암호화 된 파티션은 얼마나 안전합니까? 구체적으로 특별히: 드라이브의 모든 내용이 암호화됩니까 (내 데이터

Ubuntu 16.04를 설치할 때 파일 시스템을 암호화하기로 선택했으며 이제 Ubuntu가 부팅되기 전에 비밀번호를 묻는 메시지가 표시됩니다.

콘텐츠가 얼마나 안전한지 궁금합니다. 구체적으로 특별히:

  • 드라이브의 모든 내용이 암호화됩니까 (내 데이터 포함)?

  • 이 암호화는 얼마나 강력합니까? (나는 그것이 시간과 자원과 내가 선택한 암호의 문제라는 것을 알고 있지만, 실제로 의미하는 것은 … 누군가가 내 현관을 통해 불도저를 할 수는 있지만 평균 도둑은 집). 예를 들어, 수리를 위해 랩톱을 보내거나 랩톱을 분실하거나 도난당한 경우 쉽게 액세스 할 수 있도록 암호를 해독하려고 시도 할 이유가없는 사람에 대해 걱정해야합니까? ( 여기에 비슷한 질문이 있었지만 꽤 오래 전에 상황이 바뀌었을 것입니까?)

  • 또한 암호화를 통해 (a) 암호화 된 파일 시스템이있는 SSD를 다른 장치에 설치하거나 (b) 드라이브의 전체 백업 (예 : 라이브 버전의 Ubuntu 사용) 및 특정 시점에서 그 백업을 복원?

  • 또한 전체 파일 시스템이 암호화 된 경우 우분투에서 내 홈 폴더를 암호화하는 데 가치가 있습니까?

답변

  • LUKS를 통해 새 시스템을 암호화하기로 선택한 경우 전체 시스템이 암호화됩니다. 여기에는 시스템 파일, 홈 폴더 (및 데이터) 및 스왑 파티션이 포함됩니다. 즉, 디스크 일시 중단 (일명 최대 절전 모드)을 사용할 수 있으며 여전히 전체 디스크 암호화의 모든 이점을 누릴 수 있습니다. 주석에서 지적했듯이 Ubuntu는 기본적으로 suspend-to-RAM을 사용합니다. Ubuntu가 디스크 일시 중단을 대신 사용하려면 help.ubuntu.com지침 을 따라야 만 제한된 수의 컴퓨터에서만 작동합니다.
  • 256 비트 AES 암호화는 가까운 미래에 충분히 강력 할 것입니다. 여기에서 암호화 스택 교환에 대해 논의한 바와 같이 , AES-256을 강제로 사용하는 것은 세계 GDP의 약 100 배에 달하는 비용을 발생시킬 수 있습니다. 128 비트 AES 암호화를 강제하는 경우에도 세계 GDP의 약 천 배가 걸립니다.
  • LUKS 키는 LUKS 헤더 (HDD / SSD 중 하나)와 암호 (헤드에 있음) 외에는 아무 것도 잠겨 있지 않습니다. 이를 통해 (a) 암호화되지 않은 시스템 디스크로 가능한 한 다른 시스템에서 사용할 수 있습니다. 즉 일반적인 시스템의 경우 완벽하게 작동해야합니다. (b)의 경우 예를 사용하여 전체 디스크 백업을 만들 수 dd있지만 이러한 이미지는 상당한 양으로 압축되지 않습니다. 이것은 암호문없이 암호화 된 데이터가 무작위 데이터와 구별 할 수 없기 때문입니다.
  • 여기에는 학문적 인 이점 만 있습니다. 즉 전체 디스크 암호화를 해제하기 위해 첫 번째 tredecillion world GDP를 사용한 후에 공격자는 암호화 된 홈 폴더로 들어가기 위해 다른 tredecillion world GDP가 필요합니다 (서로 다른 암호문 / 키 가정). 따라서 실제로 암호화를 256 비트에서 257 비트 키 길이로 강화합니다. 개인적으로, 부팅 후 암호를 다시 입력하지 않아도 디스크 암호화가 안전하다고 생각하기 때문에 전체 디스크 암호화 시스템에서 자동 로그인을 사용하기도합니다.

답변

  • 드라이브의 모든 것이 암호화되지는 않지만 데이터는 암호화됩니다.

    암호화되지 않은 부분은 /boot시작하는 동안 사용되는 영역입니다. 그로부터 흘러 나오는 몇 가지 흥미로운 결과는 여기 에서 찾을 수 있습니다 .

  • 다음을 실행하여 특정 설치의 암호 수준을 찾을 수 있습니다. 

    ls /dev/mapper/ |grep crypt

    결과는 YOUR_CRYPT입니다.

    cryptsetup status YOUR_CRYPT

    예: 

    ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.
type:    LUKS1
cipher:  aes-xts-plain64
keysize: 512 bits
device:  /dev/nvme0n1p4
offset:  4096 sectors
size:    499410944 sectors
mode:   read/write
flags:   discards

    암호화 등급은 Ubuntu에 설치했을 때와 사용중인 버전에 따라 다르지만 이전 설정조차 상당히 강력하며 일시적인 크래킹을 방지 할 수 있습니다. Ubuntu 블록 수준 암호화에 대한 적절한 토론 : Ubuntu의 기본 전체 디스크 암호화는 얼마나 안전합니까?

  • 다른 하드웨어에서 암호화 된 드라이브를 부팅해도 문제가되지 않습니다. 암호화 된 드라이브의 비트 단위 복사를 수행하는 경우에도 정상적으로 부팅하고 암호를 사용하여 로그인 할 수 있습니다. 복사 작업은 “오프라인”상태에서 수행해야합니다 (종료 후 드라이브를 마운트 해제 한 상태). 온라인 데이터 수집이 작동하지는 않지만 100 % 확실하지는 않습니다.

  • “홈 폴더”암호화는 “파일 내 홈 폴더”아이디어를 기반으로합니다. 시스템이 암호화되지 않고 파일 시스템이 마운트 된 경우 암호화 된 홈 디렉토리는 하나의 큰 파일이며 cryptsetup을 사용하여 암호화됩니다. 따라서 암호화 된 시스템 내에서 홈 폴더를 암호화하면 개인 파일을 얻는 데 어려움이 증가합니다. 그러나 성능 저하가있을 수 있습니다. 암호화 된 홈 에 대한 추가 정보

답변

간단한 간단한 답변 :

  1. 드라이브의 모든 내용이 암호화됩니까 (내 데이터 포함)? :

    • 예, 모두 암호화됩니다

  2. 이 암호화는 얼마나 강력합니까? :

    • 가장 약한 링크로 강한 강한 종료 .

  3. 또한 암호화를 통해 (a) 암호화 된 파일 시스템이있는 SSD를 다른 장치에 설치하거나 (b) 드라이브의 전체 백업 (예 : 라이브 버전의 Ubuntu 사용) 및 특정 시점에서 그 백업을 복원? :

    • 자신을 설득하기 위해 노력해야합니다. 암호를 잊어 버리고 데이터가 모두 사라졌습니다. 그러한 상황 후에 암호를 해독 한 사람을 알고 있다면 알려주십시오.

  4. 또한 전체 파일 시스템이 암호화 된 경우 우분투에서 내 홈 폴더를 암호화하는 데 가치가 있습니까? :

    • 시간 낭비, 필요하지 않습니다. 그러나 확인이 필요한 경우!

추가 정보:

해당 링크에서 내가 팔로우 한 링크를 인용했습니다.

이 이야기의 도덕? 전화기에 LUKS 파티션을 마운트 한 경우 누군가가 마스터 암호화 키를 얻는 것이 매우 쉽습니다. cryptsetup은 luksClose 작업 중에 램에서 키를 삭제 하므로 LUKS 드라이브를 사용할 때만 마운트 한 다음 완료되면 마운트를 해제하고 luksClose하는 것이 좋습니다 . 그렇지 않으면 엄청난 보안 허점이됩니다. 드라이브가 처음에 암호화되지 않은 것과 거의 같습니다.

안드로이드의 LUKS가 이러한 종류의 공격에 취약한 유일한 시스템은 아니라는 것을 언급하는 것이 적절할 것입니다. 사실상 모든 디스크 암호화 시스템은 암호화 키를 램에 저장합니다. 프린스턴 CITP 그룹은이 사실을 오래 전에 확인했습니다. 여기서 요점은 이와 같은 공격이 매우 쉽다는 것입니다!

자세한 내용굵은 체 섹션을 참고 하십시오 . 내가 말했듯이 당신이 당신의 물건을 처리하는 방식에 약하거나 부주의하면 문제를 기대합니다. 그는 당신이 그것을 사용하지 않을 때 항상 마운트 해제 또는 닫기 조언을 주었다.

답변