При установке мне предоставляется возможность зашифровать домашнюю папку - что это делает?


103
  • Делает ли шифрование моей домашней папки мой компьютер более безопасным?
  • Нужно ли вводить пароль больше, если моя домашняя папка зашифрована?
  • Что еще я должен знать о шифровании моей домашней папки?

Ответы:


95

Просто

  1. Шифрование вашей домашней папки на самом деле не делает ваш компьютер более безопасным - оно просто делает все файлы и папки в вашей домашней папке более защищенными от несанкционированного просмотра.
    • Ваш компьютер по-прежнему «уязвим» с точки зрения безопасности, но становится очень трудно украсть ваш контент (если у злоумышленника нет вашего пароля).
  2. Вам не нужно будет вводить пароль на самом деле больше, чем вы обычно делаете - когда вы входите в свой компьютер, ваши файлы легко расшифровываются только для вашего сеанса.
  3. Существует вероятность (в зависимости от аппаратного обеспечения вашего компьютера), что это повлияет на производительность вашего компьютера. Если вы беспокоитесь о производительности больше, чем о безопасности (и у вас более старая машина), вы можете отключить эту функцию.

технически

Ubuntu использует «eCryptfs», который хранит все данные в каталоге (в данном случае это домашние папки) в виде зашифрованных данных. Когда пользователь входит в систему, эта зашифрованная папка монтируется со вторым монтированием для дешифрования (это временное монтирование, которое работает подобно tmpfs - оно создается и запускается в ОЗУ, поэтому файлы никогда не хранятся в дешифрованном состоянии на HD). Идея такова: если ваш жесткий диск украден, а содержимое, прочитанное, эти элементы не могут быть прочитаны, поскольку Linux должен работать с вашей аутентификацией, чтобы создать успешное монтирование и дешифрование (ключи - это зашифрованные данные SHA-512, основанные на несколько пользовательских аспектов - ключи затем хранятся в вашем зашифрованном брелоке). Конечным результатом являются технически безопасные данные (до тех пор, пока ваш пароль не взломан и не утек).

Вам не нужно будет вводить пароль больше, чем обычно. Незначительное увеличение дискового ввода-вывода и ЦП, что (в зависимости от характеристик вашего компьютера) может снизить производительность - хотя на большинстве современных ПК это происходит без проблем


5
Марко, спасибо за ваш ответ, вы, кажется, отлично разбираетесь в шифровании домашних папок. Просто для удобства менее технических пользователей, можете ли вы сэкономить мне все технические детали и ответить на вопрос, как если бы я спрашивал, как компьютерный неграмотный пользователь?
Дэвид Сигел

2
Я исправил свой ответ, чтобы отразить более простую точку зрения
Марко Чеппи

1
Спасибо! (Хотя есть некоторые особенности форматирования)
Дэвид Сигел

11
Также обратите внимание, что если вы используете двойную загрузку, доступ к разделу Linux из вторичной ОС становится намного сложнее. В Windows я установил простой драйвер для чтения моего раздела EXT3, но теперь я заблокирован. Ой!
Йоно

2
plod: Вот где безопасность останавливается. Если у кого-то есть ваш пароль, значит игра окончена.
Марко Чеппи

15

Есть хорошая статья на эту тему, написанная самим разработчиком Ubuntu, пожалуйста, смотрите: http://www.linux-mag.com/id/7568/1/

Резюме:

  • Комбинация LUKS и dm-crypt используется для шифрования всего диска в Linux. Ubuntu использует криптографическую файловую систему предприятия (ECryptfs) версии> = 9.10, чтобы включить шифрование домашнего диска при входе в систему.

  • Создается верхний и нижний каталог, где верхний каталог хранится в незашифрованном виде в ОЗУ, предоставляя доступ к системе и текущему пользователю. В нижний каталог передаются атомарные, зашифрованные единицы данных и хранятся в физической памяти.

  • Имена файлов и каталогов используют один fnek (ключ шифрования имени файла). Заголовок каждого зашифрованного файла содержит fek (ключ шифрования файла), завернутый в отдельный fekek для всего монтирования (ключ шифрования файла, ключ шифрования). Брелок ядра Linux управляет ключами и обеспечивает шифрование с помощью обычных шифров.

  • Использование eCryptfs PAM (Pluggable Authentication Module) не нарушает автоматическую перезагрузку, в отличие от типичных решений для шифрования полного диска.

  • Многоуровневая файловая система eCryptfs позволяет создавать пошаговые зашифрованные резервные копии для каждого файла.


3
Можете ли вы превратить свой ответ, содержащий только ссылки, в более полезный, суммируя основные моменты, затронутые в этой статье?
ареколек

9

Менее технически отвечайте, как того требует OP.

Преимущества безопасности зашифрованного Home через ecryptfs, как в Ubuntu:

  • Не потребует запоминания или ввода дополнительных паролей или ключей.
  • Не делает ваш компьютер более безопасным в сети, например, в Интернете.
  • Если компьютер используется несколькими пользователями, это создает дополнительный барьер для доступа других пользователей к вашим файлам. (Сложное техническое обсуждение.)
  • Если злоумышленник получит физический доступ к вашему компьютеру, например похитит ваш ноутбук, это защитит ваши данные от чтения вором. (Если компьютер выключен, они не могут читать ваши данные без вашего пароля. Если компьютер включен и вы вошли в систему, вор может украсть ваши данные, но для этого потребуется более сложная атака, поэтому он менее вероятен.)

6

Что еще вы должны знать о шифровании вашей домашней папки, так это о том, что данные в ней недоступны, когда вы не вошли в систему. Если у вас есть какой-то автоматический или внешний процесс (например, crontab), который пытается получить доступ к этим данным, он будет отлично работать пока вы смотрите это, но потерпите неудачу, когда вы не смотрите это. Это очень неприятно для отладки.


2

Безопасность вашей действительной системы не определяется безопасностью ваших файлов, папок и документов ... все, что она делает, это делает их немного более защищенными от посторонних глаз ....

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.