Ao instalar, tenho a opção de criptografar minha pasta pessoal - o que isso faz?


103
  • Criptografar minha pasta pessoal torna meu computador mais seguro?
  • Preciso digitar minha senha mais se minha pasta pessoal estiver criptografada?
  • O que mais devo saber sobre criptografar minha pasta pessoal?

Respostas:


95

Simplesmente

  1. Criptografar sua pasta pessoal não torna seu computador mais seguro - ele simplesmente torna todos os arquivos e pastas da sua pasta pessoal mais seguros contra a exibição não autorizada.
    • Seu computador ainda está "vulnerável" do ponto de vista de segurança - mas fica muito difícil roubar seu conteúdo (a menos que o invasor tenha sua senha).
  2. Na verdade, você não precisará digitar sua senha mais do que normalmente - quando você faz login no seu computador, seus arquivos são descriptografados sem interrupções apenas para a sua sessão.
  3. Existe a possibilidade (dependendo do hardware do seu computador) de afetar o desempenho da sua máquina. Se você está preocupado com o desempenho mais do que com a segurança (e você está em uma máquina mais antiga), convém desativar esse recurso.

Tecnicamente

O Ubuntu usa "eCryptfs", que armazena todos os dados em um diretório (neste caso, as pastas iniciais) como dados criptografados. Quando um usuário está conectado, a pasta criptografada é montada com a segunda montagem de descriptografia (esta é uma montagem temporária que funciona de maneira semelhante ao tmpfs - é criada e executada na RAM para que os arquivos nunca sejam armazenados em um estado descriptografado no HD). A idéia é - se o seu disco rígido for roubado e o conteúdo lido, esses itens não poderão ser lidos, pois o Linux precisa estar executando com sua autenticação para criar a montagem e descriptografia bem-sucedidas (as chaves são dados criptografados SHA-512 com base em vários aspectos do usuário - as chaves são armazenadas no seu conjunto de chaves criptografadas). O resultado final são dados tecnicamente seguros (desde que sua senha não seja quebrada ou vazada).

Você não precisará digitar sua senha mais do que o habitual. Há um ligeiro aumento de E / S de disco e CPU que (dependendo das especificações do seu computador) podem prejudicar o desempenho - embora seja bastante transparente na maioria dos PCs modernos


5
Marco, obrigado por sua resposta, você parece ter uma excelente compreensão da criptografia de pastas pessoais. Apenas para o benefício de usuários menos técnicos, você pode me poupar de todos os detalhes técnicos e responder à pergunta como se eu estivesse perguntando como usuário analfabeto do computador?
David Siegel

2

1
Obrigado! (Existem algumas peculiaridades de formatação, embora)
David Siegel

11
Observe também que, se você fizer a inicialização dupla, torna mais difícil o acesso à partição Linux a partir do sistema operacional secundário. No Windows, eu havia instalado um driver simples para ler minha partição EXT3, mas agora estou bloqueado. Oi!
Jono 29/07

2
plod: É aí que a segurança para. Se alguém tiver sua senha, o jogo terminará.
Marco Ceppi

15

Há um bom artigo sobre o tópico escrito pelo próprio desenvolvedor do Ubuntu, consulte: http://www.linux-mag.com/id/7568/1/

Resumo:

  • Uma combinação de LUKS e dm-crypt é usada para criptografia de disco inteiro no Linux. O Ubuntu usa o sistema de arquivos criptográficos corporativos (ECryptfs) da versão> = 9.10 para ativar a criptografia da unidade doméstica no login.

  • Um diretório superior e inferior são criados, onde o diretório superior é armazenado sem criptografia na RAM, concedendo acesso ao sistema e ao usuário atual. O diretório inferior passa por unidades atômicas e criptografadas de dados e armazenado na memória física.

  • Os nomes de arquivos e diretórios usam um único fnek (chave de criptografia de nome de arquivo). O cabeçalho de cada arquivo criptografado contém um fek (chave de criptografia de arquivo), empacotado com um fekek separado para toda a montagem (chave de criptografia de arquivo, chave de criptografia). O chaveiro do kernel Linux gerencia chaves e fornece criptografia por meio de suas cifras comuns.

  • O uso de um eCryptfs PAM (Módulo de autenticação conectável) não interrompe reinicializações autônomas, ao contrário das soluções típicas de criptografia de disco completo.

  • O sistema de arquivos em camadas eCryptfs permite backups por arquivo, incrementais e criptografados.


3
Você pode transformar sua resposta somente de link em uma mais útil, resumindo os principais pontos mencionados nesse artigo?
arekolek

9

Responda menos tecnicamente conforme solicitado pelo OP.

Benefícios de segurança do Home criptografado via ecryptfs como no Ubuntu:

  • Não exigirá que senhas ou chaves adicionais sejam lembradas ou inseridas.
  • Não torna seu computador mais seguro em uma rede, por exemplo, na internet.
  • Se o computador for compartilhado entre vários usuários, fornecerá uma barreira adicional contra outros usuários acessando seus arquivos. (Discussão técnica difícil.)
  • Se um invasor obtém acesso físico ao seu computador, por exemplo, rouba seu notebook, isso protege seus dados de serem lidos pelo ladrão. (Se o computador estiver desligado, eles não poderão ler seus dados sem a sua senha. Se o computador estiver ligado e você estiver conectado, é possível que um ladrão roube seus dados, mas requer um ataque mais avançado, portanto, é menos provável.)

6

O que mais você deve saber sobre criptografar sua pasta pessoal é que os dados nela não são acessíveis quando você não está conectado. Se você tiver algum processo automático ou externo (como um crontab) que tente acessar esses dados, ele funcionará muito bem. enquanto estiver assistindo, mas falhe quando não estiver assistindo. Isso é muito frustrante para depurar.


2

A segurança do seu sistema real não é determinada pela segurança dos seus arquivos, pastas e documentos ... tudo o que faz é torná-los um pouco mais seguros contra olhares indiscretos ....

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.