web-dev-qa-db-ja.com

暗号化されたパーティションはどのくらい安全ですか?

Ubuntu 16.04をインストールするときに、ファイルシステムを暗号化することを選択し、Ubuntuが起動する前にパスワードの入力を求められます。

それが私のコンテンツをどれだけ安全にしているのだろうか?具体的には:

  • ドライブ上のすべてのもの(データを含む)は暗号化されていますか?

  • この暗号化はどれくらい強力ですか? (それは時間とリソースと私が選んだパスワードの問題だと知っていますが、私は実際の意味で...誰もが私の玄関からブルドーズすることができますが、平均的な泥棒はリソースや攻撃する傾向がありません家)。たとえば、ラップトップを修理のために送ったり、ラップトップを紛失したり盗まれたりした場合、差し迫った理由がないので簡単にアクセスして復号化しようとする人を心配する必要がありますか? (同様の質問が尋ねられたことを知っています here ですが、それはかなり前のことなので、おそらく状況は変わったのでしょうか?)

  • また、暗号化により、(a)暗号化されたファイルシステムを備えたSSDを別のデバイスにインストールしたり、(b)ドライブの完全なバックアップを作成したり(たとえば、Ubuntuのライブバージョンを使用)、ある時点でそのバックアップを復元しますか?

  • また、ファイルシステム全体が暗号化されている場合、Ubuntuのホームフォルダーも暗号化することに価値はありますか?

15
lithic
  • LUKSを介して新しいシステムを暗号化することを選択した場合、システム全体が暗号化されます。これには、システムファイル、ホームフォルダー(したがってデータ)、およびスワップパーティションが含まれます。つまり、ディスクへのサスペンド(別名、休止状態)を使用しても、ディスク全体の暗号化のすべての利点が得られます。コメントで指摘されているように、UbuntuはデフォルトでRAMへのサスペンドを使用します。 Ubuntuが代わりにディスクへのサスペンドを使用するには、 help.ubuntu.comの指示 に従う必要があります。これは明らかに、限られた数のマシンでのみ機能します。
  • 256ビットのAES暗号化は、近い将来に十分に強力である可能性があります。 暗号スタック交換の場合 で説明したように、AES-256を総当たりすると、世界のGDPの約100兆倍のコストがかかります。総当たり方式の128ビットAES暗号化でさえ、世界のGDPの約1000倍かかります。
  • LUKSキーは、LUKSヘッダー(HDD/SSDの1つ)とパスフレーズ(頭の中にある)以外にはロックされません。これにより、(a)暗号化されていないシステムディスクでも可能な限り、他のマシンで使用できます。つまり、一般的なシステムでは問題なく動作するはずです。 (b)に関しては、はい、ddを使用してディスク全体のバックアップを作成できますが、これらのイメージは大幅に圧縮されないことに注意してください。これは、暗号化されたデータがパスフレーズなしのランダムデータと見分けがつかないという性質によるものです。
  • これには学問的なメリットしかありません。つまり、ディスク暗号化を完全に破るために最初の数十億世界のGDPを消費した後、攻撃者はあなたの暗号化されたホームフォルダに入るために別の数十億世界のGDPを必要とします(異なるパスフレーズ/キーを想定)。したがって、実際には暗号化を256ビットから257ビットのキー長に強化します。個人的な注意として、ディスク暗号化は安全で、ブート後にパスワードを再入力する必要がないと考えているため、フルディスク暗号化マシンでも自動ログインを使用します。
17
hoe
  • ドライブ上のすべてが暗号化されているわけではありませんが、データは暗号化されています。

    暗号化されない部分は、/bootエリアです。これは、起動時に使用されるためです。それから流れる興味深い結果をいくつか見つけることができます here

  • 以下を実行することにより、特定のインストールの暗号強度を調べることができます

    ls /dev/mapper/ |grep crypt
    

    出力はYOUR_CRYPTになります

    cryptsetup status YOUR_CRYPT
    

    例:

    ls /dev/mapper/ |grep crypt
    nvme0n1p4_crypt
    Sudo cryptsetup status nvme0n1p4_crypt
    
    /dev/mapper/nvme0n1p4_crypt is active and is in use.   
    type:    LUKS1    
    cipher:  aes-xts-plain64   
    keysize: 512 bits   
    device:  /dev/nvme0n1p4     
    offset:  4096 sectors   
    size:    499410944 sectors   
    mode:   read/write   
    flags:   discards
    

    暗号化のグレードは、Ubuntuにインストールした時期と使用しているバージョンによって異なりますが、古いセットアップでもかなり強力であり、偶然のクラッキングに耐えることができます。 Ubuntuのブロックレベルの暗号化に関する良い議論: Ubuntuのデフォルトのフルディスク暗号化はどれくらい安全ですか?

  • 暗号化されたドライブを別のハードウェアで起動することは問題になりません。暗号化されたドライブのビット単位のコピーを実行する場合でも、通常どおりに起動し、パスワードを使用してログインできます。コピー操作は、「オフライン」中に実行する必要があります(シャットダウン後にドライブがマウント解除された状態)。オンラインのデータグラブは機能しそうにありませんが、100%確実ではありません。

  • 「ホームフォルダー」の暗号化は、「ファイル内のホームフォルダー」という考え方に基づいています。システムが暗号化されておらず、ファイルシステムがマウントされている場合、暗号化されたホームディレクトリは、cryptsetupを使用して暗号化された単一の大きなファイルになります。そのため、暗号化されたシステム内でホームフォルダーを暗号化すると、個人ファイルを取得するのが難しくなります。ただし、パフォーマンスのトレードオフがある場合があります。暗号化されたホーム の詳細

6
sergtech

短い簡単な答え:

  1. ドライブ上のすべてのものは暗号化されていますか(データを含む)?

    • はい、すべて暗号化されています
  2. この暗号化はどれくらい強力ですか?

    • 最も弱いリンクと同じくらい強いyoを終了します。
  3. また、暗号化により、(a)暗号化されたファイルシステムを含むSSDを別のデバイスにインストールすること、または(b)ドライブの完全なバックアップを作成すること(Ubuntuのライブバージョンを使用して、例えば)そして、ある時点でそのバックアップを復元しますか?

    • 自分を納得させるためにそれを試さなければなりません。パスワードを忘れると、データはすべて失われます。そのような状況の後にパスワードを解読できた人を知っている場合は、お知らせください。
  4. また、ファイルシステム全体が暗号化されている場合、Ubuntuのホームフォルダも暗号化することに何か価値がありますか?

    • 時間の無駄、する必要はありません。しかし、OKが必要な場合は!

詳しくは:

あなたが共有したリンクから、私がフォローしたリンクを引用します。

この物語の教訓は?電話機にLUKSパーティションがマウントされている場合、だれかがマスター暗号化キーを取得するのは非常に簡単です。 cryptsetupはluksClose操作中にramからキーを削除しますしたがって、使用中はLUKSドライブのみをマウントし、完了したらアンマウントしてluksCloseをアンマウントしてください。そうでなければ、それは大きなセキュリティホールになります。そもそもドライブが暗号化されていなかったようです。

ここで言及するのが適切なのは、Android上のLUKSがこの種の攻撃の影響を受ける唯一のシステムではないことです。実質的にすべてのディスク暗号化システムは、暗号化キーをRAMに保存します。プリンストンCITPグループは、かなり前にこの事実を特定しました。ここでの私のポイントは、このような攻撃は非常に簡単だということだけです!

boldセクション詳細に注意してください。私が言ったように、あなたがあなたの物を扱う方法であなたの弱いか不注意なら、トラブルを期待してください。彼は、あなたがそれを使わないときは常にアンマウントまたはクローズするアドバイスを与えました。

2
George Udosen