Linux - alapszintu HDD titkositas

Linux-security

Hello,
azon gondolkozom epp, hogy a notebookom SSD+HDD-jet letitkositanam. Igazabol semmi extrem fontos dolog nincs a gepen, csak a szemelyes dolgaim. Az en elkepzelesem az lenne, hogy egy viszonylag egyszeru titkositasi modszert alkalmaznek, ami cserebe gyors lenne (melyiket?). Szamomra eleg, hogy ha valaki ellopna, akkor ne jusson az adataimhoz erofeszites nelkul (annyira fontos adatok pedig _szerintem_ nem lesznek a notebookomon, hogy megerje nekik a gep feltoresevel szarakodni). Egy i5-3220M mobil processzoros geprol van szo (ebben ugye elvileg van hardveres AES-NI) 8GB rammal.

Van ertelme ennek az elkepzelesnek? LUKS-ra gondoltam aes-xts 256b-tel (cryptsetup benchmark alapjan) - esetleg a 128b-es meg gyorsabb lenne?

TL;DR - milyen teljes HDD-s titkositani modszert javasoltok, ami gyors es ad valamilyen szintu vedelmet?

  • 3253 megtekintés

( norbertkiss | 2016. 06. 13., h – 14:20 )

Sztem ezzel a hardverrel nem fogsz sok teljesítmény csökkenést érezni LUKS használatával. Én C2D-vel és 3GB RAM-mal használom, de én se érzek túl nagy különbséget. Nyugodtan használd a LUKS-ot!

( ssikiss | 2016. 06. 13., h – 14:44 )

A paranoidok szerint az US kormányzat erőfeszítés nélkül töri az AES-t (főleg az amcsi hardver által készítettet), úgyhogy én azt mondom hogy twofish vagy serpent. ;D

Neked, meg a többieknek is - akik komolyan veszik a kijelentésemet-, linkelem a szmájlit a sor végén. ;)
Az AESparázók kevesen vannak, létezésük nyomait hosszas keresés-kutatás után megtalálhatod az internet óceánjának távoli összesküvéselmélet gyártó zátonyai között.

( szilas | 2016. 06. 13., h – 16:36 )

Nyugodtan használhatod a LUKS-t. Én c2d-n még energiatakarékos módban (800MHz) sem érzem hogy lassítaná a gépet. A grub támogatja, így minden letitkosítható vele (boot/data/swap).

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

( bucko | 2016. 06. 13., h – 18:44 )

Miért nem kapcsolod fel a diszk titkosítását?

En is ezt hasznalom. A BIOS-ban altalaban HDD passwordkent szerepel a beallitas. Ez a jelszo az eszkozon van tarolva. Nekem Samsung SSD-m van, annak a manualja szerint ezzel a jelszoval beepitett HW titkositast kapcsolsz be magan a HDD/SSD-n, merheto teljesitmenycsokkenes nelkul. Link. A nyilvanvalo hatranya, hogy bekapcsolas utan nem tudod lockolni, csak ha kikapcsolod.

Ez azért ellenkezik az emberi jogokkal!
Miért állítod valakiről látatlanban azt, hogy hülye? ;)

Ha meg kicsit utánaolvasol, akkor kiderül a turpisság. A titkosításnak két szintje létezik. Van egy olyan lehetőség, amikor egy második jelszóval végrehajtható a Secure Erase parancs.
Ez utóbbi jelszót érdemes a szemhéjad belső felére tetováltatni! Akkor mindig szem előtt van. ;)

Második megoldásként olyan diszket kell választani, ami olcsóbb mint a védendő adatok! Ez az esetek többségében ez teljesülhet.

Komolyra fordítva a szót: Persze érdemes megvizsgálni, hogy a titkosítás megvalósítása a bios-ban pontosan milyen módon implementált.

Magam is felejtettem már el jelszót (nem HDD-jét), úgyhogy magamból indulok ki :)

A BIOS-ban semmilyen módon nincs implementálva, ott csak úgymond "unlockolni" lehet a diszket.
Szerintem jobb a LUKS megoldás, eleve opensource, a hardverben meg ki tudja, milyen az implementáció, másrészt meg ha elfelejted az unlock jelszót, akkor a diszket újrahasznosíhatod (nem mint elektronikai hulladék). Ez olyan, mint a fakeraid-mdadm, az előbbit eszembe nem jutna használni az utóbbi helyett.

A BIOS-ban semmilyen módon nincs implementálva, ott csak úgymond "unlockolni" lehet a diszket.
Ha nincs implementálva, akkor mit lehet unlockolni? :)
Gyors összefoglaló: Hard disk ATA Security
Persze többet is megtudsz, ha az ATA szabvány erre vonatkozó részét elolvasod.

A lényeg: Ha két szintű védelmet alkalmazol, akkor a user jelszóval ugyan elveszhetnek az adatok, de az administrator tudja törölni a diszket. Így nem kell kidobni.

Az implementáció. Van egy alaplapom, ahol adhatsz jelszót. De ha nem adtál, akkor a szerkezet kap egy Security Freeze Lock parancsot, ami után nem tudod használni a security parancsokat. Tehát ez a bios nem teszi leheővé a third party szoftverek használatát, amivel a két jelszavas titkosítást megvalósíthatnád.

A titkosítás tényleg nem. Innentől az a kérdés, hogy a diszk érti-e a süketnéma jelbeszédet? Ha igen, akkor elmutogathatod neki, mint Uri Geller: TITKOSÍCCS! :)
Ha ez nem jön össze, akkor valakinek csak ki kell adni azt az ATA paracsot, ami a diszk security funkcióit működésre készteti! (ez a bios)
HA. Elolvastad volna a belinkelt doksit, akkor értenéd.
A szervizekben azért állnak hegyekbe az elveszett jelszavú diszkek, mert csak egy szintet implementáltak a biosban.
Tehát implementáció alatt az alábbi ATA parancsok alkalmazásával kialakított lehetőséget értem. Azaz mennyire férsz hozzá a diszk security funkcióihoz.

Security Disable Password (F6h)
Security Erase Prepare (F3h)
Security Erase Unit (F4h)
Security Freeze Lock (F5h)
Security Set Password (F1h)
Security Unlock (F2h)

Az admin jelszó védettsége nem annyira lényeges. Ha az adatok védelme fontosabb, akkor az admin csak törölni tudja a diszket. Persze azért a tréfáskedvű haveroknak nem érdemes elárulni.