我真的很喜欢磁盘加密来保护我的资金,但我的问题是,我几乎从不关机。我的生活非常忙碌,每天晚上完全关闭电脑完全不切实际,所以我最多会暂停/锁定它。我怀疑这个锁屏对可能掌握电脑的攻击者几乎没有什么用处。我说得对吗?如果我从不关机,磁盘加密就毫无意义了吗?有没有什么软件可以启用锁屏加密?
答案1
我也是这么想的,所以我找到了你的问题。
但后来我意识到,如果所有数据(包括程序自己的代码)突然被加密,程序就无法继续运行。而且如果程序正在运行,数据可能仍然在 RAM 中。
因此,加密的唯一方法是所有程序停止运行,而锁定时不会发生这种情况。
答案2
全盘加密是一种很好的安全措施,但它被视为一种防止物理访问机器数据的方法。在磁盘加密之前,物理访问硬盘驱动器就是访问数据的唯一途径。当您能够取出硬盘驱动器时,您可以使用任何其他系统查看数据,因此您不能仅仅因为有人不知道您的 root 密码就认为它是安全的。
完全有可能有一个加密系统暂停至磁盘支持。这与确保您的 RAM 和任何交换保持安全相结合,是一种在您所处情况下保证您更安全的完美方法。
在您帮助防范物理威胁之后,您必须查看系统本身的脆弱性。通过将计算机连接到互联网,您将面临潜在问题。如果您足够认真,您应该考虑使用加密的“冷存储”系统,限制连接,或仅通过拇指驱动器或串行端口进行交互。
其他选择是给数据添加额外的加密层,并且只在使用时保持数据解锁。这样做的目的是尽可能长时间保持数据加密,只在需要时解密,并且不是建议过度使用多重/级联加密。这意味着任何有权访问系统的对手都需要花时间解密数据。当然,除非你把数据解锁,或者把钥匙放在可以访问的地方。此外,有很多方法可以隐藏数据中的数据,并利用一次性密码本,以更好地保护信息安全。
即使加密了单个数据集,并且不留下密钥,有足够时间和权限的人最终还是可以解锁数据。对于密码之类的东西,可以通过频繁更改密码,并在那时用新密钥重新加密数据集来缓解这种情况。对于需要长期保密的东西,并且你有一个物理上安全的位置,一个简单的解决方案可能是将加密数据存储在拇指驱动器上,只在需要时连接到机器,然后将驱动器放在保险箱中。
答案3
让我先回答这个问题,然后提出一个锁屏加密的选项。
您说得对,当锁屏可见时,您的数据不会被加密。如果您使用的是全盘加密 (FDE),您的数据会在启动时解密,然后才会显示登录屏幕,并且会一直保持解密状态,直到系统关闭。如果您像 OP 一样使用主目录加密,您的数据会在您登录帐户时解密,并且会一直保持加密状态,直到您退出帐户(这可能发生在注销或关机期间)。登录时数据会被解密这一事实并不意味着加密毫无意义。如果有人物理访问了您的计算机,绕过您的登录屏幕的唯一方法是输入您当前的密码,或者重新启动系统并修改某些文件。如果他们重新启动,您的系统 (FDE) 或用户文件 (主目录加密) 将处于加密状态,为您提供防泄露保护。据我所知,没有后门可以让坐在您键盘前的人绕过锁屏,除非他们已经拥有某种形式的远程控制。
现在,如果您的系统被入侵,并且创建了后门,为攻击者提供远程访问,那么只要您的系统或文件被解密,您的系统就会变得脆弱。在这种情况下,再多的加密也帮不了您。保护文件的唯一方法是 1) 将它们和系统脱机,2) 删除恶意软件。
锁屏加密选项:
如果您希望在锁定屏幕时能够加密文件,您仍然不是没有选择。您可以创建一个加密文件容器,将敏感文件保存在该容器中。然后,您可以在锁定屏幕之前手动锁定文件容器,或者编写一个简单的脚本来锁定文件容器然后锁定屏幕。这样,即使系统处于运行状态,您的文件也可以被加密。您需要做的就是在想要使用文件容器时解密它。
这一切都可以通过以下方式实现:VeraCrypt,或者如果您像我一样更喜欢使用 LUKS……
#-------------------- Setup --------------------#
dd of=~/encrypted-fc count=0 seek=1 bs=1G # bs should reflect maximum desired
# container size. This command creates
# a sparse file that will grow
sudo cryptsetup luksFormat ~/encrypted-fc # set up file container encryption
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc # decrypt the file container
sudo mkfs.ext4 /dev/mapper/enc-fc # create a file system in the container
sudo cryptsetup luksClose enc-fc # lock (encrypt) the file container
#--------------------- Usage ---------------------#
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc # decrypt the file container
sudo mount /dev/mapper/enc-fc /your/mount/point # mount decrypted container
sudo umount /dev/mapper/enc-fc # umount decrypted container
sudo cryptsetup luksClose enc-fc # lock (encrypt) the file container
答案4
我确信如果你从不关闭电脑,那么磁盘加密就毫无意义。不过我可能错了。
但如果你从不关闭它,它就永远不会启动到解密硬盘的屏幕。所以它几乎总是未加密的。
您的 /home 分区是否已加密?如果是,即使有人窃取了它,他们也无法访问您用户帐户中的所有文件,因此,如果它需要您的用户密码,那么它就是安全的。
简而言之,如果只是硬盘加密,那确实毫无意义。如果您有一个单独的 /home 分区,加密后应该没问题,因为他们无法访问这些文件。