加密锁屏？

Question 1

我也是这么想的，所以我找到了你的问题。

但后来我意识到，如果所有数据（包括程序自己的代码）突然被加密，程序就无法继续运行。而且如果程序正在运行，数据可能仍然在 RAM 中。

因此，加密的唯一方法是所有程序停止运行，而锁定时不会发生这种情况。

Answer

我也是这么想的，所以我找到了你的问题。

但后来我意识到，如果所有数据（包括程序自己的代码）突然被加密，程序就无法继续运行。而且如果程序正在运行，数据可能仍然在 RAM 中。

因此，加密的唯一方法是所有程序停止运行，而锁定时不会发生这种情况。

Question 2

全盘加密是一种很好的安全措施，但它被视为一种防止物理访问机器数据的方法。在磁盘加密之前，物理访问硬盘驱动器就是访问数据的唯一途径。当您能够取出硬盘驱动器时，您可以使用任何其他系统查看数据，因此您不能仅仅因为有人不知道您的 root 密码就认为它是安全的。

完全有可能有一个加密系统暂停至磁盘支持。这与确保您的 RAM 和任何交换保持安全相结合，是一种在您所处情况下保证您更安全的完美方法。

在您帮助防范物理威胁之后，您必须查看系统本身的脆弱性。通过将计算机连接到互联网，您将面临潜在问题。如果您足够认真，您应该考虑使用加密的“冷存储”系统，限制连接，或仅通过拇指驱动器或串行端口进行交互。

其他选择是给数据添加额外的加密层，并且只在使用时保持数据解锁。这样做的目的是尽可能长时间保持数据加密，只在需要时解密，并且不是建议过度使用多重/级联加密。这意味着任何有权访问系统的对手都需要花时间解密数据。当然，除非你把数据解锁，或者把钥匙放在可以访问的地方。此外，有很多方法可以隐藏数据中的数据，并利用一次性密码本，以更好地保护信息安全。

即使加密了单个数据集，并且不留下密钥，有足够时间和权限的人最终还是可以解锁数据。对于密码之类的东西，可以通过频繁更改密码，并在那时用新密钥重新加密数据集来缓解这种情况。对于需要长期保密的东西，并且你有一个物理上安全的位置，一个简单的解决方案可能是将加密数据存储在拇指驱动器上，只在需要时连接到机器，然后将驱动器放在保险箱中。

证书颁发机构提供适当的密钥存储提供在需要兼顾安全性和实用性的情况下如何保护数据的良好示例。

Answer

全盘加密是一种很好的安全措施，但它被视为一种防止物理访问机器数据的方法。在磁盘加密之前，物理访问硬盘驱动器就是访问数据的唯一途径。当您能够取出硬盘驱动器时，您可以使用任何其他系统查看数据，因此您不能仅仅因为有人不知道您的 root 密码就认为它是安全的。

完全有可能有一个加密系统暂停至磁盘支持。这与确保您的 RAM 和任何交换保持安全相结合，是一种在您所处情况下保证您更安全的完美方法。

在您帮助防范物理威胁之后，您必须查看系统本身的脆弱性。通过将计算机连接到互联网，您将面临潜在问题。如果您足够认真，您应该考虑使用加密的“冷存储”系统，限制连接，或仅通过拇指驱动器或串行端口进行交互。

其他选择是给数据添加额外的加密层，并且只在使用时保持数据解锁。这样做的目的是尽可能长时间保持数据加密，只在需要时解密，并且不是建议过度使用多重/级联加密。这意味着任何有权访问系统的对手都需要花时间解密数据。当然，除非你把数据解锁，或者把钥匙放在可以访问的地方。此外，有很多方法可以隐藏数据中的数据，并利用一次性密码本，以更好地保护信息安全。

即使加密了单个数据集，并且不留下密钥，有足够时间和权限的人最终还是可以解锁数据。对于密码之类的东西，可以通过频繁更改密码，并在那时用新密钥重新加密数据集来缓解这种情况。对于需要长期保密的东西，并且你有一个物理上安全的位置，一个简单的解决方案可能是将加密数据存储在拇指驱动器上，只在需要时连接到机器，然后将驱动器放在保险箱中。

证书颁发机构提供适当的密钥存储提供在需要兼顾安全性和实用性的情况下如何保护数据的良好示例。

Question 3

让我先回答这个问题，然后提出一个锁屏加密的选项。

您说得对，当锁屏可见时，您的数据不会被加密。如果您使用的是全盘加密 (FDE)，您的数据会在启动时解密，然后才会显示登录屏幕，并且会一直保持解密状态，直到系统关闭。如果您像 OP 一样使用主目录加密，您的数据会在您登录帐户时解密，并且会一直保持加密状态，直到您退出帐户（这可能发生在注销或关机期间）。登录时数据会被解密这一事实并不意味着加密毫无意义。如果有人物理访问了您的计算机，绕过您的登录屏幕的唯一方法是输入您当前的密码，或者重新启动系统并修改某些文件。如果他们重新启动，您的系统 (FDE) 或用户文件 (主目录加密) 将处于加密状态，为您提供防泄露保护。据我所知，没有后门可以让坐在您键盘前的人绕过锁屏，除非他们已经拥有某种形式的远程控制。

现在，如果您的系统被入侵，并且创建了后门，为攻击者提供远程访问，那么只要您的系统或文件被解密，您的系统就会变得脆弱。在这种情况下，再多的加密也帮不了您。保护文件的唯一方法是 1) 将它们和系统脱机，2) 删除恶意软件。

锁屏加密选项：
如果您希望在锁定屏幕时能够加密文件，您仍然不是没有选择。您可以创建一个加密文件容器，将敏感文件保存在该容器中。然后，您可以在锁定屏幕之前手动锁定文件容器，或者编写一个简单的脚本来锁定文件容器然后锁定屏幕。这样，即使系统处于运行状态，您的文件也可以被加密。您需要做的就是在想要使用文件容器时解密它。
这一切都可以通过以下方式实现：VeraCrypt，或者如果您像我一样更喜欢使用 LUKS……

#-------------------- Setup --------------------#
dd of=~/encrypted-fc count=0 seek=1 bs=1G       # bs should reflect maximum desired 
                                                #   container size. This command creates
                                                #   a sparse file that will grow
sudo cryptsetup luksFormat ~/encrypted-fc       # set up file container encryption
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc  # decrypt the file container
sudo mkfs.ext4 /dev/mapper/enc-fc               # create a file system in the container
sudo cryptsetup luksClose enc-fc                # lock (encrypt) the file container

#--------------------- Usage ---------------------#
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc    # decrypt the file container
sudo mount /dev/mapper/enc-fc /your/mount/point   # mount decrypted container

sudo umount /dev/mapper/enc-fc                    # umount decrypted container
sudo cryptsetup luksClose enc-fc                  # lock (encrypt) the file container

Answer

让我先回答这个问题，然后提出一个锁屏加密的选项。

您说得对，当锁屏可见时，您的数据不会被加密。如果您使用的是全盘加密 (FDE)，您的数据会在启动时解密，然后才会显示登录屏幕，并且会一直保持解密状态，直到系统关闭。如果您像 OP 一样使用主目录加密，您的数据会在您登录帐户时解密，并且会一直保持加密状态，直到您退出帐户（这可能发生在注销或关机期间）。登录时数据会被解密这一事实并不意味着加密毫无意义。如果有人物理访问了您的计算机，绕过您的登录屏幕的唯一方法是输入您当前的密码，或者重新启动系统并修改某些文件。如果他们重新启动，您的系统 (FDE) 或用户文件 (主目录加密) 将处于加密状态，为您提供防泄露保护。据我所知，没有后门可以让坐在您键盘前的人绕过锁屏，除非他们已经拥有某种形式的远程控制。

现在，如果您的系统被入侵，并且创建了后门，为攻击者提供远程访问，那么只要您的系统或文件被解密，您的系统就会变得脆弱。在这种情况下，再多的加密也帮不了您。保护文件的唯一方法是 1) 将它们和系统脱机，2) 删除恶意软件。

锁屏加密选项：
如果您希望在锁定屏幕时能够加密文件，您仍然不是没有选择。您可以创建一个加密文件容器，将敏感文件保存在该容器中。然后，您可以在锁定屏幕之前手动锁定文件容器，或者编写一个简单的脚本来锁定文件容器然后锁定屏幕。这样，即使系统处于运行状态，您的文件也可以被加密。您需要做的就是在想要使用文件容器时解密它。
这一切都可以通过以下方式实现：VeraCrypt，或者如果您像我一样更喜欢使用 LUKS……

#-------------------- Setup --------------------#
dd of=~/encrypted-fc count=0 seek=1 bs=1G       # bs should reflect maximum desired 
                                                #   container size. This command creates
                                                #   a sparse file that will grow
sudo cryptsetup luksFormat ~/encrypted-fc       # set up file container encryption
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc  # decrypt the file container
sudo mkfs.ext4 /dev/mapper/enc-fc               # create a file system in the container
sudo cryptsetup luksClose enc-fc                # lock (encrypt) the file container

#--------------------- Usage ---------------------#
sudo cryptsetup luksOpen ~/encrypted-fc enc-fc    # decrypt the file container
sudo mount /dev/mapper/enc-fc /your/mount/point   # mount decrypted container

sudo umount /dev/mapper/enc-fc                    # umount decrypted container
sudo cryptsetup luksClose enc-fc                  # lock (encrypt) the file container

Question 4

我确信如果你从不关闭电脑，那么磁盘加密就毫无意义。不过我可能错了。

但如果你从不关闭它，它就永远不会启动到解密硬盘的屏幕。所以它几乎总是未加密的。

您的 /home 分区是否已加密？如果是，即使有人窃取了它，他们也无法访问您用户帐户中的所有文件，因此，如果它需要您的用户密码，那么它就是安全的。

简而言之，如果只是硬盘加密，那确实毫无意义。如果您有一个单独的 /home 分区，加密后应该没问题，因为他们无法访问这些文件。

Answer

我确信如果你从不关闭电脑，那么磁盘加密就毫无意义。不过我可能错了。

但如果你从不关闭它，它就永远不会启动到解密硬盘的屏幕。所以它几乎总是未加密的。

您的 /home 分区是否已加密？如果是，即使有人窃取了它，他们也无法访问您用户帐户中的所有文件，因此，如果它需要您的用户密码，那么它就是安全的。

简而言之，如果只是硬盘加密，那确实毫无意义。如果您有一个单独的 /home 分区，加密后应该没问题，因为他们无法访问这些文件。

加密锁屏？

答案1

答案2

答案3

答案4

相关内容