私のラップトップは現在 Windows と Fedora を実行していますが、近いうちに Arch Linux を唯一の OS としてインストールする予定です。現在のセットアップでは TrueCrypt によるディスク全体の暗号化を使用していますが、私にとっては不要かどうかわかりません。
/
、、/boot
および/home
のような、やや単純なパーティション スキームを使用する予定ですswap
。
私は、日常的な PC の使用、プログラミング、ローカル Web サーバーまたは仮想 Web サーバーでのテスト、オーディオ/ビデオの再生、オーディオの編集/録音などにラップトップを使用しています。
次の Arch のみのセットアップも暗号化したいのですが、ディスク全体をパーティション分割するか、ホーム パーティションのみをパーティション分割するか、それとも他のパーティション分割するか決めかねています。主に、紛失/盗難されたデータを保護するため、システムを暗号化したいと考えています。
LUKS を使用した dm-crypt が最良の選択だと考えていますが、確信はありません。
何を選択すべきですか、またその理由は何ですか?
答え1
ほとんどのシナリオでは、次の 3 つのスキームのいずれかが適切に機能します。
特に機密性の高いファイルのみを暗号化したい場合。
使用エンフ:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
利点: 機密でないファイルにアクセスするためのオーバーヘッドがない。異なるパスワードを持つ異なる階層を持つことができる。暗号化されたファイルの階層全体を別のマシンに簡単にコピーできる。encfs を使用するのに特別な権限は必要ない。
短所: 暗号化領域に明示的に配置されたファイルのみを暗号化します。大量のファイルを暗号化する場合は、ディスク レベルの暗号化よりも少し遅くなります。
ホームディレクトリ全体を暗号化したい。
使用暗号化。
長所と短所簡単に言うと、ecryptfs はログイン パスワードを使用してホーム ディレクトリを暗号化する場合に特に効果的です。これは、インストーラーにホーム ディレクトリを暗号化するように指示した場合に Ubuntu が使用する方法です。欠点の 1 つは、アカウントに SSH 接続するのが難しくなることです。SSH にキー認証を使用する場合、公開キーを暗号化された領域の外側に配置する必要があり、SSH 接続後にパスワードを入力する必要があるためです。
ディスク全体の暗号化。
使用dm-cryptを除くすべてを暗号化します/boot
。
利点: すべてが暗号化されているため、誤ってファイルを間違った場所に置く心配がありません。ブロックレベルの暗号化により、特にプロセッサに AES 用のハードウェア アクセラレータが搭載されている場合は、速度が向上します (AES-NI(x86 の場合)。
短所: 起動時にパスワードを入力する必要があるため、無人起動はできません。すべてが暗号化されるため、プロセッサが遅い場合は遅くなる可能性があります。
一般的な注意事項
ディスク全体を暗号化しない場合は、データの一時コピーがホーム ディレクトリの外に残る可能性があることに注意してください。最もわかりやすい例はスワップ領域です。したがって、泥棒がデータを読み取れないように暗号化を使用する場合は、必ず暗号化してください (dm-crypt を使用)。スワップ領域は起動のたびに再初期化されるため、ランダム キーを使用できます。この方法では、無人起動を実行できます (ただし、これによりハイバネーションは不可能になります)。
tmpfs の下に置きます/tmp
(とにかく良いアイデアです)。/tmp を別のボリュームに (安全に) 移動するにはどうすればよいですか?/tmp
tmpfs への移行方法については、こちらをご覧ください。
その他の危険領域としては、メール ドロップ ( /var/mail
) と印刷スプーラ ( /var/spool/cups
) があります。
答え2
luks は Linux カーネルに統合されており、すぐに使えるので、間違いなく luks を選ぶべきです。他のソリューションを使用するのは、特に をサポートしていないものもあるため、あまり意味がありませんAES-NI
。
何を暗号化するかについての議論については、/ を暗号化する理由は何ですか?しかし、あなたの偏執狂レベルとセキュリティのニーズによっては、暗号化だけで/home
十分な場合もあります。