加密分区有多安全？

Question 1

如果您选择通过 LUKS 加密新系统，则整个系统都会被加密。这包括您的系统文件、主文件夹（以及您的数据）以及交换分区。这意味着您可以使用挂起到磁盘（又称休眠），同时仍可享受全盘加密的所有好处。正如评论中指出的那样，Ubuntu 默认使用挂起到 RAM。要让 Ubuntu 使用挂起到磁盘，您必须遵循help.ubuntu.com 上的说明显然它只适用于有限数量的机器。
256 位 AES 加密在可预见的未来可能足够强大。正如讨论的那样Cryptography Stack Exchange 上的，暴力破解 AES-256 的成本约为世界 GDP 的 100 万亿倍 - 这是你能想象到的最不可能的事情。即使暴力破解 128 位 AES 加密，也需要花费世界 GDP 的约一千倍。
LUKS 密钥不会被任何东西锁定，除了 LUKS 标头（位于 HDD/SSD 中）和您的密码（在您的脑海中）。这允许您 (a) 在任何其他机器上使用它，只要未加密的系统磁盘也可以，即普通系统应该可以完美运行。至于 (b)，是的，您可以使用进行整个磁盘备份dd，但请注意，这些映像不会压缩到任何显着的量。这是因为加密数据的性质与没有密码的随机数据无法区分。
这样做只有学术上的好处，即在用了第一个 tredecillion 世界 GDP 来破解你的全盘加密后，攻击者还需要另一个 tredecillion 世界 GDP 才能进入你的加密主文件夹（假设使用不同的密码/密钥）。因此，它实际上将你的加密从 256 位密钥长度增强到了 257 位。就我个人而言，我甚至在全盘加密机器上使用自动登录，因为我认为磁盘加密足够安全，不需要在启动后再次输入密码。

Answer

如果您选择通过 LUKS 加密新系统，则整个系统都会被加密。这包括您的系统文件、主文件夹（以及您的数据）以及交换分区。这意味着您可以使用挂起到磁盘（又称休眠），同时仍可享受全盘加密的所有好处。正如评论中指出的那样，Ubuntu 默认使用挂起到 RAM。要让 Ubuntu 使用挂起到磁盘，您必须遵循help.ubuntu.com 上的说明显然它只适用于有限数量的机器。
256 位 AES 加密在可预见的未来可能足够强大。正如讨论的那样Cryptography Stack Exchange 上的，暴力破解 AES-256 的成本约为世界 GDP 的 100 万亿倍 - 这是你能想象到的最不可能的事情。即使暴力破解 128 位 AES 加密，也需要花费世界 GDP 的约一千倍。
LUKS 密钥不会被任何东西锁定，除了 LUKS 标头（位于 HDD/SSD 中）和您的密码（在您的脑海中）。这允许您 (a) 在任何其他机器上使用它，只要未加密的系统磁盘也可以，即普通系统应该可以完美运行。至于 (b)，是的，您可以使用进行整个磁盘备份dd，但请注意，这些映像不会压缩到任何显着的量。这是因为加密数据的性质与没有密码的随机数据无法区分。
这样做只有学术上的好处，即在用了第一个 tredecillion 世界 GDP 来破解你的全盘加密后，攻击者还需要另一个 tredecillion 世界 GDP 才能进入你的加密主文件夹（假设使用不同的密码/密钥）。因此，它实际上将你的加密从 256 位密钥长度增强到了 257 位。就我个人而言，我甚至在全盘加密机器上使用自动登录，因为我认为磁盘加密足够安全，不需要在启动后再次输入密码。

Question 2

您的驱动器上的所有内容并非都经过加密，但您的数据已经加密。

未加密的部分是您的/boot区域，因为它在启动时使用。由此可以发现一些有趣的后果这里。

你可以通过运行以下命令来查看特定安装的密码强度

ls /dev/mapper/ |grep crypt

输出将是 YOUR_CRYPT

cryptsetup status YOUR_CRYPT

例子：

ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards

加密等级将根据您在 Ubuntu 上的安装时间和使用的版本而有所不同，但即使是较旧的设置也相当强大，并且很可能能够抵御随意破解。关于 Ubuntu 块级加密的一个很好的讨论：Ubuntu 的默认全盘加密有多安全？

在不同的硬件上启动加密驱动器不会有问题。如果您对加密驱动器进行逐位复制，您仍然可以正常启动它，并使用您的密码登录。复制操作应在“离线”时完成（关闭后卸载驱动器）。在线数据抓取不太可能奏效，但我不能 100% 确定。
“主文件夹”加密基于“文件中的主文件夹”理念。如果系统未加密，并且文件系统已安装，则加密的主目录将是一个使用 cryptsetup 加密的单个大文件。因此，在加密系统中加密主文件夹会增加获取个人文件的难度。但是可能会有性能上的权衡。更多信息加密的家。

Answer

您的驱动器上的所有内容并非都经过加密，但您的数据已经加密。

未加密的部分是您的/boot区域，因为它在启动时使用。由此可以发现一些有趣的后果这里。

你可以通过运行以下命令来查看特定安装的密码强度

ls /dev/mapper/ |grep crypt

输出将是 YOUR_CRYPT

cryptsetup status YOUR_CRYPT

例子：

ls /dev/mapper/ |grep crypt
nvme0n1p4_crypt
sudo cryptsetup status nvme0n1p4_crypt

/dev/mapper/nvme0n1p4_crypt is active and is in use.   
type:    LUKS1    
cipher:  aes-xts-plain64   
keysize: 512 bits   
device:  /dev/nvme0n1p4     
offset:  4096 sectors   
size:    499410944 sectors   
mode:   read/write   
flags:   discards

加密等级将根据您在 Ubuntu 上的安装时间和使用的版本而有所不同，但即使是较旧的设置也相当强大，并且很可能能够抵御随意破解。关于 Ubuntu 块级加密的一个很好的讨论：Ubuntu 的默认全盘加密有多安全？

在不同的硬件上启动加密驱动器不会有问题。如果您对加密驱动器进行逐位复制，您仍然可以正常启动它，并使用您的密码登录。复制操作应在“离线”时完成（关闭后卸载驱动器）。在线数据抓取不太可能奏效，但我不能 100% 确定。
“主文件夹”加密基于“文件中的主文件夹”理念。如果系统未加密，并且文件系统已安装，则加密的主目录将是一个使用 cryptsetup 加密的单个大文件。因此，在加密系统中加密主文件夹会增加获取个人文件的难度。但是可能会有性能上的权衡。更多信息加密的家。

Question 3

简短的回答：

驱动器上的所有内容（包括我的数据）都已加密吗？：
- 是的，全部加密
这种加密的强度是多少？：
- 退出强者，最薄弱的环节才是最强者你。
此外，加密是否会阻止我 (a) 将带有加密文件系统的 SSD 安装到其他设备中或 (b) 对驱动器进行完整备份（例如，使用 Ubuntu 的实时版本）并在某个时候恢复该备份？：
- 你必须亲自尝试才能确定。忘记密码，你的数据就全没了，如果你知道有谁能在这种情况下破解密码，请告诉我。
另外，如果整个文件系统都被加密了，那么加密 Ubuntu 中的主文件夹是否也有意义呢？：
- 浪费时间，没必要。但如果你需要的话可以！

更多信息：

从您分享的链接中，我引用了我关注的链接：

这个故事的寓意是什么？如果你的手机上挂载了 LUKS 分区，那么别人很容易就能获得主加密密钥。cryptsetup 在 luksClose 操作期间会从 RAM 中删除密钥，所以我的建议是只在使用 LUKS 驱动器时挂载它，然后在使用完后卸载并 luksClose 它否则，它就会成为一个巨大的安全漏洞。几乎就像您的驱动器从一开始就没有加密一样。

这里可能有必要提一下，Android 上的 LUKS 并不是唯一容易受到此类攻击的系统。几乎所有磁盘加密系统都将加密密钥存储在 RAM 中。普林斯顿 CITP 小组很久以前就发现了这一事实。我在这里只想说，这样的攻击很容易做到！

注意大胆的部分更多信息就像我说的，如果你处理东西的方式很软弱或粗心，那么麻烦就会来了。他建议在不使用时务必卸载或关闭。

Answer