Ingin skema enkripsi disk Linux yang mudah digunakan

Demi melindungi informasi pribadi seandainya laptop dicuri, saya mencari cara terbaik untuk mengenkripsi sistem Linux.

Kerugian dari enkripsi seluruh disk termasuk swap:

• Prompt kata sandi prompt agak jelek dan tidak terpoles, tampak tersembunyi di antara pesan-pesan boot (dapatkah sesuatu seperti Splashy menangani ini?)
• Harus masuk dua kali (jika Anda memiliki layar login GDM dan membutuhkan banyak pengguna)

Kerugian enkripsi folder individual menggunakan libpam-mount atau serupa:

• Hanya folder beranda pengguna yang dienkripsi (sedangkan / etc, / var dll mungkin mengandung informasi sensitif juga).
• File swap tidak dienkripsi, sehingga kemungkinan terjadi kebocoran data sensitif di sana
• Tidak ada cara untuk hibernasi dengan aman.

Saya menggunakan Linux Debian jika itu penting. Tidak perlu aman sekali, tetapi ingin ketenangan pikiran bahwa pencuri tidak dapat mencuri identitas saya, detail rekening bank, login VPN dll. Jika dicuri saat mati / berhibernasi.

Apakah Anda tahu cara untuk menyelesaikan masalah saya di atas?

Masalah Anda adalah masalah umum: terutama, keseimbangan sulit antara keamanan dan kegunaan.

Saran saya adalah menggunakan versi pendekatan campuran yang sedikit dimodifikasi:

• menggunakan perangkat lunak lintas platform seperti TrueCrypt menyiapkan satu atau lebih volume terenkripsi untuk data pribadi Anda yang TIDAK Anda gunakan setiap hari (perincian bank, kata sandi yang disimpan, catatan medis, dll)
• alasan untuk menggunakan lebih dari satu volume adalah bahwa Anda mungkin ingin mencadangkannya di media yang berbeda, atau menggunakan skema enkripsi yang berbeda: misalnya, Anda mungkin ingin berbagi catatan kesehatan Anda dengan orang lain dan memberi tahu mereka kata sandi Anda (yang seharusnya berbeda untuk yang digunakan untuk volume lainnya)
• menggunakan perangkat lunak lintas-platform "standar" berarti Anda dapat memulihkan data dari OS lain saat bepergian, jika laptop Anda dicuri / rusak
• enkripsi seluruh disk seringkali rumit dan sulit. Meskipun ada serangan untuk itu (lihat Serangan Pembantu Jahat itu ternyata berguna jika Anda takut apa yang bisa terjadi jika orang memiliki akses ke seluruh sistem. Misalnya, jika Anda menggunakan laptop perusahaan, tidak ada akses administratif dan ada kunci VPN yang tidak boleh dicuri
• kata sandi yang di-cache untuk mail / web / aplikasi adalah masalah lain: mungkin Anda mungkin ingin mengenkripsi hanya direktori home Anda? Untuk mengoptimalkan kinerja dan keamanan / kegunaan, Anda dapat:
  • mengenkripsi semua dir rumah
  • softlink ke direktori yang tidak dienkripsi pada sistem file Anda untuk data yang Anda tidak ingin kehilangan (musik, video, dll)

Sekali lagi, jangan lupa bahwa semuanya bermuara pada nilai dari apa yang Anda harus kehilangan, dibandingkan dengan nilai waktu dan biaya pemulihan Anda.

Saya tidak mengenkripsi seluruh hard drive, terlalu banyak hal admin / manajemen.

Jadi saya menggunakan enkripsi-dm untuk membuat partisi terenkripsi yang logis.

Saya membuat skrip di sekitarnya, yang saya gunakan setiap hari, lihat apakah itu membantu Anda. Saya menyebutnya di bawah .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Anda dapat menggunakan pend drive untuk menyimpan kunci enkripsi. Untuk keamanan terbaik itu harus dilindungi kata sandi tetapi tidak harus.

http://loop-aes.sourceforge.net/loop-AES.README lihat contoh 7.

Saya masih relatif baru di Linux, tetapi saya pikir ketika Anda menginstal sistem, ada cara untuk mengaktifkan enkripsi seluruh disk. Juga, TrueCrypt memiliki paket .deb.

Saya belum menggunakan enkripsi disk di Linux, jadi mungkin opsi ini memiliki masalah seperti yang Anda jelaskan di atas. Sejauh multiuser logon, mungkin TrueCrypt dapat diatur untuk menggunakan file kunci pada drive USB. Dengan begitu semua yang Anda butuhkan adalah laptop dan drive USB untuk mengakses file di laptop.

Saya sendiri masih belajar Linux, jadi saya harap ini bisa membantu.

Apa yang kau khawatirkan? Apa yang menyerang vektor? Sebelum Anda serius tentang keamanan, Anda harus memiliki jawaban untuk dua pertanyaan ini.

"Info pribadi" menunjukkan bahwa Anda khawatir tentang hal-hal seperti pencurian identitas, pengintai biasa, & c. Sesuatu seperti perangkat lunak gantungan kunci sudah cukup untuk melindungi detail login bank, & c, tetapi tidak praktis untuk sejumlah besar informasi.

Jika Anda memiliki banyak data yang ingin Anda lindungi, informasi yang tidak perlu Anda akses dengan cepat, dan Anda bersedia membayar sedikit secara gratis, maka Amazon S4 adalah pilihan yang baik, benar-benar menghilangkan kekhawatiran tentang fisik akses, sehingga keamanan dikurangi menjadi manajemen kunci, yang, sekali lagi, dipecahkan secara memadai oleh perangkat lunak gantungan kunci. Amazon tidak melihat konten dari apa yang Anda simpan dengan cara ini, tetapi hanya hasil terenkripsi. Tentu saja ini berarti bahwa jika Anda mengacaukan dan kehilangan kunci, Amazon tidak dapat membantu Anda.

Dalam kasus kasus ketiga, di mana Anda ingin akses yang relatif cepat ke sejumlah besar data, saya sarankan tidak menggunakan enkripsi seluruh disk, tetapi enkripsi seluruh partisi, sesuai saran chinmaya. Enkripsi per direktori adalah gangguan, dan saya tidak merekomendasikannya: dapatkan sistem pengarsipan untuk melakukan pekerjaan.