Dotaz: Šifrování disku pomocí LUKS nebo TrueCrypt

Zdravím. Chtěl bych se zeptat na pár věcí ohledně šifrování disku.

1) Čím šifrovat? TrueCryptem nebo dm-cryptem, případně LUKS?Nepotřebuju žádné klíče na flash disku, případně více klíčů, stačí mi jediný který zadám při bootu, taky jsem nikde nenašel, jak truecrpyt oddíl přidat do /etc/fstab

2) Jde nějak zajistit, aby při suspend to RAM se oddíl odpojil a klíč se smazal z RAM? Často notebook jen uspávám tak aby nebyl náchylný na prolomení.

3) Co je výkonější/Bezpečnější? TrueCrypt nebo dm-crypt? Mám Core 2 Duo 2GHz

1) Není to tak jednoduché, jako že by stačilo přidat oddíl do /etc/fstab. Musí se vytvořit initramdisk, který pokud jsem to dobře pochopil vytvoří takovou maličkou distribuci, která naběhne po startu , připojí flash disk s klíčem, za pomoci klíče rozšifruje a namapuje oddíl a potom nachrootuje do systému. Podívej se na nějaký konkrétní nácod spojený s tvou distribucí (třeba debian to umí v základním instalátoru)

2) O5 se podívej na konkrétní distribuci, ale teoreticky by v tom neměl být problém. Otázkou je, jak ti to pomůže. Suspend je kvuli tomu, aby byl pohotový. Nové rozšifrování disku to celé komplikuje. Myslím, že by stačila nutnost zadat heslo nebo se jinak ověřit po obnovení ze suspendu.

3) Zkus tohle, Není to profesionální, ale jako orientační hodnoty proč ne. http://shadow.cz/wiki/seminarky/otfe

Osobně používám LUKS, protože Gentoo z licenčních důvodů TrueCrypt přestalo podporovat, něco podobného se dá očekávat i u ostatních distribucí popř. dojde ke změně názvu balíku. S LUKSem nemám žádné problémy, klíč mám na usb a při bootu se mi připojí partišna (home). Nemám to v fstabu, ale ve scriptu zvlášť. Nevšiml jsem si nějakého rozdílu ve výkonu - C2D 1,5GHz, 1GB RAM, notebook. Co se týče suspendu, myslím si, že to nepůjde, protože pokud máš například šifrovaný /home a jsi přihlášený, máš otevřené určité aplikace, tak nepůjde home odmountovat.
Script k nahlédnutí zde:

mount -t vfat /dev/sdb1 /mnt/key -o ro
cryptsetup luksOpen /dev/sda3 luks -d /mnt/key/luks.key
mount /dev/mapper/luks /home
umount /mnt/key

ad 1) Zasadni otazka, zda je pozadovan pouze pristup z Linux a co sifrovat. Pokud se neprovozuje dualboot ci disk neprenasi mezi platformami, volil bych jednoznacne dm-crypt s rozsirenim LUKS. Pokud je pozadovano kryptovani i korenoveho oddilu a swapu (/boot nelze a musi byt na separatni particii), tak zde ani jina moznost neni nez dm-crypt.

V ostatnich pripadech ta druha moznost.

 

ad 2) Tak to nejspise nepujde, ale treba mne nekdo fundovanejsi opravi.

 

ad 3) Odhaduji, ze v nejhorsim pripade budou hodnoty srovnatelne, v tom lepsim bude mit dm-crypt diky nativni implemenataci navrh (ve vykonu). Ale popravde, bude nekolik procent rozhodujicich a vyvazi to instalaci dalsiho sw a sledovani jeho security updatu? Bezpecnost nedokazi posoudit. Vliv na ni vsak bude mit zvolena konfigurace (delka klice, algortimus, ...)