Šifrování všech partition v Debianu

[Paranoik]

Chtěl bych přejít z Win7 na Debian. Ve winech používám Drivecrypt Pluspack, a všechny oddíly mám zašifrovaný aes256.
Zapnu pc a po postu je třeba zadat heslo, ještě před startem winů.
Koukal jsem že v linuxu obecně jde zašifrovat všechno kromě /boot. Zkoušel jsem instalaci ve virtualboxu, a zašifrovat oddíl bohužel znamená ztrátu všech původních dat. Co použít na zašifrování všeho vč swapu, aby to šifrovalo komplet oddíly a ne jen soubory, a v případě nefunkčního systému šlo oddíly se znalostí hesla mountnout / dešifrovat z live usb. Možnost zašifrovat libovolnej oddíl bez ztráty původních dat by byla taky supr.
Články na Rootu jsem četl. Ale ve winech jsem před lety nainstaloval dcpp a přestal to rešit, a nevím co se dnes používá / bere jako standart.
Zkuste mě pls nasměrovat. Strejda google poradí se zbytkem.
Díky.

[Reklama]

[Sten]

V Linuxu se už velmi dlouho používá LUKS, do kterého se vloží LVM. Většina distribucí tohle podporuje přímo při instalaci i v záchranných konzolích, u Ubuntu je ale potřeba sáhnout po alternativním instalátoru.

[dfer]

LUKS - USB: http://slavino.sk/linux/debian/sifrovana-particia-kluca-usb.html#priprava-luks

[VK]

Pokud má být šifrování k něčemu, je třeba původní (šifrovaná) data nejprve přepsat, a to tak, že několikrát (vzorky, náhodná čísla...). Pokud není přepsání dostatečný počet, dají se původní data obnovit. To platí pro klasické disky. U SSD je to trochu jiné, ale já bych 2-3x přepsal i je (jako doplněk "secure erase" funkce výrobce disků). Data pak po zašifrování disku obnovíš ze zálohy, kterou stejně určitě máš :-) Možnost zašifrovat oddíl bez ztráty dat podle mne neexistuje, a ani by to nebylo dobré (i když NSA má možná jiný názor).
Dále, pokud se to má jednoduše připojovat i při nefunkčním systému, tak jedině LUKS, protože jinak může nastat situace "kam jsem si napsal ty parametry...".

[Jenda]

Pokud není přepsání dostatečný počet, dají se původní data obnovit.

Hodně štěstí s tímto na dnešních discích.

Možnost zašifrovat oddíl bez ztráty dat podle mne neexistuje, a ani by to nebylo dobré (i když NSA má možná jiný názor).

Jasně, že existuje. A proč že to nemá být dobré?

[Reklama]

[VK]

Pokud není přepsání dostatečný počet, dají se původní data obnovit.

Hodně štěstí s tímto na dnešních discích.

Čím se dnešní (klasické) disky liší od těch včerejších? Chápu, že dnes jsou data víc nahuštěná, takže může být skenování těžší, ale je to nemožné? Princip je snad stále stejný? Když už si dám tu práci a něco šifruji, tak chci mít jistotu, že původní nešifrovaná data nikdo nepřečte, a ne skoro-jistotu.

Možnost zašifrovat oddíl bez ztráty dat podle mne neexistuje, a ani by to nebylo dobré (i když NSA má možná jiný názor).

Jasně, že existuje. A proč že to nemá být dobré?

OK, takže řešení existuje. Ale nikdy bych ho nepoužil. Podle mne je krása, síla a bezpečnost v jednoduchosti. Je možné, že ten "LUKS In-Place Conversion Tool" skutečně funguje, ale nevím nic o tom, jak funguje doopravdy, a nikdy se to nedozvím - nebudu číst zdrojáky, abych to zjistil, a nikdo jiný to za mne asi neudělá, protože je to málo rozšířené. Stejně tak nevím nic o autorovi, klidně by to mohla být zmíněná NSA :-) Kolikrát to vlastně přepíše původní data? Ten, kdo to použije, sice ušetří nějaký čas, ale za jakou cenu? A zálohu je stejně potřeba před větší manipulací s důležitými daty udělat!

[Jenda]

ešní (klasické) disky liší od těch včerejších?

Hustotou a odstupem signálu od šumu, že než to skenovat bude mnohem jednodušší na tebe zaútočit nějak jinak.

nebudu číst zdrojáky, abych to zjistil, a nikdo jiný to za mne asi neudělá, protože je to málo rozšířené. Stejně tak nevím nic o autorovi, klidně by to mohla být zmíněná NSA :-)

Proč takto přistupuješ jenom k software na zašifrování disku (ještě k tomu symetrickému a zjevně odpovídajícímu nějakému formátu, kterému věříš)? Tedy tipuji - kdybys tak přistupoval i k ostatnímu SW, který spouštíš, nemohl bys psát do webové diskuze.

[VK]

Proč takto přistupuješ jenom k software na zašifrování disku (ještě k tomu symetrickému a zjevně odpovídajícímu nějakému formátu, kterému věříš)? Tedy tipuji - kdybys tak přistupoval i k ostatnímu SW, který spouštíš, nemohl bys psát do webové diskuze.

Je to tím, že na počítači nemám nějaká opravdu tajná / drahá / důležitá data. Kdybych je měl, nikdy bych je k Internetu nepřipojil...