为了在笔记本电脑被盗时保护个人信息,我正在寻找加密 Linux 系统的最佳方法。
包括交换在内的整个磁盘加密的缺点:
- 预启动密码提示有点丑陋和粗糙,隐藏在启动消息中(像 Splashy 这样的程序可以处理这个问题吗?)
- 需要登录两次(如果您有 GDM 登录屏幕并且需要多个用户)
使用 libpam-mount 或类似程序对单个文件夹进行加密的缺点:
- 只有用户的主文件夹是加密的(而 /etc、/var 等也可能包含敏感信息)。
- 交换文件未加密,因此其中的敏感数据可能会泄露
- 没有办法安全地冬眠。
如果有必要,我会使用 Debian Linux。不需要特别安全,但我希望在关机/休眠时窃取信息,这样小偷就无法窃取我的身份、银行账户信息、VPN 登录信息等,这样我就可以安心了。
您知道如何解决我上述的任何问题吗?
答案1
您的问题很常见:主要是安全性和可用性之间的难以平衡。
我的建议是使用稍微修改过的混合方法:
- 使用 TrueCrypt 等跨平台软件为您不日常使用的个人数据(银行详细信息、已保存的密码、医疗记录等)准备一个或多个加密卷
- 使用多个卷的原因是您可能希望在不同的媒体上备份它们,或者使用不同的加密方案:例如,您可能希望与其他人共享您的健康记录并告诉他们您的密码(该密码应该与其他卷使用的密码不同)
- 使用“标准”跨平台软件意味着如果您的笔记本电脑被盗或损坏,您将能够即时从另一个操作系统恢复数据
- 全盘加密通常很麻烦且困难。尽管存在针对它的攻击(参见邪恶女仆袭击如果你担心如果人们接触到所有的系统。例如,如果你使用的是公司笔记本电脑,没有管理权限,并且有不会被盗的 VPN 密钥
- 邮件/网页/应用程序的缓存密码是另一个问题:也许您可能只想加密主目录?为了优化性能和安全性/可用性,您可以:
- 加密所有主目录
- 软链接到文件系统上的非加密目录,用于保存您不担心丢失的数据(音乐、视频等)
再说一遍,请不要忘记,一切都归结于你所损失的价值与你所花费的时间和恢复成本的价值。
答案2
我不会加密整个硬盘,因为这需要太多的管理工作。
所以我使用 dm-encrypt 来创建一个逻辑加密分区。
我为此创建了一个脚本,我每天都会用到它,看看它是否对你有帮助。我在 .bashrc 下调用它
答案3
您可以使用 pend 驱动器来存储加密密钥。为了获得最佳安全性,它应该受密码保护,但这不是必须的。
答案4
你担心什么?有哪些攻击媒介?在认真考虑安全问题之前,你必须回答这两个问题。
“个人信息”表明您担心身份盗窃、随意窥探等问题。钥匙串软件之类的东西足以保护银行登录信息等,但对于大量信息来说并不实用。
如果您有大量数据需要保护,且不需要快速访问这些信息,并且您愿意为此支付少量的定期免费费用,那么亚马逊的 S4 是一个不错的选择,它完全消除了对物理访问的担忧,因此安全性被简化为密钥管理,而密钥管理又可以通过钥匙串软件得到充分解决。亚马逊看不到您通过这种方式存储的内容,只能看到加密结果。当然,这意味着如果您搞砸了并丢失了密钥,亚马逊也无法帮助您。
在第三种情况下,如果您希望相对快速地访问大量数据,我建议不要使用整个磁盘加密,而是使用整个分区加密,这是 chinmaya 的建议。每个目录加密很麻烦,我不建议这样做:让文件系统来做这项工作。