Hlavní navigace

Názor k článku Proč a jak na šifrování disků v Linuxu? od anonym - Aktuálně mám zašifrovaný /home. Udělal jsem to jednoduše...

Článek je starý, nové názory již nelze přidávat.

  • 22. 5. 2008 17:59

    bez přezdívky
    Aktuálně mám zašifrovaný /home. Udělal jsem to jednoduše při instalaci openSUSE 10.3 pomocí nástroje na rozdělení disku. Asi nic převratného. Mám sice zaheslovaný BIOS a vstup do GRUBu (nabídka je během bootu skrytá), ale pořád mi není jasné, jak moc je to bezpečné s ohledem na nešifrovaný /boot. Po přečtení tohoto nesmírně zajímavého článku (Děkuji!) jsem trochu znejistěl, neb jsem si uvědomil, že ani nevím, jakým algoritmem to SUSE šifruje. Hrůza.

    Pokud SUSE používá LUKS, můžete si nechat vypsat příslušné informace (šifra, šifrovací mód) z LUKS hlavičky:

    cryptsetup luksDump /dev/zarizeni

    Co se bezpečnosti týče, je třeba zvážit, před kým (a před čím) vlastně chcete data chránit. Pokud nepředpokládáte, že útočník bude expert na Linux a kryptoanalýzu, úplně stačí šifrovaný /home a swap. Pokud předpokládáte, že je útočník schopný linuxář a má opakovaný přístup k vašemu PC, zašifrujte kořenový souborový systém, umístěte /boot na flashdisk a noste ho při sobě.

    Možná se to objeví v budoucím díle seriálu, ale rád bych se zeptal, jak je na tom z hlediska bezpečnosti a vůbec použitelnosti výchozí šifrování distribucí. Je to nějak kloudně funkční metoda i pro neodborníka?

    Záleží na tom, co výchozí šifrování dané distribuce používá - dm-crypt, LUKS či něco jiného - a hlavně, jaké je výchozí nastavení takového řešení (popřípadě jaké jsou možnosti nastavení). Bohužel, tímhle jsem se v seriálu opravdu nezabýval. Nemohu tedy doporučit nic jiného než někde zjistit, jak to ve vaší distribuci vlastně je.

    A jak je to s tím /tmp? A swap? A co jsou ty jiné vrstvy, když musí člověk odevzdat šifrovací klíč?

    Pokud používáte tmpfs pro /tmp, nemusíte si dělat starosti, pokud máte na /tmp vyhrazen nějaký oddíl, je vhodné ho zašifrovat. Šifrovat swap určitě vhodné je, neboť se v něm mohou objevit data, se kterými pracujete, a to v nešifrované podobě. Jak na to, tomu se budu věnovat v příštím díle.

    Ehm... k těm jiným vrstvám... teď nevím, co jste tím myslel. A za poslední, nutnost odevzdat šifrovací klíče platí v Anglii, v ČR pokud vím nikoliv.