Seberapa amankah partisi terenkripsi?

16

Saat menginstal Ubuntu 16.04 saya memilih untuk mengenkripsi sistem file, dan saya sekarang dimintai kata sandi sebelum Ubuntu akan boot.

Saya bertanya-tanya seberapa aman itu membuat konten saya? Secara khusus:

  • Apakah semua yang ada di drive terenkripsi (termasuk data saya)?

  • Seberapa kuat enkripsi ini? (Saya tahu, ini masalah waktu dan sumber daya dan kata sandi apa yang saya pilih, tetapi maksud saya dalam arti praktis ... siapa pun dapat melibas melalui pintu depan saya, tetapi pencuri rata-rata tidak memiliki sumber daya atau kecenderungan untuk membuat rumah). Misalnya, jika saya mengirim laptop untuk perbaikan, atau jika laptop saya hilang atau dicuri, apakah saya perlu khawatir tentang seseorang tanpa alasan yang mendesak untuk mencoba dan mendekripsi agar mendapatkan akses yang mudah? (Saya tahu pertanyaan serupa ditanyakan di sini , tapi itu beberapa waktu yang lalu jadi mungkin ada yang berubah?)

  • Juga, apakah enkripsi mencegah saya dari (a) menginstal SSD dengan sistem file terenkripsi ke perangkat yang berbeda atau (b) membuat cadangan lengkap drive (menggunakan versi live Ubuntu, misalnya) dan di beberapa titik memulihkan cadangan itu?

  • Juga, jika seluruh sistem file dienkripsi apakah ada nilai dalam mengenkripsi folder rumah saya di Ubuntu?

litik
sumber
Hanya pembaruan pada posting asli saya, karena pengalaman telah memberi saya jawaban untuk dua poin terakhir. Tidak, enkripsi tidak mencegah saya mengeluarkan seluruh hard drive dari sistem saya dan kemudian melepaskannya di mesin linux yang berbeda, meskipun itu adalah proses yang membosankan. Dan Ya, ada nilai juga dalam mengenkripsi folder rumah seseorang jika pengguna lain memiliki akun di sistem itu, karena mereka akan memiliki akses ke rumah secara default (lihat, misalnya, techrepublic.com/article/… )
lithic

Jawaban:

18
  • Jika Anda memilih untuk mengenkripsi sistem baru melalui LUKS, seluruh sistem dienkripsi. Ini termasuk file sistem Anda, folder rumah (dan dengan demikian data Anda), serta partisi swap. Ini artinya Anda dapat menggunakan suspend-to-disk (alias hibernate) dan masih memiliki semua manfaat enkripsi disk penuh. Seperti yang ditunjukkan dalam komentar, Ubuntu menggunakan suspend-to-RAM secara default. Agar Ubuntu dapat menggunakan suspend-to-disk, Anda harus mengikuti petunjuk di help.ubuntu.com yang tampaknya hanya berfungsi untuk sejumlah mesin yang terbatas.
  • Enkripsi 256 bit AES kemungkinan cukup kuat untuk masa mendatang. Seperti yang dibahas di sini di Cryptography Stack Exchange , kekerasan yang memaksa AES-256 akan menelan biaya 100 tredicillion kali dari PDB dunia - hal yang paling dekat dengan mustahil yang dapat Anda bayangkan. Bahkan dengan memaksa 128 bit enkripsi AES membutuhkan sekitar seribu kali PDB dunia.
  • Kunci LUKS tidak dikunci oleh apa pun kecuali header LUKS (yang merupakan HDD / SSD) dan frasa sandi Anda (yang ada di kepala Anda). Ini memungkinkan Anda untuk (a) menggunakannya di komputer lain, selama itu juga dimungkinkan dengan disk sistem yang tidak dienkripsi, yaitu untuk sistem yang umum seharusnya bekerja dengan sempurna. Adapun (b), ya, Anda dapat membuat cadangan seluruh disk dd, tetapi perlu diketahui bahwa gambar ini tidak akan memampatkan jumlah yang signifikan. Ini karena sifat data terenkripsi yang tidak dapat dibedakan dari data acak tanpa frasa sandi.
  • Hanya ada manfaat akademis untuk ini, yaitu setelah mengkonsumsi tredecillion GDP dunia pertama untuk memecahkan Anda enkripsi disk penuh, penyerang akan membutuhkan tredecillion GDP dunia lain untuk juga masuk ke folder home terenkripsi Anda (dengan asumsi frasa sandi / kunci berbeda). Jadi itu benar-benar memperkuat enkripsi Anda dari 256 bit ke 257 bit panjang kunci. Pada catatan pribadi, saya bahkan menggunakan login otomatis pada mesin enkripsi disk penuh, karena saya menganggap enkripsi disk cukup aman untuk tidak memerlukan kata sandi yang akan dimasukkan lagi setelah boot.
cangkul
sumber
1
Perlu dicatat bahwa secara default Ubuntu menggunakan suspend-to-ram, dan bukan suspend-to-disk - yang pertama benar-benar mengalahkan objek enkripsi disk penuh. Tangguhkan ke disk, yaitu hibernate, harus diaktifkan secara khusus sesuai help.ubuntu.com/14.04/ubuntu-help/power-hibernate.html
Andrew Marshall
1
Ini adalah jawaban yang bagus, AFAIK, tetapi saya punya satu koreksi kecil: Untuk mem-boot, sesuatu pada disk harus dibiarkan tidak terenkripsi. Untuk instalasi Ubuntu, ini biasanya boot loader (GRUB, secara default) dan /bootpartisi yang tidak terenkripsi menampung kernel, mencocokkan file in -rd, konfigurasi GRUB dan file pendukung, dan beberapa peluang dan tujuan lainnya. File-file ini tidak sensitif (mereka semua adalah bagian dari Ubuntu, kecuali untuk file konfigurasi), jadi mereka tidak menjadi perhatian utama; tetapi mereka akan mengidentifikasi komputer sebagai menjalankan Ubuntu.
Rod Smith
@RodSmith Benar, tetapi apakah memang ada perbedaan (dalam bahasa, bukan dalam istilah teknis) antara drive dan volume? Saya terus menggunakannya secara bergantian, meskipun saya tahu lebih baik.
jpaugh
6
  • Tidak semua yang ada di drive Anda dienkripsi, tetapi data Anda.

    Bagian yang tidak dienkripsi adalah /bootarea Anda , seperti yang digunakan saat startup. Beberapa konsekuensi menarik yang mengalir dari itu dapat ditemukan di sini .

  • Anda dapat mengetahui kekuatan cypher instalasi spesifik Anda dengan menjalankan

    ls /dev/mapper/ |grep crypt
    

    Outputnya adalah YOUR_CRYPT

    cryptsetup status YOUR_CRYPT
    

    Contoh:

    ls /dev/mapper/ |grep crypt
    nvme0n1p4_crypt
    sudo cryptsetup status nvme0n1p4_crypt
    
    /dev/mapper/nvme0n1p4_crypt is active and is in use.   
    type:    LUKS1    
    cipher:  aes-xts-plain64   
    keysize: 512 bits   
    device:  /dev/nvme0n1p4     
    offset:  4096 sectors   
    size:    499410944 sectors   
    mode:   read/write   
    flags:   discards
    

    Tingkat enkripsi Anda akan bervariasi berdasarkan pada saat Anda menginstal pada Ubuntu dan versi mana yang Anda gunakan, tetapi bahkan pengaturan yang lebih lama akan cukup kuat, dan kemungkinan tahan terhadap cracking biasa. Diskusi yang bagus tentang enkripsi tingkat blok Ubuntu: Seberapa amankah enkripsi cakram penuh default Ubuntu?

  • Boot drive terenkripsi Anda pada perangkat keras yang berbeda tidak akan menjadi masalah. Jika Anda melakukan copy sedikit-sedikit dari drive terenkripsi Anda, Anda masih bisa mem-bootnya seperti biasa, dan login ke dalamnya menggunakan kata sandi Anda. Operasi penyalinan harus dilakukan ketika "offline" (dengan drive dilepas, setelah dimatikan). Pengambilan data online tidak akan berhasil, tapi saya tidak 100% yakin.

  • Enkripsi "Home Folder" didasarkan pada gagasan "homefolder-in-a-file". Jika sistem tidak dienkripsi, dan sistem file akan dipasang, direktori home terenkripsi akan menjadi file besar tunggal, dienkripsi menggunakan cryptsetup. Dengan demikian mengenkripsi folder rumah Anda dalam sistem terenkripsi akan meningkatkan kesulitan mendapatkan file pribadi Anda. Namun mungkin ada trade-off kinerja. Lebih lanjut tentang rumah terenkripsi.

sergtech
sumber
2

Jawaban sederhana singkat:

  1. Apakah semua yang ada di drive terenkripsi (termasuk data saya)? :

    • Ya semua dienkripsi
  2. Seberapa kuat enkripsi ini? :

    • Berhentilah sekuat tautan terlemah Anda .
  3. Juga, apakah enkripsi mencegah saya dari (a) memasang SSD dengan sistem file terenkripsi ke perangkat yang berbeda atau (b) membuat cadangan lengkap drive (menggunakan versi live Ubuntu, misalnya) dan di beberapa titik memulihkan cadangan itu? :

    • Anda harus mencobanya untuk meyakinkan diri sendiri. Lupakan kata sandi dan semua data Anda hilang, jika Anda tahu orang yang dapat memecahkannya setelah situasi seperti itu, beri tahu saya.
  4. Juga, jika seluruh sistem file dienkripsi apakah ada nilai dalam mengenkripsi folder rumah saya di Ubuntu? :

    • Buang-buang waktu, tidak perlu. Tetapi jika Anda perlu OK!

Informasi lebih lanjut:

Dari tautan yang Anda bagikan saya kutip tautan yang saya ikuti:

Moral dari cerita ini? Jika Anda memiliki partisi LUKS yang terpasang pada ponsel Anda, sangat mudah bagi seseorang untuk mendapatkan kunci enkripsi utama. cryptsetup tidak menghapus kunci dari ram selama operasi luksClose, jadi rekomendasi saya adalah hanya me-mount drive LUKS Anda ketika Anda menggunakannya dan kemudian unmount dan luksTutup itu ketika Anda selesai . Kalau tidak, itu akan menjadi lubang keamanan besar. Hampir seperti drive Anda tidak dienkripsi di tempat pertama.

Mungkin tepat untuk disebutkan di sini bahwa LUKS di Android bukan satu-satunya sistem yang rentan terhadap serangan semacam ini. Secara virtual, semua sistem enkripsi disk menyimpan kunci enkripsi dalam ram. Kelompok CITP Princeton mengidentifikasi fakta ini sejak lama. Maksud saya di sini adalah hanya bahwa serangan seperti ini sangat mudah dilakukan!

Perhatikan tebal bagian informasi lebih lanjut . Seperti yang saya katakan Jika Anda lemah atau ceroboh dalam cara Anda menangani barang-barang Anda maka akan ada masalah. Dia memberi saran selalu meng-unmount atau menutup ketika Anda tidak menggunakannya.

George Udosen
sumber
Tidak yakin kapan "setelah digunakan" akan untuk enkripsi seluruh disk atau folder rumah. Apakah intinya "ketika terbuka, terbuka"? Jika demikian, tentu saja. Saya pikir kami mencoba melindungi dari pencurian, yang untuk desktop biasanya melibatkan gangguan daya. Tidak yakin apa yang terjadi dengan laptop dalam kasus itu ...
Greg Bell