如果我对装有 Ubuntu 12.04 的笔记本电脑进行了全盘加密,小偷是否能够从交换分区中提取我的文件?我假设他/她如果不进行某种形式的暴力破解代码,将无法从主分区中提取任何内容?
答案1
全盘加密了我的笔记本电脑 [...] 交换分区 [...]
交换分区的放置位置完全由您决定。一些典型的设置:
dm-crypt 在原始分区上
/boot作为小型普通分区,然后在大型加密“设备”之上作为 LVM 物理卷:-> LVM 卷组(一个 PV 作为成员)
crypto-> LVM 逻辑卷:- crypto-rootfs 作为
/ - crypto-homes 作为
/home(可选) - 加密货币交换
swap(可选) - 在卷组中留出一些空间以便能够使用 LVM 的功能
不要尝试以相反的方式进行设置 - 在单个 LV 之上进行加密不会带来任何好处,只会给您带来麻烦。
- crypto-rootfs 作为
原始分区上的 dm-crypt 与
/单独的/boot和单独的非加密一样swap。- 灵活性较差,但没有 LVM 时可移植性更强(例如自由OTFE)
- 如果需要更多加密分区,则意味着在启动时使用密码多次解锁
- 可以将交换设置为在每次启动时使用随机密钥加密 - 禁用休眠
以上内容不包含任何交换。可能如果你有足够的 RAM,那么这是一个好主意。
12.04 的“替代”安装程序将允许您以半 GUI 方式执行此操作。例如:“如何在加密的 LVM 文件系统上安装 Ubuntu 11.04”(虽然有点旧,但仍然适用于 12.04)。
小偷能从交换分区中提取我的文件吗?
不是直接的。交换包含裸内存页。重新组装它将是一个难题,但即使是单个内存页也可能已经包含太多秘密数据。未加密的交换被认为是不安全的。只要您将交换操作放在加密设备的顶部(无论使用 LVM、RAID 还是其他什么),就没问题。
我假设他/她如果不进行某种形式的暴力破解代码攻击,将无法从主分区中提取任何东西?
不,它相当安全,因为这就是良好加密的全部意义所在!要了解有关所用加密技术等技术细节的更多信息,请参阅12.10全盘加密用的是什么?(在我的回答中也涵盖了 12.04)。
安全问题则另当别论。/boot无论你如何设置,你都需要一个单独的未加密的。它包含内核和 initramfs。如果有人能篡改解锁脚本,甚至在内核中放置后门,他们就能窃取你的秘密数据。实用建议:永远不要让你的笔记本电脑无人看管。
解决方法(高级设置!):
- 如果您的笔记本电脑不使用,请使用智能卡+读卡器而不是密码,并将其随身携带。
- 将
dm-crypt加密密钥放在单独的闪存驱动器上,而不是放在磁盘本身上。备份此加密密钥,以防闪存驱动器损坏,并将其放在无人能触及的保险箱中。 - 始终使用一组可信赖的内核和 initramfs,例如使用相同的 USB 闪存驱动器
/boot- 并始终随身携带它。