web-dev-qa-db-ja.com

インストール時に、ホームフォルダーを暗号化するオプションが提供されます。これは何をしますか?

  • ホームフォルダーを暗号化すると、コンピューターのセキュリティが強化されますか?
  • ホームフォルダーが暗号化されている場合、パスワードをさらに入力する必要がありますか?
  • ホームフォルダーの暗号化について他に知っておくべきことはありますか?
system-installationencryptionecryptfs
103
David Siegel

単純に

  1. ホームフォルダーを暗号化しても、実際にはコンピューターがより安全になるわけではありません。ホームフォルダー内のすべてのファイルとフォルダーを不正な閲覧からより安全にするだけです。
    • お使いのコンピューターは、セキュリティの観点からは依然として「脆弱」ですが、コンテンツが盗まれることは非常に困難になります(攻撃者にパスワードがない限り)。
  2. 通常よりも実際にパスワードを入力する必要はありません。コンピューターにログインすると、セッションだけでファイルがシームレスに復号化されます。
  3. これは、コンピューターのハードウェアに応じて、マシンのパフォーマンスに影響する可能性があります。セキュリティよりもパフォーマンスが心配な場合(そして古いマシンを使用している場合)、この機能を無効にすることができます。

技術的に

Ubuntuは「eCryptfs」を使用します。これは、すべてのデータをディレクトリ(この場合はホームフォルダー)に暗号化データとして保存します。ユーザーがログインすると、暗号化されたフォルダーは2番目の復号化マウントでマウントされます(これはtmpfsと同様に機能する一時マウントです-RAMで作成され実行されるため、ファイルは復号化された状態で保存されませんHD)。アイデアは次のとおりです。ハードドライブが盗まれ、コンテンツの読み取りができない場合、マウントと復号化を成功させるためにLinuxを認証で実行する必要があるため、これらのアイテムを読み取ることができません(キーはSHA-512暗号化されたデータですいくつかのユーザーの側面-キーは暗号化されたキーリングに保存されます)。最終的な結果は、技術的に安全なデータになります(パスワードがクラックされたり漏洩したりしない限り)。

通常よりもパスワードを入力する必要はありません。ディスクI/OとCPUのわずかな増加があり(コンピューターの仕様に応じて)パフォーマンスが低下する可能性がありますが、最新のほとんどのPCでは非常にシームレスです

95
Marco Ceppi

Ubuntu開発者自身が書いたトピックに関する素敵な記事があります: http://www.linux-mag.com/id/7568/1/ をご覧ください。

概要:

  • Linuxでは、LUKSとdm-cryptの組み合わせがディスク全体の暗号化に使用されます。 Ubuntuは、バージョン9.10以上のEnterprise Cryptographic File System(ECryptfs)を使用して、ログイン時にホームドライブの暗号化を有効にします。

  • 上位ディレクトリと下位ディレクトリが作成されます。上位ディレクトリはRAMに暗号化されずに保存され、システムと現在のユーザーへのアクセスを許可します。下位ディレクトリには、アトミックで暗号化されたデータ単位が渡され、物理メモリに保存されます。

  • ファイル名とディレクトリ名は、単一のマウント全体のfnek(ファイル名暗号化キー)を使用します。暗号化された各ファイルのヘッダーには、別のマウント全体のfekek(ファイル暗号化キー、暗号化キー)でラップされたfek(ファイル暗号化キー)が含まれています。 Linuxカーネルのキーリングは、キーを管理し、一般的な暗号を介して暗号化を提供します。

  • ECryptfs PAM(Pluggable Authentication Module)を使用しても、通常のフルディスク暗号化ソリューションとは異なり、無人再起動が中断されることはありません。

  • ECryptfs階層化ファイルシステムは、ファイルごと、増分、暗号化されたバックアップを可能にします。

15
al-maisan

OPの要求に応じて、技術的にあまり回答しません。

Ubuntuのようなecryptfsを介した暗号化されたホームのセキュリティ上の利点:

  • 追加のパスワードやキーを記憶または入力する必要はありません。
  • ネットワークなどでコンピューターのセキュリティを強化しません。インターネット上で。
  • コンピューターが複数のユーザー間で共有されている場合、ファイルにアクセスする他のユーザーに対する追加の障壁を提供します。 (難しい技術的な議論。)
  • 攻撃者がコンピューターに物理的にアクセスした場合、たとえばノートブックを盗む、これはあなたのデータが泥棒に読まれないように保護します。 (コンピューターがオフの場合、パスワードなしでデータを読み取ることはできません。コンピューターの電源を入れてログインすると、泥棒がデータを盗む可能性がありますが、より高度な攻撃が必要になる可能性は低くなります。)
9
Jan

ホームフォルダーの暗号化について他に知っておくべきことは、ログインしていないときはホームフォルダー内のデータにアクセスできないことです。あなたがそれを見ている間、あなたがそれを見ていないときに失敗します。これはデバッグするのが非常にイライラします。

6
Neil Vandermeiden

実際のシステムのセキュリティは、ファイル、フォルダ、およびドキュメントのセキュリティによって決定されるものではありません...すべては、all索好きな目からそれらをわずかに安全にするだけです...

2
zkriesse