Oprogramowanie > Bezpieczeństwo

Szyfrowanie dysku, VeraCrypt

(1/13) > >>

mark:
Witam serdecznie,

Jestem laikiem jeśli chodzi o kwestie Linuksowe, jednak w miarę wolnego czasu staram się czytać na ten temat i planuję w najbliższym czasie definitywną przesiadkę z Windowsa na Linuxa, w związku z planowanym zakupem nowego laptopa (kupię model bez systemu operacyjnego). Prawdopodobnie zdecyduję się później na postawienie Ubuntu, ale kwestia konkretnej dystrybucji jest na razie otwarta. Niestety, nie udało mi się nigdzie znaleźć wyczerpujących odpowiedzi na wszystkie nurtujące mnie pytania dotyczące szyfrowania dysku i szyfrowania całego systemu.

Obecnie używam Win7, a jako że prowadzę jednoosobową działalność gospodarczą i przechowuję na dysku wrażliwe dane klientów, to od dawna używałem programu VeraCrypt do szyfrowania całego dysku. Kiedyś stosowałem rozwiązanie polegające na wybraniu opcji "szyfrowanie całego dysku" i używałem jednego hasła przy rozruchu komputera, a ostatnio postanowiłem pójść dalej aby jeszcze bardziej się zabezpieczyć.

Mianowicie, obecnie podzieliłem dysk na 2 partycje, z czego na jednej jest zainstalowany tylko Win7 i programy, natomiast wszystkie wrażliwe pliki, dokumenty itp. trzymam na osobnej partycji. Partycja systemowa jest szyfrowana jednym hasłem (które wpisuję przy rozruchu, bez jego wpisania komp wygląda na zawieszony), natomiast partycja nr 2 z danymi i plikami jest szyfrowana osobnym hasłem i montuje się automatycznie dopiero przy logowaniu i po wpisaniu osobnego hasła. Czuję się bezpiecznie  8)

W związku z planowaną przesiadką na Linuxa pojawiają się następujące pytania:
- czy podobne rozwiązania będę mógł zastosować pod linuksem? (będzie to jedyny system na dysku, bez Windowsa),
- czy używając Linuksa da się zaszyfrować cały dysk tak jak leci?
- czy da się zaszyfrować dysk z Linuksem w ten sposób, żeby bez wpisania hasła przy rozruchu komputera system wyglądał na zawieszony? (chodzi mi o uzyskanie efektu takiego jak mam teraz).

Nie upieram się na korzystanie z VeraCrypt, choć wiem że istnieje wersja pod Linuksa. Może być jakikolwiek inny program, byle zapewniał podobny poziom szyfrowania i bezpieczeństwa.

Domyślam się, że odrębną partycję z plikami będę sobie mógł zaszyfrować, ewentualnie stworzyć jakiś monstrualny kontener i tam trzymać wrażliwe pliki. Ale chciałbym też mieć zaszyfrowany system operacyjny i wszystkie programy żeby nikt nie mógł uzyskać dostępu także do plików systemowych, danych logowania do kont pocztowych itp. W mojej opinii zwykłe hasło używane przy logowaniu do profilu (nie wiem czy dobrze to nazywam ale chyba wiadomo o co mi chodzi) nie jest odpowiednim zabezpieczeniem.

Będę wdzięczny za pomoc, pozdrawiam

TataPingu:

--- Cytat: mark w Grudzień 16, 2018, 06:39:46 pm ---- czy podobne rozwiązania będę mógł zastosować pod linuksem? (będzie to jedyny system na dysku, bez Windowsa),

--- Koniec cytatu ---

Tak


--- Cytat: mark w Grudzień 16, 2018, 06:39:46 pm ---- czy używając Linuksa da się zaszyfrować cały dysk tak jak leci?

--- Koniec cytatu ---


Tak
- zależnie od wybranego systemu, ale właściwie przy większości dystrybucji, podczas instalacji systemu  bądziesz pytany, czy chcesz zaszyfrować HDD



--- Cytat: mark w Grudzień 16, 2018, 06:39:46 pm ---- czy da się zaszyfrować dysk z Linuksem w ten sposób, żeby bez wpisania hasła przy rozruchu komputera system wyglądał na zawieszony? (chodzi mi o uzyskanie efektu takiego jak mam teraz).

--- Koniec cytatu ---

Nie wiem, jaki masz teraz "efekt" (nie używam szyfrowanej windy), ale coś podobnego można uzyskać na kilka sposobów...
- przecież możesz już w BIOSIE nastawić hasło, tak, że systemu wogóle nie da się bez niego wystartować...



--- Cytat: mark w Grudzień 16, 2018, 06:39:46 pm ---Nie upieram się na korzystanie z VeraCrypt, choć wiem że istnieje wersja pod Linuksa. Może być jakikolwiek inny program, byle zapewniał podobny poziom szyfrowania i bezpieczeństwa.

--- Koniec cytatu ---

Niezależnie od tego na jakie zabezpieczenia się zdecydujesz, na pewno OS linuks będzie (może być) o wiele bezpieczniejszym systemem..


--- Cytat: mark w Grudzień 16, 2018, 06:39:46 pm ---Domyślam się, że odrębną partycję z plikami będę sobie mógł zaszyfrować,.... itd

--- Koniec cytatu ---

Może być kilka sposobów, czy rozwiązań, właściwie, to można uzyskać wszystko, co się chce..
- w pierwszym rzędzie trzeba jedynie to doprecyzować...

Jak na razie, to nawet niewiemy na jaki linuks się zdecydujesz

mark:
Rozumiem, dziękuję za odpowiedź. Pozwól, że w takim razie zadam kolejne pytania  ;D

Szyfrowanie przy instalacji systemu (dystrybucji Linuksa). Na czym to dokładnie polega? Jest to szyfrowanie przy użyciu jakiegoś szyfru blokowego, np. typu AES lub Serpent  czy jak?

Obecnie "efekt" jaki mam na Win7 i o którym pisałem polega na tym, że VeraCrypt zaszyfrowało mi partycję systemową w całości. Jak odpalam laptopa to może pojawić się tylko migający "_" lub np. losowy tekst typu "system not found" i do czasu wpisania hasła nic nie wystartuje dalej.

Gwoli wyjaśnienia - zależy mi nie tylko na tym, żeby uruchomienie systemu było niemożliwe bez wpisania hasła, ale żeby jego odpalenie nawet po wyjęciu dysku z laptopa, podłączenia go do innej maszyny itp było niemożliwe. Aby nie było możliwe jakiekolwiek "obejście" zabezpieczenia z BIOSa i uzyskanie danych. Nie wiem czy dobrze się wysławiam.

Tak jak pisałem, kwestia wyboru konkretnej dystrybucji Linuksa jest na razie otwarta. Z tego co czytałem to najprawdopodobniej zdecyduję się na Ubuntu, ale jeśli ktoś mi napisze "koleś, jeśli głównie zależy Ci na bezpieczeństwie i szyfrowaniu to olej Ubuntu i bierz Fedorę" to nie ma problemu. Sprawa jest otwarta, między innymi dlatego założyłem ten temat.

Tak jak pisałem, jestem laikiem a zależy mi na maksymalnym bezpieczeństwie i świadomości, że wszystkie moje partycje i cały dysk wraz z systemem są niemożliwe do odszyfrowania po ewentualnej kradzieży laptopa (w granicach rozsądku, nie trzymam na laptopie kodów nuklearnych ale jednak nie chciałby żeby ktoś mi zarzucił kiedyś że niedostatecznie chroniłem wrażliwe dane swoich klientów <aluminiowa czapka mode on>).

Jeśli ktoś miałby jakieś publikacje/tutoriale/poradniki na temat szyfrowania dysków pod Linuksem to będę wdzięczny za podesłanie linku. Co, gdzie, jak i w jakim trybie szyfrować.

Jeśli są potrzebne jakiekolwiek dodatkowe informacje, to oczywiście wszystko uściślę i wyjaśnię. Liczę na pomoc forumowiczów w kwestii którą poruszyłem i będę wdzięczny za wszystkie wskazówki.

TataPingu:

--- Cytat: mark w Grudzień 17, 2018, 07:57:00 am ---Jeśli ktoś miałby jakieś publikacje/tutoriale/poradniki na temat szyfrowania dysków pod Linuksem to będę wdzięczny za podesłanie linku. Co, gdzie, jak i w jakim trybie szyfrować.

--- Koniec cytatu ---

No właśnie, to bardzo szeroki temat, nie sposób streścić tego w kilku zdaniach...
- ale widzę, że jesteś rozgarniętym człowiekiem, wiesz o co chodzi i czego ew. szukać.
Na pewno sobie poradzisz

Osobiście nie znam polskiej literatury, poradników itp. na ten temat (żyję poza Krajem), na pewno ktoś inny Ci poradzi. W sieci również znajdziesz sporo informacji na ten temat.

Jedno, co od razu Ci polecę, to np. wirtualne maszyny (np. VirtualBox). Na takich maszynach możesz spokojnie "poćwiczyć"

pavbaranov:
IMO - Z Twoimi założeniami sens ma:
1. Założenie hasła BIOS - teoretycznie taki komputer nie odpali się bez podania hasła BIOSu wcale. Nie ma znaczenia, czy będziesz chciał go odpalić z wewnętrznego dysku, CD/DVD-ROM, czy z jakiegokolwiek dysku zewnętrznego (np. pendrive).
2. Szyfrowanie jedynie partycji z danymi (czyli zasadniczo /home). Dlaczego? Bo szyfrowanie partycji, na której znajdują się pliki systemowe, programy itp., jeśli już ktoś odpalił system w ogóle (czyli przeszedł pkt. 1) nie ma sensu, bo wówczas można nawet taką zaszyfrowaną partycję systemową ominąć odpalając system z zewnętrznego OS. Nadto szyfrowanie zawsze w jakiś sposób jest narzutem na wydajność całego systemu. To, czy będziesz miał np. libreoffice na partycji zaszyfrowanej, czy nie - nie ma natomiast żadnego znaczenia.
3. Obowiązkowo niestosowanie tzw. automatycznego logowania - system po raz kolejny, zanim wejdziesz do niego przywita Cię prośbą o podanie hasła użytkownika.
4. Można jeszcze rozważyć, czy określone dokumenty, czy katalogi nie zabezpieczyć raz jeszcze stosując np. rozwiązania takie jak w Plasma pn. plasma-vault.
5. Każde ze stosowanych haseł - losowe i każde inne od poprzedniego.
6. Przechowywanie haseł w szyfrowanych plikach.
7. Brak sudoers.

Tak przygotowany dysk będzie niezmiernie trudny do złamania, albo trwać to będzie bardzo długo. Niemniej jednak niemal każde zabezpieczenie tego typu - niezależnie czy to Win7, czy to linux - jest do sforsowania. Kwestia jedynie niezbędnych nakładów (kosztów, czasu), w jakim jakieś narzędzie (inny komputer) będzie w stanie odkryć w jaki sposób informacje zostały zaszyfrowane.

Nawigacja

[0] Indeks wiadomości

[#] Następna strona

Idź do wersji pełnej