Šifrování disku v Linuxu i Windows

MUDr.Hanak

Šifrování disku v Linuxu i Windows
« kdy: 10. 01. 2018, 16:29:27 »
Dobrý den,

Chtěl bych na notebooku provozovat dual-boot systém Windows 10 a Linux Mint 18.
Používal jsem TrueCrypt na šifrování systému pro Windows 7.

Jestli se nepletu tak TrueCrypt nebo už novější VeraCrypt neumí šífrování systému pro Linux. (Jestli ano napište prosím jak)
Jakou alternativu na zašifrování celého systému mám použít?

ecryptfs šifruje pouze /home adresář a LUKS šifruje celí disk ?? (Je Luks něco jako TrueCrypt šifrování které jsem používal na windows 7)?

Děkuji...
« Poslední změna: 10. 01. 2018, 16:46:23 od Petr Krčmář »


Jenda

Re:Šifrování disku
« Odpověď #1 kdy: 10. 01. 2018, 16:34:25 »
Ano, na Linuxu pro full disk encryption LUKS.

Henzo

Re:Šifrování disku
« Odpověď #2 kdy: 10. 01. 2018, 16:38:09 »
Truecrypt mohl šifrovat pouze WIndows systém a musel být disk na MBR nastavenej ale jak je to na linuxu nebo jak to má veracrypt vážně nevím.

Jenda

Re:Šifrování disku v Linuxu i Windows
« Odpověď #3 kdy: 10. 01. 2018, 17:46:40 »
Na Linuxu má GRUB podporu šifrování. stage1.5 zadáš heslo, ona rozšifruje /boot, natáhne zbytek grubu, kernel a initramdisk a _nějak_ (například přes keyfile v initramdisku; tohle nevím jak se na distribucích správně dělá) mu předá klíč.

Starší postup je, že máš stage2, jádro a initramdisk nešifrované a systém se tě zeptá na heslo při připojování /. Toto funguje ve většině distribucí out-of-the-box (skript pro sestavování initramdisku automaticky zjistí, že je / na šifrovaném oddíle a přibalí cryptsetup + potřebné moduly + skript na odemykání).

MUDr.Hanak

Re:Šifrování disku v Linuxu i Windows
« Odpověď #4 kdy: 10. 01. 2018, 17:49:29 »
Na SSD disku mám

/dev/nwme0n1
-/dev/nwme0n1p1 ntfs 580mb (Windows Loader)
-/dev/nwme0n1p2 ntfs 255000mb

/dev/sda
-volne misto 1000000mb


Chtěl bych ten druhý disk rozdělit na půl a na jednu polovinu nainstalovat linux mint 18 + LUKS.
Ale nevím jak mám dále postupovat...
(Při instalaci Linux Mint 18 jsem vybral možnost vlastní)

Také nevím co mám přesně vybrat jako zařízení pro instalaci zavadeče prosím pomozte.


BOBR

Re:Šifrování disku v Linuxu i Windows
« Odpověď #5 kdy: 10. 01. 2018, 18:57:42 »
Napis si na zive.cz
root je v upadku tady o sifrovani nikdo nic nevi :-D

nobody(ten pravej)

Re:Šifrování disku v Linuxu i Windows
« Odpověď #6 kdy: 10. 01. 2018, 19:35:11 »
@MUDr.Hanak jak pise Jenda, i to "nejak" pise spravne, tim ze budes mit disk sifrovanej komplet, tedy vcetne /boot (a je jedno jestli bude oddelenej oddil nebo soucast hlavniho) a pouzije se funkce desifrovani/odemceni v Grubu, tak aby se nasledne zbytecne neptal pri startovani jeste initrd systemu na heslo(tedy totozne jako bys mel NEsifrovanej /boot a b Grubu se heslo nezadavalo, coz je vychozi chovani *buntu/Mint instalatoru kdyz zvolis FullDiskLUKS), tak se tam vklada souborove klic, kterej se pouzije uz automaticky... kompletni postup je tady,primo pro Mint:
http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/

pri instalaci spravne volis vlastni, ale tva potreba (sifrovat i /boot a nepouziti celeho disku) tam bohuzel nenaklikas(takze z DVD/USB nepoustej Instalovat, ale Vyzkouset), je potreba aby jsi vytvoril rucne (v terminalu pres parted, nebo v GUI gparted) oddil na pulce disku, pustil na nej cryptsetup pro zasifrovani, (idealne/doporucuju) vytvoril nad tim LVM, v tom pripravil LV oddil pro / (tedy koren/hlavni systemu) a /home oddelenej je vhodnej, pripadne oddelenej /boot), formatovat jiz to neni treba, pak pustis instalator v kterem zvolis "Vlastni" a oznacis ty pripravne LV oddily pro /, /home, /boot, zaskrtnes formatovat a dal uz instalace probiha normalne...

pokud byz pouzil GParted (ale ted nevim jestli i verze v *buntu16.04/Mint18, nebo sem to potkal prvne v *buntu17.10), tak ma moznost krome vytvoreni oddilu, vytvorit LUKS a nad tim LVM, rucne uz bys vytvoril v tom LVM jen LV oddily  (pres nastroj lvcreate)

nobody(ten pravej)

Re:Šifrování disku v Linuxu i Windows
« Odpověď #7 kdy: 10. 01. 2018, 19:46:11 »
doplnek k LVM, zjednodusene, jde o alternativu k beznej partisnam, vyhodou jsou v zasade, ze misto co "vyhradis" pro LVM nepouzijes rovnou cele pro pripravene LV, ale nechas tam kus volnej, kdykoliv pak muzes i primo v nabehlem systemu dat prikaz "lvresize -L +3G --resizefs /dev/mapper/jmenoVG-jmenoLV" a k danemu LV se prida behem par vterin urcena velikost s neprirazeneho prostoru... vyhoda je ta ze narozdil od beznej partisen nemusis resit posun/zmenseni oddilu aby vzniknul prostor pro roztazeni predchoziho

dalsi mozna dulezitejsi vyhoda je to ze muzes konkretnimu LV oddilu udelat snapshot, tedy "ulozeni" aktualniho stavu disku, pak treba zkusis nejake harakiry se systemem, instalaci divnejch programu atd a pokud se neco podela, vratis se k tomu aktualnimu stavu, pokud je vse ok, tak snapshot smazes a jedes dal...
jen upozornim ze ten snapshot neni moc pro dlouhodobe ci nekolikanasobne zalohovani (jako umoznujou snapshoty u filesystemu ZFS nebo BTRFS) a zaroven ze snapshotu MUSIS rict predem na jakou velikost ma se nastavit (=kolik zmen dokaze uchovat), takze pokud bys chtel jen zmenit drobnost, staci 100MB, pokud provest instalaci neceho co zabere 20GB, musis minimale dat snapshot 20GB, jakmile bys totiz dal mene, tak to bude delat problemy az se to zmenama filesystemu zaplni (priznam se ze ted nevim jestli se snapshot rozbije (tak to bylo pred lety) nebo jak se chova ted kdyz uz se snad nerozbiji, jen logicka uvaha, bud to prestane si pamatovat nove zmeny, nebo zapominat predchozi verze starejch zmen)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování disku v Linuxu i Windows
« Odpověď #8 kdy: 10. 01. 2018, 20:21:55 »
(idealne/doporucuju) vytvoril nad tim LVM, v tom pripravil LV oddil pro / (tedy koren/hlavni systemu) a /home oddelenej je vhodnej, pripadne oddelenej /boot), formatovat jiz to neni treba, pak pustis instalator v kterem zvolis "Vlastni" a oznacis ty pripravne LV oddily pro /, /home, /boot, zaskrtnes formatovat a dal uz instalace probiha normalne...

Neprehanis? Evidentne si s tim nevi rady  ty na nej s LVM, bez ktereho se s klidem obejde.

vlna

Re:Šifrování disku v Linuxu i Windows
« Odpověď #9 kdy: 10. 01. 2018, 22:52:37 »
Pokud disk podporuje hw šifrování - standard OPAL 2.0 - pak je rozumné toho využít https://github.com/Drive-Trust-Alliance/sedutil/wiki/Encrypting-your-drive

Jenda


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování disku v Linuxu i Windows
« Odpověď #11 kdy: 11. 01. 2018, 00:28:50 »
Jo, jasně, protože HW šifrování je to nejlepší, co nás mohlo potkat…

Zalezi na tom, kdo po tobe jde a jaka tam mas data. Proti beznym zlodejum nebo tchyni to staci. Ja bych se ale bal, jestli se dostanu k datum, kdyby mi lehlo mobo. Jak se zda, maji ruzni vyrobci v implementaci ruzny bordel a po prenosu na jine mobo to muze byt v haji.

nobody(ten pravej)

Re:Šifrování disku v Linuxu i Windows
« Odpověď #12 kdy: 11. 01. 2018, 19:09:23 »
Neprehanis? Evidentne si s tim nevi rady  ty na nej s LVM, bez ktereho se s klidem obejde.
neprahanim ;-) napsal sem jasne ze "idealne/doporucuju" a schvalne sem pak jeste dopsal vyhody ktere LVM prinasi a je pak samozrejme na nem (ne ze ty rozhodnes ze se bez toho obejde) jestli doporuceni a na zaklade zvazeni zda vyhody uvita se pro to rozhodne nebo, vyresit sifrovani musi tak nebo tak ;-)

Jenda

Re:Šifrování disku v Linuxu i Windows
« Odpověď #13 kdy: 12. 01. 2018, 13:48:51 »
Zalezi na tom, kdo po tobe jde a jaka tam mas data. Proti beznym zlodejum nebo tchyni to staci.

Stačí to do doby, dokud je potřeba ten kryptografický výzkum, nebo alespoň přepsat útok z paperu do funkčního kódu. Přestane to stačit v okamžiku, kdy někdo začne za $30 prodávat Next→Next→Finish nástroj nebo se podpora toho hardware stane součástí nějakého populárního louskáčku hesel.

Podobné to bylo třeba v Praze s Tetrou: dodavatel furt opakoval, že to sice je teoreticky zranitelné, ale je k tomu potřeba šíleně drahý přijímač a složitý software. No a pak se to najednou objevilo za pár šupů na eBay, software se dostal do repozitářů a byl z toho průser v médiích.

Ja bych se ale bal, jestli se dostanu k datum, kdyby mi lehlo mobo. Jak se zda, maji ruzni vyrobci v implementaci ruzny bordel a po prenosu na jine mobo to muze byt v haji.

Jo, to je taky validní připomínka.

nobody(ten pravej)

Re:Šifrování disku v Linuxu i Windows
« Odpověď #14 kdy: 16. 01. 2018, 21:29:45 »

mas to uz vyresene? pokud ne, napis s cim mas problem, poradim jak na to ;-)