我在安装 Ubuntu 20.04 时选择擦除磁盘。然后我选择“在新安装的 Ubuntu 中使用 LVM”和“为安全起见加密新安装的 Ubuntu”。
使用哪种加密?安全性如何?是全盘加密吗?
答案1
它是全盘加密吗?
尽管 Ubuntu全盘加密方法给人的印象是它是一个完整的磁盘加密,它已经过时了,并被替换为全盘加密方法2019更准确地说,这是全分区加密. 本文介绍了安装前需要执行的步骤几乎全盘加密,加密...
操作系统分区和引导加载程序第二阶段文件系统,其中包括 Linux 内核和初始 RAM 磁盘。
它继续描述 Ubuntu 安装程序中选项的局限性:
但是,这比 Ubuntu 安装程序加密磁盘选项要好得多,该选项仅支持加密操作系统分区,但引导加载程序第二阶段文件系统未加密,因此容易受到 GRUB 配置、Linux 内核或更可能的初始 RAM 文件系统(
initrd.img
)的篡改。
此外,正如文章中所述,使用 UEFI 安全启动可以通过对未加密的启动阶段进行加密签名来防止篡改。但是,Ubuntu 安装程序目前(截至 2020 年 7 月)还无法执行任何这些操作。
使用哪种类型的加密?
根据 AlexP 在 Ask Ubuntu SE 上的说法指定安装期间使用的加密密码?:
默认密码采用
aes-xts-plain64
256 位密钥和 SHA-1 校验和。这是一个很好的默认设置。非常好的默认设置。除非您是合格的密码学家,否则请保留原样。知识渊博的人在花费了大量时间和精力后选择了这个默认设置。要找出加密容器使用的密码,您可以使用命令
sudo cryptsetup status
和sudo cryptsetup luksDump
。
即使密码三年内发生了变化,您也应该能够使用命令进行检查。
...它有多安全?
嗯,BitLocker 默认为 XTS-AES 128。XTS-AES 256 与更强大的 256 位 AES 相同。