Konfigurowanie zaszyfrowanych woluminów z Podręcznika instalacji Ubuntu firmy OnWorks

Przejdź do treści

instalator Debiana umożliwia skonfigurowanie zaszyfrowanych partycji. Każdy plik, który zapiszesz na takiej partycji, jest natychmiast zapisywany na urządzeniu w postaci zaszyfrowanej. Dostęp do zaszyfrowanych danych następuje dopiero po wejściu w hasło używany podczas pierwotnego tworzenia zaszyfrowanej partycji. Ta funkcja jest przydatna do ochrony wrażliwych danych w przypadku kradzieży laptopa lub dysku twardego. Złodziej może uzyskać fizyczny dostęp do dysku twardego, ale bez znajomości prawidłowego hasła dane na dysku twardym będą wyglądać jak losowe znaki.

Dwie najważniejsze partycje do zaszyfrowania to: partycja domowa, w której znajdują się Twoje prywatne dane, oraz partycja wymiany, w której wrażliwe dane mogą być tymczasowo przechowywane podczas działania. Oczywiście nic nie stoi na przeszkodzie, aby zaszyfrować inne partycje, które mogą Cię zainteresować. Na przykład / var gdzie serwery baz danych, serwery pocztowe lub serwery druku przechowują swoje dane, lub / Tmp który jest używany przez różne programy do przechowywania potencjalnie interesujących plików tymczasowych. Niektórzy ludzie mogą nawet chcieć zaszyfrować cały swój system. Jedynym wyjątkiem jest /bagażnik partycję, która musi pozostać niezaszyfrowana, ponieważ obecnie nie ma możliwości załadowania jądra z zaszyfrowanej partycji.

Uwaga: Należy pamiętać, że wydajność zaszyfrowanych partycji będzie mniejsza niż niezaszyfrowanych, ponieważ dane muszą zostać odszyfrowane lub zaszyfrowane przy każdym odczycie lub zapisie. Wpływ na wydajność zależy od szybkości procesora, wybranego szyfru, długości klucza i tego, czy korzystasz z operacji kryptografii wspomaganej sprzętowo, czy nie.

Aby użyć szyfrowania, musisz utworzyć nową partycję, wybierając trochę wolnego miejsca w głównym menu partycjonowania. Inną opcją jest wybranie istniejącej partycji (np. zwykłej partycji, wolumenu logicznego LVM lub wolumenu RAID). w Ustawienia partycji menu, musisz wybrać wolumin fizyczny do szyfrowania na Użyj jako: opcja. Menu zostanie następnie zmienione i będzie zawierać kilka opcji kryptograficznych dla partycji.

Metoda szyfrowania obsługiwana przez instalator Debiana is dm-krypt (zawarte w nowszych jądrach Linuksa, umożliwiające obsługę woluminów fizycznych LVM).

Przyjrzyjmy się opcjom dostępnym po wybraniu szyfrowania przez Mapowanie urządzeń (dm-crypt). Jak zawsze: w razie wątpliwości użyj ustawień domyślnych, ponieważ zostały one starannie wybrane z myślą o bezpieczeństwie.

Szyfrowanie: AES

Ta opcja pozwala wybrać algorytm szyfrowania (szyfr), który posłuży do zaszyfrowania danych znajdujących się na partycji. instalator Debiana obecnie obsługuje następujące szyfry blokowe: AES, Blowfish, wąż, dwie ryby. Omówienie cech tych różnych algorytmów wykracza poza zakres tego dokumentu, jednakże w podjęciu decyzji może pomóc informacja, że w 2000 r. AES został wybrany przez Amerykański Narodowy Instytut Standardów i Technologii jako standardowy algorytm szyfrowania do ochrony poufnych informacji w XXI wieku.

Rozmiar klucza: 256

Tutaj możesz określić długość klucza szyfrującego. Większy rozmiar klucza ogólnie poprawia siłę szyfrowania. Z drugiej strony zwiększenie długości klucza zwykle ma negatywny wpływ na wydajność. Dostępne rozmiary kluczy różnią się w zależności od szyfru.

Algorytm IV: xts-zwykły64

Wektor inicjujący or IV Algorytm jest używany w kryptografii, aby zapewnić zastosowanie szyfru na tym samym czysty tekst dane z tym samym kluczem zawsze dają unikat tekst szyfrowany. Chodzi o to, aby uniemożliwić atakującemu wywnioskowanie informacji z powtarzających się wzorców w zaszyfrowanych danych.

Z dostarczonych alternatyw, wartość domyślna xts-zwykły64 jest obecnie najmniej podatny na znane ataki. Z pozostałych alternatyw korzystaj tylko wtedy, gdy chcesz zapewnić kompatybilność z wcześniej zainstalowanym systemem, który nie jest w stanie korzystać z nowszych algorytmów.

Klucz szyfrowania: Hasło

Tutaj możesz wybrać typ klucza szyfrowania dla tej partycji.

Hasło

Klucz szyfrowania zostanie obliczony6 na podstawie hasła, które będziesz mógł wprowadzić w dalszej części procesu.

Losowy klucz

Za każdym razem, gdy spróbujesz wyświetlić zaszyfrowaną partycję, na podstawie losowych danych zostanie wygenerowany nowy klucz szyfrowania. Innymi słowy: przy każdym wyłączeniu zawartość partycji zostanie utracona w miarę usuwania klucza z pamięci. (Oczywiście można spróbować odgadnąć klucz za pomocą ataku siłowego, ale jeśli algorytm szyfrowania nie ma nieznanej słabości, nie będzie to możliwe za naszego życia.)

Klucze losowe są przydatne w przypadku partycji wymiany, ponieważ nie trzeba zawracać sobie głowy zapamiętywaniem hasła ani usuwaniem poufnych informacji z partycji wymiany przed wyłączeniem komputera. Oznacza to jednak również, że to zrobisz nie móc korzystać z funkcji „wstrzymania na dysku” oferowanej przez nowsze jądra Linuksa, ponieważ odzyskanie zawieszonych danych zapisanych na partycji wymiany będzie niemożliwe (podczas kolejnego rozruchu).

6. Użycie hasła jako klucza oznacza obecnie, że partycja zostanie skonfigurowana przy użyciu LUKS (https://gitlab.com/cryptsetup/cryptsetup).

Kasowanie danych: tak

Określa, czy zawartość tej partycji powinna zostać nadpisana losowymi danymi przed skonfigurowaniem szyfrowania. Jest to zalecane, ponieważ w przeciwnym razie osoba atakująca mogłaby rozpoznać, które części partycji są używane, a które nie. Ponadto utrudni to odzyskanie wszelkich danych pozostałych z poprzednich instalacji7.

Po wybraniu żądanych parametrów zaszyfrowanych partycji wróć do głównego menu partycjonowania. Powinien teraz pojawić się nowy element menu o nazwie Skonfiguruj zaszyfrowane woluminy. Po jej wybraniu zostaniesz poproszony o potwierdzenie usunięcia danych na partycjach oznaczonych do usunięcia i ewentualnie inne działania takie jak zapisanie nowej tablicy partycji. W przypadku dużych partycji może to zająć trochę czasu.

Następnie zostaniesz poproszony o wprowadzenie hasła dla partycji skonfigurowanych do korzystania z takiego hasła. Dobre hasła powinny mieć więcej niż 8 znaków, być mieszanką liter, cyfr i innych znaków i nie powinny zawierać popularnych słów ze słownika ani informacji, które można łatwo z Tobą skojarzyć (takich jak daty urodzenia, hobby, imiona zwierząt domowych, imiona członków rodziny lub krewnych, itp.).

Ostrzeżenie

Przed wprowadzeniem jakichkolwiek haseł należy upewnić się, że klawiatura jest poprawnie skonfigurowana i generuje oczekiwane znaki. Jeśli nie masz pewności, możesz przełączyć się na drugą konsolę wirtualną i wpisać tekst w wierszu poleceń. Dzięki temu nie będziesz później zaskoczony, np. próbą wprowadzenia hasła przy użyciu układu klawiatury qwerty, podczas gdy podczas instalacji korzystałeś z układu azerty. Sytuacja ta może mieć kilka przyczyn. Być może podczas instalacji przełączyłeś się na inny układ klawiatury lub wybrany układ klawiatury mógł nie zostać jeszcze skonfigurowany podczas wprowadzania hasła dla głównego systemu plików.

Jeśli do tworzenia kluczy szyfrowania wybrano metody inne niż hasło, zostaną one wygenerowane teraz. Ponieważ jądro mogło nie zgromadzić wystarczającej ilości entropii na tak wczesnym etapie instalacji, proces może zająć dużo czasu. Możesz przyspieszyć ten proces, generując entropię: np. naciskając losowe klawisze lub przełączając się na powłokę na drugiej konsoli wirtualnej i generując ruch sieciowy i dyskowy (pobieranie niektórych plików, wprowadzanie dużych plików do / dev / nullitp.). Operacja ta zostanie powtórzona dla każdej szyfrowanej partycji.

Po powrocie do głównego menu partycjonowania wszystkie zaszyfrowane woluminy zobaczysz jako dodatkowe partycje, które można skonfigurować w taki sam sposób jak zwykłe partycje. Poniższy przykład pokazuje wolumin zaszyfrowany za pomocą dm-crypt.

Zaszyfrowany wolumin (sda2_krypt) - 115.1 GB narzędzie do mapowania urządzeń Linux

#1 115.1 GB F ext3

Nadszedł czas na przypisanie punktów podłączenia do woluminów i opcjonalnie zmianę typów systemów plików, jeśli ustawienia domyślne Ci nie odpowiadają.

Zwróć uwagę na identyfikatory w nawiasach (sda2_krypt w tym przypadku) oraz punkty podłączenia przypisane do każdego zaszyfrowanego woluminu. Informacje te będą potrzebne później podczas uruchamiania nowego systemu. Różnice między zwykłym procesem rozruchu a procesem rozruchu z szyfrowaniem zostaną omówione w dalszej części sekcji 7.2.

Kiedy już będziesz zadowolony ze schematu partycjonowania, kontynuuj instalację.