお勧めします。ディレクトリごとの暗号化は厄介であり、お勧めしません。ファイリングシステムに作業を任せてください。

0
Charles Stewart