私のDebian テスト- システム、ホームフォルダを完全に隠したいです。これは、データを暗号化するだけでなく、暗号化されたデータから検証されないようにすべての(またはほとんどの)情報を除外したいという意味です。
たとえば、ファイル名も暗号化する必要があります。ただし、データ保護の専門家として、プライバシーのために他のファイル/フォルダ属性も暗号化する必要があるかもしれません。
私は考えた暗号化されたファイルシステムこれを達成するために(パッケージecryptfs-utils)
しかし、これは私のニーズに合った選択ですか?
また、Debianで暗号化されたホームフォルダを実装するためのステップバイステップの指示へのリンクも本当に感謝します!
[編集] 新しくインストールしたため、以前に暗号化されていないホームフォルダを移行する必要はありませんでした。
ベストアンサー1
Ecryptfsは暗号化された各ファイルをファイルに保存します(下のファイルの場所)暗号化されたファイルシステム用語)。ファイル名は暗号化されていますが、サブファイルのディレクトリ構造はペイロードファイルのディレクトリ構造と同じです。下位レベルのファイルのメタデータ(特に変更時間)は、ペイロードファイルのメタデータも表示します。サブファイルのサイズはペイロードのサイズよりわずかに大きいです(Ecryptfsメタデータのオーバーヘッドは固定されています)1。
自分のタスクを保存していて、攻撃者がすでにどのような種類のデータを持っているかをおおよそ知っている場合(「私はこれがソースツリーであることを既に知っており、これがスプレッドシートであることを知っています。知りたいです!」)質問。ただし、レイアウト(ディレクトリ構造、おおよそのサイズ、日付)で識別できるディレクトリツリーを保存する場合、Ecryptfsは適切なツールではありません。
ブロックデバイスレベルで暗号化を使用します。 Linuxはこれを提供しますDMパスワード。ディスク全体(ブートローダの小さな領域を除く)を暗号化したり、/home
他のパーティションを暗号化したりできます。ディスク全体を暗号化しないと、機密情報が他の場所、特にスワップ領域にある可能性があることに注意してください。暗号化されたデータがどこにある場合でも、スワップスペースを暗号化する必要があります。フルディスク暗号化を選択すると、コンピュータが自動的に起動できなくなり、キーボードでパスワードを入力する必要があります。
ブロックデバイス全体が暗号化されるため、ディスクを盗む攻撃者はファイルの内容とメタデータの場所を検出できません。暗号化された領域の先頭にあるヘッダーを除いて、コンテンツは任意のノイズと区別できません。攻撃者は暗号化されたデータの複数のスナップショットを見て、時間が経つにつれて個々のセクタがどのように進化するかを調べることによっていくつかの情報を得ることができますが、それでも興味深いものを見つけるのは難しく、後でデータの変更を中止した場合は適用されません。暗号文を見た場合(盗難にあったディスクの場合)
多くのディストリビューションでは、インストール中にdmcryptボリュームを作成したり、ディスク全体を暗号化したりする可能性があります。 「デスクトップ」または「基本」イメージの代わりに「詳細」または「サーバー」インストールイメージを選択する必要があるかもしれません。
dm-crypt ボリュームを操作するツールは次のとおりです。cryptsetup
。 dmcryptボリュームを作成するには、/dev/sdz9
パーティションを作成してから実行するcryptsetup luksFormat /dev/sdz9
必要があります。/etc/crypttab
;cryptsetup luksOpen
ライブボリュームアクティベーションの場合、またはcryptmount -a
設定が完了した後/etc/crypttab
。 Dm-cryptは暗号化レイヤーなので、暗号化されたボリュームにファイルシステムを作成する必要があります。
Ubuntuと共にインストールされた実行LUKSインストーラにBacktrack 5 r2をインストールします。dm-cryptを完全に手動で設定する方法のチュートリアルがあります。
1実験的に、デフォルト設定では、小さいファイルサイズはペイロードファイルサイズであり、4kBの倍数に8kBオーバーヘッドを加えた値に丸められます。