Quiere un esquema de cifrado de disco Linux fácil de usar

En aras de proteger la información personal en caso de que una computadora portátil sea robada, estoy buscando la mejor manera de encriptar un sistema Linux.

Desventajas del cifrado de disco completo, incluido el intercambio:

• La solicitud de contraseña previa al inicio es un poco fea y sin pulir, y aparece oculta entre los mensajes de inicio (¿puede algo como Splashy manejar esto?)
• Necesita iniciar sesión dos veces (si tiene una pantalla de inicio de sesión GDM y necesita varios usuarios)

Desventajas del cifrado de carpetas individuales usando libpam-mount o similar:

• Solo la carpeta de inicio del usuario está encriptada (mientras que / etc, / var, etc. también pueden contener información confidencial).
• El archivo de intercambio no está encriptado, por lo que es probable que se filtren datos confidenciales allí
• No hay forma de hibernar de forma segura.

Estoy usando Debian Linux si es importante. No necesita ser ridículamente seguro, pero quiero estar tranquilo de que un ladrón no puede robar mi identidad, detalles de mi cuenta bancaria, inicios de sesión de VPN, etc. si me lo roban mientras está apagado / hibernando.

¿Conoces formas de resolver alguno de mis problemas anteriores?

Su problema es común: principalmente, el difícil equilibrio entre seguridad y usabilidad.

Mi sugerencia es usar una versión ligeramente modificada de un enfoque mixto:

• El uso de software multiplataforma como TrueCrypt prepara uno o más volúmenes cifrados para sus datos personales que NO utiliza diariamente (datos bancarios, contraseñas guardadas, registros médicos, etc.)
• La razón para usar más de un volumen es que es posible que desee hacer una copia de seguridad en diferentes medios, o usar diferentes esquemas de cifrado: por ejemplo, es posible que desee compartir sus registros de salud con otra persona y decirles su frase de contraseña (que debería ser diferente para el utilizado para otros volúmenes)
• El uso de un software multiplataforma "estándar" significa que podrá recuperar sus datos de otro sistema operativo sobre la marcha, si su computadora portátil es robada / dañada
• El cifrado de disco completo es a menudo engorroso y difícil. Aunque hay ataques para él (ver Evil Maid Attack , resulta útil si tienes miedo de lo que podría suceder si las personas tienen acceso a todo el sistema. Por ejemplo, si estás usando una computadora portátil de la compañía, no tienes acceso administrativo y hay claves VPN que no deben ser robadas
• las contraseñas en caché para correo / web / aplicaciones son otro problema: ¿tal vez desee cifrar solo su directorio de inicio? Para optimizar el rendimiento y la seguridad / usabilidad, podría:
  • cifrar todo el directorio de inicio
  • enlace suave a un directorio no encriptado en su sistema de archivos para datos que no le importa perder (música, video, etc.)

Nuevamente, no olvide que todo se reduce al valor de lo que tiene que perder, en comparación con el valor de su tiempo y costo de recuperación.

No cifro todo el disco duro, es demasiado de cosas de administración / administración.

Entonces uso dm-encrypt para crear una partición encriptada lógica.

Creé un guión a su alrededor, que uso a diario, para ver si te ayuda. Yo llamo a esto bajo .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Puede usar la unidad pend para almacenar claves de cifrado. Para una mejor seguridad, debe estar protegido con contraseña, pero no es necesario.

http://loop-aes.sourceforge.net/loop-AES.README mira el ejemplo 7.

Todavía soy relativamente nuevo en Linux, pero pensé que cuando instalabas el sistema había una forma de activar el cifrado de disco completo. Además, TrueCrypt tiene un paquete .deb.

Todavía no había usado el cifrado de disco en Linux, por lo que quizás estas opciones tengan problemas como los descritos anteriormente. En cuanto al inicio de sesión multiusuario, tal vez TrueCrypt se puede configurar para usar un archivo de clave en una unidad USB. De esa manera, todo lo que necesita es la computadora portátil y la unidad USB para acceder a los archivos de la computadora portátil.

Todavía estoy aprendiendo Linux, así que espero que esto ayude.

¿Qué te preocupa? ¿Qué vectores de ataque? Antes de tomar en serio la seguridad, debe tener respuestas a estas dos preguntas.

La "información personal" sugiere que está preocupado por cosas como el robo de identidad, espías casuales, etc. Algo como el software de llavero es suficiente para proteger los detalles de inicio de sesión bancario, etc., pero no es práctico para grandes cantidades de información.

Si tiene una gran cantidad de datos que desea proteger, información a la que no necesita un acceso rápido y por la que está dispuesto a pagar una pequeña cantidad recurrente, entonces el S4 de Amazon es una buena opción, eliminando por completo las preocupaciones sobre el físico acceso, de modo que la seguridad se reduce a la gestión de claves, que, una vez más, se resuelve adecuadamente mediante el software de llavero. Amazon no ve el contenido de lo que almacena de esta manera, sino solo el resultado cifrado. Por supuesto, esto significa que si te equivocas y pierdes las llaves, Amazon no puede ayudarte.

En el tercer caso, en el que desea un acceso relativamente rápido a una gran cantidad de datos, le recomiendo usar no todo el cifrado de disco, sino todo el cifrado de partición, según la sugerencia de chinmaya. El cifrado por directorio es una molestia, y no lo recomiendo: haga que el sistema de archivo haga el trabajo.