AbcLinuxu:/ Poradna / Linuxová poradna / Šifrování

Štítky: ano, bezpečnost, data, disk, Linux, mbr, Mint, otázky, PC, SSD, system, šifrování, tom, VeraCrypt, Windows, 500

Dotaz: Šifrování

3.5.2018 18:56 Petr Fiedler | skóre: 35 | blog: Poradna
Šifrování

Přečteno: 410×

Odpovědět | Admin

Zdravím,

čeká mě teď spousta šifrování a potřeboval bych s tím pomoci, protože s tím moc zkušeností nemám. Něco jsem o tom načetl, ale spíš to ve mě vyvolalo další otázky. Takže věc se má takhle:

V počítači mám 2 disky. SSD a plotnový.

sda (SSD):
sda1 500 MB Winloader
sda2 100 GB Windows 10
sda3 265 GB Data disk - mimo jiné obsahuje 30 GB VeraCrypt kontejner pro soukromá data
sda4 100 GB Linux Mint 18.3

sdb (plotnový):
sdb1 931 GB Zálohovací disk

Zkoušel jsem sda zašifrovat VeraCryptem, ale vadilo mu, že druhý systém (Linux) má zavaděč v MBR. Chtělo to, abych jej přesunul na sda4. Teď pár otázek:

1) Je lepší šifrovat sda1 a sda2 Veracryptem a sda4 zvlášť LUKSem s tím, že sda3 šifrováno nebude a bude na něm jen ten 30 GB VeraCrypt kontejner na soukromá data, nebo je lepší to zašifrovat celé? Pokud celé, tak čím? Chci denně zálohovat data na data disk. Jsou veřejná, takže data disk šifrovaný být nemusí. Citlivá data budou v tom kontejneru a ten se bude pokud v něm dojde ke změně zálohovat taky. Zálohy, které udělám Clonezillou (sda1, sda2, sda4) budu při vytváření šifrovat, takže sdb být šifrovaný nemusí.

2) Když je SSD plné dat, tak mu to prý škodí. Když bych celé SSD zašifroval, tak se jestli to správně chápu volné místo na něm zaplní náhodnými daty. Vadilo by to disku?

3) Chci s využitím WOL probouzet pc. Primárně bootuje Linux. Budu se moci vzdáleně přihlašovat, když bude disk šifrovaný? Pokud ano, šlo by nějak udělat, abych si volil systém?

Napadá mě více otázek, ale je na ně brzy. Počkám, až někdo zareaguje a uvidíme, jaký to nabere směr. Předem díky každému, kdo bude mít dost trpělivosti si to celé v klidu přečíst a zauvažuje nad tím a kdo bude tak laskavý, že mi s tím pomůže.

Zatím ...

PS: za pár dní kupuju nový ntb s 500 GB SSD a tam to budu mít rozděleno identicky, takže tam to pak budu aplikovat taky. Tam to bude obzvlášť třeba.

Nástroje: Začni sledovat (1) ?

Odpovědi

3.5.2018 19:44 NN
Rozbalit Rozbalit vše Re: Šifrování

Zbytecne komplikovane a] vyhodil bych windows b] na malou cast SSD system c] na plotnovem disku 3 partition mensi na sifrovany /home, mensi na sifrovana citliva data, zbytek na data. Vse luksem.

3.5.2018 20:30 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Šifrování

Windows vyhodit nemůžu.

3.5.2018 20:46 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Šifrování

A ještě se zeptám. Včera jsem na zive.cz četl, že v případě Windows nestačí mít zašifrovaný jen datový disk a systémový ne, protože "každy, komu se PC dostane do ruky může nastartovat libovolný LiveCD systém a přečíst si ze systemového disku cokoli - citlivé soubory zapomenuté v TEMPu, projde diskové sektory a obnoví smazané soubory, nainstaluje keylogger, ...". Když bych v případě Linuxu našifroval systémový disk, jen /home, tak tohle nehrozí? Myslím, že jo. Alespoň tedy může obnovit ta smazaná data.

3.5.2018 20:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Šifrování

Když bych celé SSD zašifroval, tak se jestli to správně chápu volné místo na něm zaplní náhodnými daty.

cryptsetup allow discard. Jsou pak vidět volné bloky, což podle mě v běžném použití ničemu nevadí.

3.5.2018 20:49 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Šifrování

Ahoj Jendo,

nějak nechápu, v čem je rozdíl, když útočník, který např. zcizí můj ntb uvidí/neuvidí volné bloky? Mohl bys mi to prosím vysvětlit?

3.5.2018 21:20 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Šifrování

Když nemáš zapnutý TRIM (defaultní stav) a zařízení správně inicializuješ (kompletní přepsání náhodnými daty), tak když někdo dostane do rukou šifrovaný disk a nebude znát heslo, tak uvidí plný disk náhodných dat. Jenže tahle konfigurace u SSD snižuje životnost a výkon.

Když TRIM zapneš a někdo dostane disk do rukou, uvidí, které bloky jsou volné. Z toho může usoudit například kolik % disku je zaplněno, jaký souborový systém používáš, a v některých speciálních případech (při nízké fragmentaci) odhadovat délku uložených souborů zaokrouhlenou na velikost bloku. Osobně mi první dvě nevadí a třetí by mohlo vadit pokud by někdo řešil, jestli máš tajný_soubor u kterého je známa velikost. Podle mě ale jakmile disk trochu používáš, tak se souborový systém fragmentuje, soubory se začnou objevovat na náhodných místech a nic zajímavého z toho už zjistit nelze.

3.5.2018 21:36 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Šifrování

Díky za vysvětlení. Souhlasím s tebou, že nevadí, když by někdo viděl volné bloky.

Když nemáš zapnutý TRIM (defaultní stav)

To myslíš v Linuxu, že jo? Někde jsem četl, že právě Windows 10 TRIM zapnutý defaultně mají.

3.5.2018 21:54 marbu | skóre: 31 | blog: hromada
Rozbalit Rozbalit vše Re: Šifrování

Btw kdyby tě to zajímalo víc, tak se podívej na blog od Milana Brože: TRIM & dm-crypt ... problems? .

There is no point in being so cool in a cold world.

3.5.2018 22:13 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Šifrování

Díky. Zatím jsem jen přelétl očima, ale vypadá to zajímavě. Určitě přečtu.

3.5.2018 23:20 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: Šifrování

A jak by to bylo, kdybych měl se zapnutým TRIMem zašifrovány sda1, sda2 a sda4 a data disk sda3 bych nešifroval? Měl by řadič disku kam TRIMovat (sda3), nebo by respektoval rozdělení disku a nepřekračoval by hranice systémových oddílů?

Založit nové vlákno • Nahoru

Tiskni Sdílej: