Apa cara termudah untuk mengenkripsi direktori? (di Ubuntu)

13

Apa cara termudah untuk mengenkripsi direktori pada sistem berbasis Ubuntu?

Katakanlah saya punya laptop yang menjalankan Ubuntu 10.04, dan saya punya beberapa dokumen yang harus disimpan dengan aman (jika saya kehilangan laptop).

Katakanlah semua dokumen ada dalam direktori yang disebut ~ / work /, dan tidak ada rahasia di luar direktori ini. Jadi tidak perlu mengenkripsi seluruh dir home.

Akan ada cara untuk mengunci / membuka kunci dir ini dari baris perintah.

Tampaknya ada beberapa cara untuk melakukan ini:

  • ecryptfs-utils
  • cryptsetup
  • truecrypt (namun bukan open source yang disetujui OSI)

Tetapi apa metode yang paling mudah dan dapat diandalkan?

Terima kasih, Johan


Perbarui : Pertanyaan terkait, tetapi tidak sama. Apa cara termudah untuk mengenkripsi semua file saya di ubuntu 10.04?

Johan
sumber
2
Siapa yang peduli jika Truecrypt tidak disetujui OSI? OSI yang disetujui tidak sama dengan perangkat lunak yang lebih baik. Truecrypt adalah yang terbaik di sekitar dan bahkan telah menggagalkan FBI dalam beberapa kasus.
TheLQ
3
Perangkat lunak yang menggunakan lisensi yang disetujui OSI terasa lebih aman.
Johan

Jawaban:

10

Ada tiga metode: mengatur volume terenkripsi pada partisi ( dm-crypt, dikonfigurasi dengan cryptsetup), mengatur file yang merupakan volume terenkripsi (truecrypt), mengatur direktori di mana setiap file dienkripsi secara terpisah ( ecryptfsatau encfs).

Menyiapkan volume terenkripsi memberikan sedikit lebih banyak kerahasiaan, karena metadata (ukuran, waktu modifikasi) file Anda tidak terlihat. Pada sisi negatifnya, ini kurang fleksibel (Anda harus memutuskan ukuran volume yang dienkripsi sebelumnya). The ecryptfs FAQ daftar beberapa perbedaan antara dua pendekatan.

Jika Anda memilih untuk mengenkripsi file per file, saya mengetahui dua opsi: ecryptfsdan encfs. Yang pertama menggunakan driver di-kernel sedangkan yang terakhir menggunakan FUSE. Ini mungkin memberikan ecryptfskeuntungan kecepatan; itu memberikan encfskeuntungan fleksibilitas karena tidak ada yang perlu dilakukan sebagai root. Manfaat yang mungkin dari ecryptfsadalah bahwa setelah Anda melakukan pengaturan awal, Anda dapat menggunakan kata sandi login sebagai kata sandi sistem file berkat pam_ecryptfsmodul ini.

Untuk penggunaan saya sendiri dalam situasi yang sama, saya memilih encfs, karena saya tidak melihat manfaat keamanan aktual untuk solusi lain sehingga kemudahan penggunaan adalah faktor penentu. Performa tidak menjadi masalah. Alur kerjanya sangat sederhana (jalankan pertama dari encfsmenciptakan filesystem):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Saya sarankan Anda juga mengenkripsi ruang swap Anda dan tempat di mana file rahasia sementara dapat ditulis, seperti /tmpdan /var/spool/cups(jika Anda mencetak file rahasia). Gunakan cryptsetupuntuk mengenkripsi partisi swap Anda. Cara termudah untuk berurusan /tmpadalah dengan menyimpannya dalam memori dengan memasangnya sebagai tmpfs(ini dapat memberikan sedikit manfaat kinerja dalam hal apa pun).

Gilles 'SANGAT berhenti menjadi jahat'
sumber
Saya tidak memikirkan / tmp, tetapi tmpfs memecahkan masalah ini dengan cara yang baik. Lakukan saja shutdown nyata: s.
Johan
1
Terima kasih sudah mengajar encfs! Ini fantastis!
user39559
1

Saya secara eksklusif menggunakan TrueCrypt untuk hal-hal seperti itu. Disetujui OSI atau tidak, saya merasa tidak pernah mengecewakan saya, dan saya-membutuhkan enkripsi beberapa kali.

easyegoism
sumber
1

Cara cepat dan mudah adalah dengan tardan compresskemudian bcrypt.

tar cfj safe-archive.tar.bz2 Direktori / 
bcrypt safe-archive.tar.bz2 
# akan menanyakan kata sandi 8 char dua kali untuk menguncinya.
# Tapi, ingatlah untuk menghapus Direktori Anda setelah ini,
rm -rf Directory / 
# Dan, saya harap Anda tidak lupa kata sandi, atau data Anda hilang!

Membuat safe-archive.tar.bz2.bfe- yang dapat Anda rename jika Anda merasa paranoid tentang hal itu.

Untuk membuka paket terenkripsi,

bcrypt safe-archive.tar.bz2.bf3 # Atau, apa pun sebutannya
tar xfj safe-archive.tar.bz2 
# Dan, direktori Anda sudah kembali!

Jika Anda siap menjadi lebih berantakan, saya sarankan truecrypt, dan buat volume terenkripsi.
Tapi, saya pikir itu tidak perlu untuk data reguler (seperti tidak terkait dengan keamanan nasional, katakanlah).

ps: perhatikan bahwa saya tidak menyarankan bcrypt lemah atau tidak mampu melakukan keamanan nasional dengan cara apa pun.


Balas komentar pada jawaban saya di atas.
Saya mencoba memberikan jawaban sederhana - dan, saya setuju bahwa pilihan saya untuk tidak menyarankan Truecrypt sebagai opsi pertama mungkin tidak sesuai untuk beberapa orang di sini.

Pertanyaannya menanyakan cara mudah untuk mengenkripsi direktori.
Ukuran keamanan saya di sini didasarkan pada dua hal,

  1. Apa yang ingin Anda amankan dan
  2. Dari siapa Anda ingin mengamankannya

Saya menilai ini sebagai tingkat 'paranoia' Anda.

Sekarang, tanpa mengatakan Truecrypt (atau metode serupa lainnya) lebih mahal, yang
ingin saya katakan adalah, urutan bcrypt yang dijalankan dalam tmpfs sudah cukup untuk penggunaan sehari-hari Anda hari ini
(tidak akan begitu, mungkin, dalam sekitar satu dekade, saya tebak, tapi ini benar-benar untuk saat ini).
Dan, saya juga berasumsi bahwa nilai data yang diamankan di sini tidak akan sebanding dengan upaya 'pemulihan' kelas mona-lisa.

Pertanyaan sederhana kemudian - apakah Anda mengharapkan seseorang mencoba mengambil laptop Anda yang sudah mati dan mencoba memulihkan data dari ruang RAM yang dingin?
Jika ya, Anda mungkin harus mempertimbangkan kembali perangkat keras dan perangkat lunak Anda, periksa ISP mana yang Anda hubungkan, siapa yang dapat mendengar penekanan tombol Anda, dan sebagainya.

ps: Saya suka Truecrypt dan menggunakannya. Kepatuhan OSI, atau kurangnya OSI, tidak terlalu penting. Dan, saya tidak panggung bcryptdan skema yang diusulkan di sini dalam persaingan untuk itu.

nik
sumber
2
Sementara saya memberikan jawaban +1, untuk paranoid yang benar-benar ada di antara kami ... tergantung pada nilai data Anda, ini bisa menjadi ide yang buruk. Pengguna harus menyadari bahwa metode ini jelas meninggalkan file direktori yang dihapus pada disk di mana mereka berpotensi dapat dipulihkan oleh "orang jahat". Lihat saja SU untuk "memulihkan file yang dihapus di Linux" untuk melihat seberapa aman itu ...
hotei
@hotei, ya, Truecryptakan mengatasi komplikasi semacam itu. Trik lain adalah menggunakan tmpfsmount pada RAM untuk bekerja dengan direktori terenkripsi - salin bfeke ramdisk, bekerja dengan itu di sana, mengenkripsi lagi dan menyimpan arsip terenkripsi kembali ke sistem file.
nik
2
Saya akan melangkah lebih jauh dari @hotei lakukan dan mengatakan bahwa ini sebenarnya tidak berkualitas sebagai enkripsi karena sangat mudah untuk memulihkan file (ada seluruh pasar yang didedikasikan untuk pemulihan file). Enkripsi harus berupa enkripsi. Ini hanya rasa enkripsi yang salah
TheLQ
2
@nik: Tidak hanya metode dalam jawaban Anda tidak aman seperti yang dijelaskan hotei, tetapi juga rawan kesalahan (bagaimana jika Anda lupa menghapus file yang didekripsi?). Bahkan proposal Anda menggunakan tmpfssangat berisiko: bagaimana jika Anda lupa untuk mengenkripsi ulang file dan kehilangan modifikasi Anda? bagaimana jika komputer macet (Anda akan kehilangan semua modifikasi Anda)? Ini juga tidak perlu rumit. Ada banyak cara aktual untuk memecahkan masalah ini menggunakan alat yang sesuai, cukup gunakan salah satunya.
Gilles 'SANGAT berhenti menjadi jahat'
1
@nik Ada pameran di universitas terdekat yang menunjukkan bahwa bahkan setelah satu jam RAM dimatikan, Anda masih bisa melihat gambar Mona Lisa yang dimuat ke dalam memori. Kecuali jika Anda me-reboot mesin segera setelah itu, sangat mudah untuk memulihkan data dari RAM. Truecrypt, IIRC, mengenkripsi RAM-nya.
digitxp
1

Jika Anda hanya khawatir kehilangan laptop Anda, Ubuntu ecryptfssudah siap untuk Anda.

Cukup pilih "direktori rumah terenkripsi" saat Anda membuat akun pengguna dan memberikannya kata sandi yang layak. Ini akan melindungi apa pun yang ada di dalam folder rumah Anda.

Ya, itu akan mengenkripsi lebih dari ~/work, tetapi mulus.

Untuk /tmpdigunakan tmpfs.

Pro:

  • Anda tidak perlu melakukan hal lain, Ubuntu melakukan segalanya untuk Anda.
  • Teman Anda dapat menggunakan komputer saat bepergian, mereka hanya akan memerlukan kata sandi jika mereka ingin mengakses file Anda.

Menipu:

  • Ada tempat lain di mana Anda membuat data kebocoran - Jawaban Gilles adalah yang paling lengkap (+1 untuknya).

Jadi, jika Anda tidak berpikir beberapa ahli forensik akan mencoba untuk mendapatkan data dari barang yang telah Anda cetak, ini cukup baik.

ecryptfsdapat mengenkripsi swap juga, tetapi saya sarankan Anda hanya menonaktifkan swap kecuali jika Anda telah kehabisan RAM. Hidup lebih baik tanpa swap. (atau jalankan ecryptfs-setup-swapdan ikuti instruksi untuk mengubah fstab)


Peringatan : Bagaimanapun, kecuali Anda baru saja mendapatkan laptop ini, sudah ada banyak hal yang ditulis ke hard disk Anda. Saya menemukan banyak barang di tambang saya dan tidak ada yang akan membersihkannya. Anda perlu membuat cadangan ke drive atau partisi lain, menimpa sistem file Anda saat ini dengan nol, dan mengembalikan file Anda (tentu saja, hanya mengembalikan file sensitif setelah enkripsi diatur).

pengguna39559
sumber
1

Cara termudah dan tercepat untuk mengatur ini adalah menginstal ecryptfs-utils dan cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Kemudian, setelah selesai, lihat di systray Anda. Anda akan melihat ikon dua tombol. Klik dan pilih Folder Terenkripsi Baru. Ketik nama dan klik tombol Maju (anehnya di kiri bawah, bukan kanan). Kemudian, ketikkan kata sandi yang Anda inginkan, konfirmasi ulang, dan klik Maju lagi, lalu OK.

Ini akan memasang folder terenkripsi dan Anda dapat menyalin file ke dalamnya. Setelah selesai, jika Anda keluar atau menghapus centang pada folder yang di-mount (klik ikon Keys di systray untuk melakukannya), itu akan memerlukan kata sandi lagi sebelum Anda memasangnya kembali.

Volomike
sumber