Lors de l'installation, l'option de chiffrer mon dossier de départ est proposée - à quoi cela sert-il?

103
  • Le cryptage de mon dossier de départ rend-il mon ordinateur plus sécurisé?
  • Dois-je entrer davantage mon mot de passe si mon dossier personnel est crypté?
  • Que devrais-je savoir de plus sur le cryptage de mon dossier de départ?
David Siegel
la source

Réponses:

95

Simplement

  1. Le cryptage de votre dossier personnel ne renforce pas la sécurité de votre ordinateur, il protège simplement tous les fichiers et dossiers de votre dossier personnel contre toute consultation non autorisée.
    • Votre ordinateur est toujours "vulnérable" du point de vue de la sécurité - mais il devient très difficile pour votre contenu d'être volé (à moins que l'attaquant ne dispose de votre mot de passe).
  2. Vous n'aurez pas besoin de saisir votre mot de passe plus que d'habitude: lorsque vous vous connectez à votre ordinateur, vos fichiers sont déchiffrés de manière transparente pour votre session uniquement.
  3. Selon le matériel de votre ordinateur, il est possible que cela affecte les performances de votre ordinateur. Si vous êtes plus préoccupé par les performances que par la sécurité (et que vous êtes sur une machine plus ancienne), vous souhaiterez peut-être désactiver cette fonctionnalité.

Techniquement

Ubuntu utilise "eCryptfs" qui stocke toutes les données d'un répertoire (en l'occurrence, les dossiers de base) sous forme de données cryptées. Lorsqu'un utilisateur est connecté, ce dossier crypté est monté avec un deuxième montage de décryptage (il s'agit d'un montage temporaire qui fonctionne de la même manière que tmpfs: il est créé et exécuté dans la RAM afin que les fichiers ne soient jamais stockés dans un état déchiffré sur le disque dur). L'idée est la suivante: si votre disque dur est volé et que le contenu lu ne peut pas être lu, Linux doit s'exécuter avec votre authentification pour créer le montage et le déchiffrement réussis (Les clés sont des données chiffrées SHA-512 basées sur plusieurs aspects utilisateur - les clés sont ensuite stockées dans votre jeu de clés crypté). Le résultat final est des données techniquement sécurisées (tant que votre mot de passe n'est pas déchiffré ou déchiffré).

Vous n'aurez pas à entrer votre mot de passe plus que d'habitude. Il y a une légère augmentation d'E / S de disque et de CPU qui (en fonction des spécifications de votre ordinateur) peut nuire aux performances - bien que ce soit assez transparent sur la plupart des PC modernes

Marco Ceppi
la source
5
Marco, merci pour votre réponse, vous semblez bien maîtriser le cryptage des dossiers de départ. Juste pour le bénéfice d'utilisateurs moins techniques, pouvez-vous m'épargner tous les détails techniques et répondre à la question comme si je le demandais en tant qu'utilisateur illettré en informatique?
David Siegel
2
J'ai modifié ma réponse pour refléter un point de vue plus simple
Marco Ceppi
1
Je vous remercie! (Il y a quelques bizarreries de formatage, cependant)
David Siegel Le
11
Notez également que si vous effectuez un double démarrage, il est beaucoup plus difficile d'accéder à votre partition Linux à partir de votre SE secondaire. Sous Windows, j'avais installé un pilote simple pour lire ma partition EXT3, mais je suis maintenant bloqué. Oy!
Jono
2
POD: C'est là que la sécurité s'arrête. Si quelqu'un a votre mot de passe, la partie est terminée.
Marco Ceppi
15

Il y a un bel article sur le sujet écrit par le développeur Ubuntu lui-même, veuillez consulter: http://www.linux-mag.com/id/7568/1/

Sommaire:

  • Une combinaison de LUKS et de dm-crypt est utilisée pour le chiffrement de disque complet sous Linux. Ubuntu utilise le système ECryptfs (Enterprise Cryptographic File System) à partir de la version> = 9.10 pour activer le cryptage du lecteur personnel lors de la connexion.

  • Un répertoire supérieur et un répertoire inférieur sont créés. Le répertoire supérieur est stocké non chiffré dans la RAM, ce qui permet d’accéder au système et à l’utilisateur actuel. Le répertoire inférieur est transmis à des unités de données atomiques cryptées et stockées dans la mémoire physique.

  • Les noms de fichier et de répertoire utilisent un seul fnek (clé de cryptage de nom de fichier) pour l’ensemble du montage. L'en-tête de chaque fichier crypté contient un fek (clé de cryptage de fichier), entouré d'un fekek séparé (clé de cryptage de fichier, clé de cryptage). Le trousseau de clés du noyau Linux gère les clés et assure le chiffrement via ses chiffrements communs.

  • L'utilisation d'un eCryptfs PAM (module d'authentification enfichable) ne permet pas les redémarrages sans surveillance, contrairement aux solutions de chiffrement de disque complet classiques.

  • Le système de fichiers en couches eCryptfs permet des sauvegardes chiffrées, incrémentielles et incrémentielles.

al-maisan
la source
3
Pouvez-vous transformer votre réponse en lien seulement en une réponse plus utile, en résumant les principaux points soulevés dans cet article?
arekolek
9

Moins techniquement répondre à la demande de l'OP.

Avantages de la sécurité cryptée de Home via ecryptfs comme dans Ubuntu:

  • Aucun mot de passe ou clé supplémentaire ne sera nécessaire pour être mémorisé ou saisi.
  • Ne sécurise pas davantage votre ordinateur sur un réseau, par exemple sur Internet.
  • Si l'ordinateur est partagé entre plusieurs utilisateurs, constitue une barrière supplémentaire contre l'accès d'autres utilisateurs à vos fichiers. (Discussion technique difficile.)
  • Si un attaquant obtient un accès physique à votre ordinateur, par exemple, vole votre ordinateur portable, vos données ne seront pas lues par le voleur. (Si l'ordinateur est éteint, ils ne peuvent pas lire vos données sans votre mot de passe. Si l'ordinateur est allumé et que vous êtes connecté, il est possible qu'un voleur vole vos données, mais nécessite une attaque plus avancée, donc moins probable.)
Jan
la source
6

Ce que vous devez également savoir sur le cryptage de votre dossier de départ est que les données qu'il contient ne sont pas accessibles si vous n'êtes pas connecté. Si vous utilisez un processus externe ou automatisé (comme une crontab) qui tente d'accéder à ces données, tout fonctionnera parfaitement pendant que vous le regardez, mais échouez quand vous ne le regardez pas. C'est très frustrant de déboguer.

Neil Vandermeiden
la source
2

La sécurité de votre système actuel n'est pas déterminée par la sécurité de vos fichiers, dossiers et documents ... elle les rend légèrement plus sûrs des regards indiscrets ....

Zkriesse
la source