web-dev-qa-db-fra.com

Lors de l'installation, l'option de chiffrer mon dossier de départ est proposée - à quoi cela sert-il?

  • Le cryptage de mon dossier de départ rend-il mon ordinateur plus sécurisé?
  • Dois-je entrer davantage mon mot de passe si mon dossier personnel est crypté?
  • Que devrais-je savoir de plus sur le cryptage de mon dossier de départ?
system-installationencryptionecryptfs
103
David Siegel

simplement

  1. Le cryptage de votre dossier personnel ne renforce pas la sécurité de votre ordinateur: il protège simplement tous les fichiers et dossiers de votre dossier personnel contre toute consultation non autorisée.
    • Votre ordinateur est toujours "vulnérable" du point de vue de la sécurité - mais il devient très difficile pour votre contenu d'être volé (à moins que l'attaquant ne dispose de votre mot de passe).
  2. Vous n'aurez pas besoin de saisir votre mot de passe plus que d'habitude: lorsque vous vous connectez à votre ordinateur, vos fichiers sont déchiffrés de manière transparente pour votre session uniquement.
  3. Selon le matériel de votre ordinateur, il est possible que cela affecte les performances de votre ordinateur. Si vous êtes plus préoccupé par les performances que par la sécurité (et que vous êtes sur une machine plus ancienne), vous souhaiterez peut-être désactiver cette fonctionnalité.

techniquement

Ubuntu utilise "eCryptfs" qui stocke toutes les données d'un répertoire (en l'occurrence, les dossiers de base) sous forme de données cryptées. Lorsqu'un utilisateur est connecté, ce dossier crypté est monté avec un deuxième montage décrypté (il s’agit d’un montage temporaire fonctionnant de la même manière que tmpfs. Il est créé et exécuté dans RAM. Ainsi, les fichiers ne sont jamais stockés à l’état déchiffré. la HD). L'idée est la suivante: si votre disque dur est volé et que le contenu lu ne peut pas être lu, Linux doit s'exécuter avec votre authentification pour créer le montage et le décryptage réussis (les clés sont des données cryptées SHA-512 basées sur des plusieurs aspects utilisateur - les clés sont ensuite stockées dans votre jeu de clés crypté). Le résultat final est des données techniquement sécurisées (tant que votre mot de passe n'est pas déchiffré ou déchiffré).

Vous n'aurez pas à entrer votre mot de passe plus que d'habitude. Il y a une légère augmentation d'E/S de disque et de CPU qui (en fonction des spécifications de votre ordinateur) peut nuire aux performances - bien que ce soit assez transparent sur la plupart des PC modernes

95
Marco Ceppi

Il y a un article de Nice sur le sujet écrit par le développeur Ubuntu lui-même, veuillez consulter: http://www.linux-mag.com/id/7568/1/

Résumé:

  • Une combinaison de LUKS et de dm-crypt est utilisée pour le chiffrement de disque complet sous Linux. Ubuntu utilise le système ECryptfs (Enterprise Cryptographic File System) à partir de la version> = 9.10 pour activer le cryptage du lecteur personnel lors de la connexion.

  • Un répertoire supérieur et un répertoire inférieur sont créés. Le répertoire supérieur est stocké non chiffré dans la RAM, ce qui permet d’accéder au système et à l’utilisateur actuel. Le répertoire inférieur est transmis à des unités de données atomiques cryptées et stockées dans la mémoire physique.

  • Les noms de fichier et de répertoire utilisent un seul fnek (clé de cryptage de nom de fichier) pour l’ensemble du montage. L'en-tête de chaque fichier crypté contient un fek (clé de cryptage de fichier), entouré d'un fekek séparé (clé de cryptage de fichier, clé de cryptage). Le trousseau de clés du noyau Linux gère les clés et assure le chiffrement via ses chiffrements communs.

  • L'utilisation d'un eCryptfs PAM (module d'authentification enfichable) ne permet pas les redémarrages sans surveillance, contrairement aux solutions de chiffrement de disque complet classiques.

  • Le système de fichiers en couches eCryptfs permet des sauvegardes chiffrées, incrémentielles et incrémentielles.

15
al-maisan

Moins techniquement répondre à la demande de l'OP.

Avantages de la sécurité cryptée de Home via ecryptfs comme dans Ubuntu:

  • Aucun mot de passe ou clé supplémentaire ne sera nécessaire pour être mémorisé ou saisi.
  • Ne renforce pas la sécurité de votre ordinateur sur un réseau, par exemple sur Internet.
  • Si l'ordinateur est partagé entre plusieurs utilisateurs, constitue une barrière supplémentaire contre l'accès d'autres utilisateurs à vos fichiers. (Discussion technique difficile.)
  • Si un attaquant obtient un accès physique à votre ordinateur, par exemple, vole votre ordinateur portable, cela protégera vos données de la lecture par le voleur. (Si l'ordinateur est éteint, ils ne peuvent pas lire vos données sans votre mot de passe. Si l'ordinateur est allumé et que vous êtes connecté, il est possible qu'un voleur vole vos données, mais nécessite une attaque plus avancée, donc moins probable.)
9
Jan

Ce que vous devez également savoir sur le cryptage de votre dossier de départ, c'est que les données qu'il contient ne sont pas accessibles si vous n'êtes pas connecté. Si vous utilisez un processus externe ou automatisé (comme une crontab) qui tente d'accéder à ces données, tout fonctionnera bien. pendant que vous le regardez, mais échouez quand vous ne le regardez pas. C'est très frustrant de déboguer.

6
Neil Vandermeiden

La sécurité de votre système actuel n'est pas déterminée par la sécurité de vos fichiers, dossiers et documents ... elle les rend légèrement plus sûrs des regards indiscrets ....

2
zkriesse