Οδηγός για full disk encryption στο Ubuntu

[Dimitris]

Kαι μια ερώτηση πιο απλοϊκή: ποιός ο λόγος να κρυπτογραφήσουμε όλο το δίσκο;

[Alexandros]

Kαι μια ερώτηση πιο απλοϊκή: ποιός ο λόγος να κρυπτογραφήσουμε όλο το δίσκο;

Για πολλούς λόγους:

1)Έτσι ώστε όταν στείλεις τον υπολογιστή σου για επισκευή να μην μάθει όλος ο κόσμος ότι βλέπεις τσόντες με πρόβατα (μπεεεεεεεεεεεε)

2)Επίσης να μην πάρουν όλα τα επαγγελματικά σου μυστικά και προσωπικές πληροφορίες, να μάθουν τις σελίδες που επισκέπτεσαι, να έχουν πρόσβαση στην αλληλογραφία σου (πράγμα που είναι δυνατό ακόμη και αν χρησιμοποιείς yahoo mail, gmail κλπ), να σου ρημάξουν τον τραπεζικό λογαριασμό αν χρησιμοποιείς web-banking. Αυτό μπορεί να γίνει ακόμη και αν τα συγκεκριμένα δεδομένα τα έχεις καταχωνιασμένα σε άλλο αποθηκευτικό μέσο χρησιμοποιώντας τεχνικές data recovery.

3)Να αποτρέψεις συναδέλφους/συγκατοίκους/συγγενείς/ανταγωνιστές/ζηλιάρα γκόμενα να σκαλίσουν τον υπολογιστή σου, να βάλουν keyloggers κλπ.

4)Για να μην στείλουν απειλητικά e-mail από το account σου.

5)Πολλά από τα πιο πάνω για την περίπτωση που χάσεις/σου κλέψουν τον υπολογιστή σου.

Γενικά οι δυνατότητες είναι άπειρες αρκεί να υπάρχει φαντασία και κυρίως καλή θέληση Πρέπει να θυμάσαι επίσης ότι παίρνοντας κάποιος προσωπικές/επαγγελματικές σου πληροφορίες και δεδομένα και χρησιμοποιόντας τεχνικές social engineering μπορεί να σου καταστρέψει την προσωπική/επαγγελματική ζωή πολύ πιο εύκολα απ' ο,τι φαντάζεσαι.

Φυσικά όλοι νομίζουμε ότι "αυτό δεν θα συμβεί σε εμένα", μέχρι που συμβαίνει. Αλλά τότε είναι πολύ αργά

[gourgi]

αν κατάλαβα καλά η ερώτηση του dimitris "ποιός ο λόγος να κρυπτογραφήσουμε όλο το δίσκο;" έχει να κάνει με την πλήρες κρυπτογράφηση όλου του δίσκου αφού οι ρυθμίσεις του χρήστη βρίσκονται στο /home.
όσα περιγράφεις παραπάνω είναι πιθανά σενάρια και αποδεκτοί λόγοι του γιατί να κρυπτογραφήσεις το /home αλλά ούτε εμένα με έπεισαν για κρυπτογράφηση ολόκληρου του δίσκου.

Παρατήρησες μείωση της απόδοσης του συστήματός σου μετά το full encryption ?
φαντάζομαι θα πρέπει να είναι αισθητά πιο αργό.

[kokeroulis]

Όταν εγκαταστώ ένα πρόγραμμα το πρόγραμμα που πάει?Τι εννοώ?Στα windows πάει μέσα στο φάκελο program files....Εδω που πάει?Και το πρόγραμμα cryptkeeper είναι καλό για κρυπτογράφιση?Επειδή εγώ αυτό έχω....

[Alexandros]

Παρατήρησες μείωση της απόδοσης του συστήματός σου μετά το full encryption ?
φαντάζομαι θα πρέπει να είναι αισθητά πιο αργό.

Έχω γράψει στην εισαγωγή:

Υπάρχει κόστος σε υπολογιστική ισχύ. Ανάλογα με το μηχάνημα σας αυτό μπορεί να είναι 3-5%. Να τονίσω πάντως ότι εγώ σε κανέναν υπολογιστή δεν διαπίστωσα την παραμικρή καθυστέρηση. Ουσιαστικά δηλαδή το όποιο κόστος σε υπολογιστική ισχύ είναι απλώς θεωρητικό.

Δεν έχω παρατηρήσει ΠΟΤΕ την παραμικρή καθυστέρηση στο σύστημα μου. Ούτε κανείς άλλος από αυτούς που γνωρίζω ότι την χρησιμοποιούν

Στόχος μου δεν είναι να πείσω κανέναν να κάνει full disk encryption στο σύστημα μου. Αυτό που πιστεύω είναι ότι αν δεν ξέρεις για ποιο λόγο μπορεί να χρειάζεσαι full disk encryption, τότε μάλλον δεν σου χρειάζεται.

Σε κάθε περίπτωση το ερώτημα είναι το εξής: Αν πάρει κάποιος τον υπολογιστή σου και αρχίζει να τον σκαλίζει, είναι δυνατόν να βρει πράγματα που δεν θα ήθελες; Αν ναι, τότε χρειάζεσαι πλήρη κρυπτογράφηση. Αν όχι, τότε μην μπεις στον κόπο.

Το cryptkeeper δεν το ξέρω. Προτείνω πάντα το TrueCrypt επειδή είναι το πιο διαδεδομένο, θεωρείται το πιο αξιόπιστο/ασφαλές απ' όλα και είναι πολύ απλό στη χρήση. Επίσης έχει το πλεονέκτημα ότι υπάρχει σε όλα τα λειτουργικά συστήματα. Οπότε μπορείς να κρυπτογραφήσεις κάτι σε παραθύρια και μετά να το χρησιμοποιείς σε Linux ή Mac και το αντίστροφο.

[logari81]

Όταν εγκαταστώ ένα πρόγραμμα το πρόγραμμα που πάει?Τι εννοώ?Στα windows πάει μέσα στο φάκελο program files....Εδω που πάει?..

αν και λιγο εκτος θεματος η ερωτηση σου, η λογική ειναι εντελώς διαφορετική απο τα windows, ενα προγραμμα δεν παει ολοκληρο σε εναν συγκεκριμενο καταλογο. Διαβασε το παρακάτω:
http://ktogias.wordpress.com/2008/03/17 ... ux-system/

[Dimitris]

αν κατάλαβα καλά η ερώτηση του dimitris "ποιός ο λόγος να κρυπτογραφήσουμε όλο το δίσκο;" έχει να κάνει με την πλήρες κρυπτογράφηση όλου του δίσκου αφού οι ρυθμίσεις του χρήστη βρίσκονται στο /home.
όσα περιγράφεις παραπάνω είναι πιθανά σενάρια και αποδεκτοί λόγοι του γιατί να κρυπτογραφήσεις το /home αλλά ούτε εμένα με έπεισαν για κρυπτογράφηση ολόκληρου του δίσκου.

Ακριβώς αυτή ήταν η απορία μου, ίσως να μην την εξέφρασα καλά. Γιατί χρειάζεται να κρυπτογραφήσουμε και το λειτουργικό;

[Alexandros]

αν κατάλαβα καλά η ερώτηση του dimitris "ποιός ο λόγος να κρυπτογραφήσουμε όλο το δίσκο;" έχει να κάνει με την πλήρες κρυπτογράφηση όλου του δίσκου αφού οι ρυθμίσεις του χρήστη βρίσκονται στο /home.
όσα περιγράφεις παραπάνω είναι πιθανά σενάρια και αποδεκτοί λόγοι του γιατί να κρυπτογραφήσεις το /home αλλά ούτε εμένα με έπεισαν για κρυπτογράφηση ολόκληρου του δίσκου.

Ακριβώς αυτή ήταν η απορία μου, ίσως να μην την εξέφρασα καλά. Γιατί χρειάζεται να κρυπτογραφήσουμε και το λειτουργικό;

Γιατί μέσω εργαλείων και μεθόδων data recovery μπορεί κανείς να πάρει πολλά στοιχεία από τον υπολογιστή σου και μέσω του λειτουργικού. Ακόμη και αν το αρχείο υπάρχει κάπου κρυπτογραφημένο, έχει αφήσει πολλά ίχνη στο υπόλοιπο σύστημα. Το ερώτημα είναι πάντοτε πόσο διατεθειμένος είναι να ασχοληθεί κάποιος.

Αντιγράφω από το Wikipedia:

Full disk encryption has several benefits compared to regular file or folder encryption, or encrypted vaults. The following are some benefits of full disk encryption:

-Nearly everything including the swap space and the temporary files is encrypted. Encrypting these files is important, as they can reveal important confidential data.

-With full disk encryption, the decision of which individual files to encrypt is not left up to users' discretion. This is important for situations in which users might not want or might forget to encrypt sensitive files.

-Immediate data destruction, as simply destroying the cryptography keys renders the contained data useless. However, if security towards future attacks is a concern, purging or physical destruction is advised.

Θα επιμείνω πάντως:

Αν δεν ξέρεις για ποιο λόγο μπορεί να χρειάζεσαι full disk encryption, τότε μάλλον δεν σου χρειάζεται.

[kokeroulis]

Υπάρχει κάποιος τρόπος έτσι ώστε να κάνουμε κρυπτογράφιση σε μερικά partitions χωρίς νατα διαγράψουμε?

[gourgi]

Παρατήρησες μείωση της απόδοσης του συστήματός σου μετά το full encryption ?
φαντάζομαι θα πρέπει να είναι αισθητά πιο αργό.

Έχω γράψει στην εισαγωγή:

Υπάρχει κόστος σε υπολογιστική ισχύ. Ανάλογα με το μηχάνημα σας αυτό μπορεί να είναι 3-5%. Να τονίσω πάντως ότι εγώ σε κανέναν υπολογιστή δεν διαπίστωσα την παραμικρή καθυστέρηση. Ουσιαστικά δηλαδή το όποιο κόστος σε υπολογιστική ισχύ είναι απλώς θεωρητικό.

Δεν έχω παρατηρήσει ΠΟΤΕ την παραμικρή καθυστέρηση στο σύστημα μου. Ούτε κανείς άλλος από αυτούς που γνωρίζω ότι την χρησιμοποιούν

ναί όντως μου ξέφυγε τα περί υπολογιστικής ισχύς.

Αυτό που πιστεύω είναι ότι αν δεν ξέρεις για ποιο λόγο μπορεί να χρειάζεσαι full disk encryption, τότε μάλλον δεν σου χρειάζεται.

εδώ πήγαινε η πειστικότητα που εξέφρασα παραπάνω, αν και έπρεπε να το πω αλλιώς.
μπορεί όντως να χρειάζομαι full disk encryption και να μην το ξέρω. προσπαθώ να καταλάβω τους λόγους που θα με οδηγήσουν εκεί.
πρόσφατα πήρα ένα netbook asus eee και σκέφτομαι σοβαρά να κρυπτογραφήσω μέρος ή ολόκληρη την εγκατάσταση που έχω εκεί.
προς το παρόν θέλω να κρυπτογραφήσω σίγουρα το /home μου , για τους λόγους που ανέφερες παραπάνω.
αλλά όντως χρειάζονται encryption και τα υπόλοιπα directories?

στο / βλέπω τα παρακάτω:

Κώδικας: Επιλογή όλων

bin dev initrd lib lost+found opt sbin tmp vmlinuz
boot etc lib32 media proc srv usr
cdrom home lib64 mnt root sys var

παραπάνω ανέφερες ότι τα προγράμματα αφήνουν και άλλα κατάλοιπα εκτός απο το ~/
φαντάζομαι εννοείς το swap και το /tmp. ίσως να κάνω encryption και στο /var και στο /root ή ακόμη και το /etc
τα αλλά χρειάζονται ; αφήνονται κατάλοιπα και εκεί από τα προγράμματα;
ίσως να αφήσω τα υπόλοιπα σε ξεχωριστό partition;

ρωτάω γιατί το έχεις ψάξει το θέμα και με ενδιαφέρει.

ελπίζω να μην έχουμε βγει εκτός θέματος και γεμίζουμε τσάμπα μυνήματα στο παρών thread.

και μερικές ακόμα ερωτήσεις , πιό πρακτικές :
1) γιατί χρησιμοποιείς dmcrypt; είναι θέμα αποτελεσματικότητας - ασφαλείας ;
στο ~/Private που εισήγαγε το ubuntu στο 8,10 χρησιμοποιείται truecrypt από όσο γνωρίζω. και ήταν αυτό που είχα σκοπό να βάλω στο netbook πριν δώ τον οδηγό σου.
2) υπάρχει τρόπος να ανακτήσουμε δεδομένα βάζοντας τον κρυπτογραφημένο σκληρό σε άλλο pc. εννοείται ότι θυμόμαστε το passwd
3) μήπως έχεις κάποια διαφορετικά settings να προτείνεις για κρυπτογράφηση σε netbook, εννοώ πιό ελαφρύ αλγόριθμο κρυπτογράφησης ή κάτι άλλο , δεδομένου ότι τα netbooks έχουν μόνο 1,6GHz CPU