Rád bych začal šifrováním systémovýho disku, protože když nemůžu věřit svýmu systému, tak je další ochrana asi mimo.
Šifrování systému důvěru v systém nepřinese. Šifrování slouží pro případ, kdy útočník získá obraz (disk) a chce jej vytěžit. Pokud může zasáhnout do HW, který potom spustíte, šifrování vám nepomůže, protože jednoduše může zavádění (či samotný hardware) upravit tak, že odposlechne šifrovací klíč při jeho zadávání.
Na systém mám SSD disk, ale četl jsem, že šifrování je pro něj odsouzení k brzké smrti, protože vidí všechen prostor i s nulama jako zašifrovaný. Částečný řešení prý je, že se disk rozdělí na 2 části (např.200GB+50GB), kdy jedna zůstane nealokovaná a disk si to místo managuje sám a vadný bloky pošle na to nealokovaný místo.
To záleží na nastavení.
U dm_crypt lze povolit TRIM, takže disk má pak stejnou životnost, jako bez šifrování, ale ví, které části obsahují data a které ne. Omezuje to plausible deniability, což snižuje bezpečnost za určitých situacích (prakticky ale v takových situacích nejspíš stejně nastoupí
kryptoanalýza francouzákem), protože je možné získat nějaká metadata o systému (např. odhadnout, kolik tam máte dat, u některých souborových systémů i trochu historie používání*), ale prolomení šifry (a získání samotných dat) to nijak nezjednodušuje, tudíž hlavní účel šifrování to splňuje.
* btrfs by mělo být v tomhle bezpečné, protože zápisy rozhazuje dost nahodile. U ext* je to horší.
Začněte šifrováním dat a na šifrování systému se vykašlete. Když někdo získá váš počítač, budou ho zajímat vaše data, systém nepotřebuje, ten získá kdekoli jinde. "Nemůžu věřit svýmu systému" znamená, že byste nemohl věřit tomu, že váš systém nedělá něco nekalého, třeba neobchází šifrování nebo si bokem neukládá rozšifrovaná data. Jenže aby něco takového ten systém dělal, musel by takovou funkci mít už "z výroby", nebo by ho musel někdo napadnout. Ani proti jednomu vás šifrování systému nijak neochrání.
To se hezky řekne, ale mnohem hůř udělá. Systém běžně odkládá data bokem, protože to zlepšuje jeho výkonnost, např. do /tmp, /var/tmp či /var/spool, a pak se ještě mohou části dat objevit ve /var/log. A než řešit, kam se data dostat mohou a kam ne, je o hodně jednodušší (a bezpečnější) to prostě zašifrovat celé.