एक एन्क्रिप्टेड विभाजन कितना सुरक्षित है?

उबंटू 16.04 स्थापित करते समय मैंने फ़ाइल सिस्टम को एन्क्रिप्ट करने के लिए चुना, और अब मैं उबंटू बूट होने से पहले पासवर्ड के लिए संकेत दिया जाता हूं।

मैं सोच रहा हूं कि मेरी सामग्री कितनी सुरक्षित है? विशेष रूप से:

• क्या ड्राइव पर सब कुछ एन्क्रिप्टेड है (मेरे डेटा सहित)?

• यह एन्क्रिप्शन कितना मजबूत है? (मुझे पता है, यह समय और संसाधनों का सवाल है और मैंने कौन सा पासवर्ड चुना है, लेकिन मेरा मतलब व्यावहारिक अर्थ में है ... कोई भी मेरे सामने वाले दरवाजे के माध्यम से बुलडोज कर सकता है, लेकिन औसत चोर के पास संसाधनों या झुकाव नहीं है, एक को डराने के लिए मकान)। उदाहरण के लिए, यदि मैं अपने लैपटॉप को मरम्मत के लिए भेजता हूं, या यदि मेरा लैपटॉप खो जाता है या चोरी हो जाता है, तो क्या मुझे किसी ऐसे व्यक्ति के बारे में चिंता करने की आवश्यकता है जिसके पास वास्तव में दबाने का कोई कारण नहीं है और इसे आसानी से प्राप्त करने के लिए डिक्रिप्ट करें? (मुझे पता है कि इसी तरह का एक सवाल यहां पूछा गया था , लेकिन यह काफी समय पहले था इसलिए शायद चीजें बदल गई हैं?)

• इसके अलावा, एन्क्रिप्शन मुझे या तो (a) SSD को एन्क्रिप्टेड फ़ाइल सिस्टम के साथ एक अलग डिवाइस में स्थापित करने से रोकता है या (b) ड्राइव का पूरा बैकअप बनाता है (उदाहरण के लिए, Ubuntu के लाइव संस्करण का उपयोग करके) और किसी बिंदु पर उस बैकअप को पुनर्स्थापित करना?

• इसके अलावा, अगर पूरे फाइल सिस्टम को एन्क्रिप्ट किया गया है तो क्या उबंटू में मेरे होम फोल्डर को एन्क्रिप्ट करने का भी कोई मूल्य है?

• यदि आपने LUKS के माध्यम से नई प्रणाली को एन्क्रिप्ट करने के लिए चुना है, तो पूरी प्रणाली एन्क्रिप्टेड है। इसमें आपकी सिस्टम फ़ाइलें, होम फ़ोल्डर (और इस प्रकार आपका डेटा), साथ ही स्वैप विभाजन भी शामिल है। इसका मतलब है कि आप सस्पेंड-टू-डिस्क (उर्फ हाइबरनेट) का उपयोग कर सकते हैं और अभी भी पूर्ण डिस्क एन्क्रिप्शन के सभी लाभ हैं। जैसा कि टिप्पणियों में बताया गया है, उबंटू डिफ़ॉल्ट रूप से सस्पेंड-टू-रैम का उपयोग करता है। इसके बजाय उबंटू के लिए सस्पेंड-टू-डिस्क का उपयोग करने के लिए, आपको help.ubuntu.com पर दिए गए निर्देशों का पालन करना होगा जो स्पष्ट रूप से केवल सीमित संख्या में मशीनों के लिए काम करते हैं।
• निकट भविष्य के लिए 256 बिट एईएस एन्क्रिप्शन काफी मजबूत है। जैसा कि यहां क्रिप्टोग्राफी स्टैक एक्सचेंज पर चर्चा की गई थी , एईएस-256 के लिए मजबूर करने वाले जानवर पर दुनिया के सकल घरेलू उत्पाद के 100 ट्रिडिकिलियन बार खर्च होंगे - असंभव के लिए निकटतम चीज जिसकी आप कल्पना कर सकते हैं। यहां तक ​​कि 128 बिट एईएस एन्क्रिप्शन मजबूर ब्रूट दुनिया की जीडीपी का लगभग एक हजार गुना लेता है।
• LUKS कुंजी LUKS हेडर (जो कि HDD / SSD में से एक है) और आपके पासफ़्रेज़ (जो आपके सिर में है) द्वारा कुछ भी लॉक नहीं किया गया है। यह आपको (ए) किसी अन्य मशीन में इसका उपयोग करने की अनुमति देता है, जब तक कि यह एक अनएन्क्रिप्टेड सिस्टम डिस्क के साथ भी संभव है, यानी सामान्य सिस्टम के लिए निर्दोष रूप से काम करना चाहिए। (बी) के लिए के रूप में, हाँ, आप के साथ पूरे डिस्क बैकअप कर सकते हैं dd, लेकिन ध्यान रखें कि इन छवियों को किसी भी महत्वपूर्ण राशि को संपीड़ित नहीं किया जाएगा। यह एन्क्रिप्टेड डेटा की प्रकृति के बिना पासफ़्रेज़ के यादृच्छिक डेटा से अप्रभेद्य होने के कारण है।
• इसका केवल अकादमिक लाभ है, यानी आपको फुल डिस्क एन्क्रिप्शन को तोड़ने के लिए पहली ट्रेडमिल वर्ल्ड जीडीपी का उपभोग करने के बाद, एक हमलावर को आपके एन्क्रिप्टेड होम फोल्डर (अलग-अलग पासफ़्रेज़ या चाबियों को संभालने) में एक और ट्रेडेडियन वर्ल्ड जीडीपी की भी आवश्यकता होगी। तो यह वास्तव में आपके एन्क्रिप्शन को 256 बिट्स से 257 बिट्स की लंबाई तक मजबूत करता है। व्यक्तिगत नोट पर, मैं पूर्ण डिस्क एन्क्रिप्शन मशीनों पर भी स्वत: लॉगिन का उपयोग करता हूं, क्योंकि मैं डिस्क एन्क्रिप्शन को पर्याप्त सुरक्षित मानता हूं ताकि बूट करने के बाद पासवर्ड को फिर से दर्ज करने की आवश्यकता न हो।

• आपके ड्राइव पर सब कुछ एन्क्रिप्टेड नहीं है, लेकिन आपका डेटा है।

  वह हिस्सा जो एन्क्रिप्टेड नहीं है /boot, वह आपका क्षेत्र है, क्योंकि इसका उपयोग स्टार्टअप के दौरान किया जाता है। उससे मिलने वाले कुछ रोचक परिणाम यहां देखे जा सकते हैं ।

• आप अपने विशिष्ट इंस्टॉलेशन की साइबर ताकत को चलाकर पता लगा सकते हैं

  ls /dev/mapper/ |grep crypt
  

  आउटपुट आपका_प्रत्यक्ष होगा

  cryptsetup status YOUR_CRYPT
  

  उदाहरण:

  ls /dev/mapper/ |grep crypt
  nvme0n1p4_crypt
  sudo cryptsetup status nvme0n1p4_crypt
  
  /dev/mapper/nvme0n1p4_crypt is active and is in use.   
  type:    LUKS1    
  cipher:  aes-xts-plain64   
  keysize: 512 bits   
  device:  /dev/nvme0n1p4     
  offset:  4096 sectors   
  size:    499410944 sectors   
  mode:   read/write   
  flags:   discards
  

  जब आप उबंटू पर स्थापित हो जाते हैं और आप किस संस्करण का उपयोग कर रहे हैं, इसके आधार पर आपका एन्क्रिप्शन ग्रेड अलग-अलग होगा, लेकिन पुराना सेटअप भी काफी मजबूत होगा, और आकस्मिक खुर के खिलाफ होने की संभावना है। उबंटू ब्लॉक-स्तरीय एन्क्रिप्शन पर एक अच्छी चर्चा: उबंटू का डिफ़ॉल्ट फुल-डिस्क एन्क्रिप्शन कितना सुरक्षित है?

• विभिन्न हार्डवेयर पर अपने एन्क्रिप्टेड ड्राइव को बूट करना कोई समस्या नहीं होगी। यदि आप अपने एन्क्रिप्टेड ड्राइव की एक बिट-फॉर-बिट कॉपी करते हैं, तो आप अभी भी सामान्य रूप से बूट कर सकते हैं, और अपने पासवर्ड का उपयोग करके इसमें लॉग इन कर सकते हैं। कॉपी ऑपरेशन "ऑफ़लाइन" किया जाना चाहिए (ड्राइव बंद होने के बाद अनमाउंट किया गया)। ऑन-लाइन डेटा हड़पने से काम होने की संभावना नहीं है, लेकिन मैं 100% निश्चित नहीं हूं।

• "होम फोल्डर" एन्क्रिप्शन "होम-फोल्डर-इन-ए-फाइल" विचार के आसपास आधारित है। यदि सिस्टम एन्क्रिप्ट नहीं किया गया था, और फ़ाइल सिस्टम को माउंट किया जाएगा, तो एन्क्रिप्टेड होम डायरेक्टरी एक बड़ी फ़ाइल होगी, जो cryptsetup का उपयोग करके एन्क्रिप्ट की गई होगी। जैसे कि एक एन्क्रिप्टेड सिस्टम के भीतर अपने घर के फ़ोल्डर को एन्क्रिप्ट करने से आपकी व्यक्तिगत फ़ाइलों को प्राप्त करने की कठिनाई बढ़ जाएगी। हालाँकि प्रदर्शन-व्यापार बंद हो सकता है। एन्क्रिप्टेड घर पर अधिक ।

लघु सरल उत्तर:

1. क्या ड्राइव पर सब कुछ एन्क्रिप्टेड है (मेरे डेटा सहित)? :

   • हां सब एन्क्रिप्टेड है

2. यह एन्क्रिप्शन कितना मजबूत है? :

   • आप सबसे मजबूत कड़ी के रूप में मजबूत छोड़ो ।

3. इसके अलावा, एन्क्रिप्शन मुझे या तो (ए) से एन्क्रिप्टेड फ़ाइल सिस्टम के साथ SSD को एक अलग डिवाइस में स्थापित करने से रोकता है या (b) ड्राइव का पूरा बैकअप बनाता है (उदाहरण के लिए, उबंटू के लाइव संस्करण का उपयोग करके) और किसी बिंदु पर उस बैकअप को पुनर्स्थापित करना? :

   • आपको खुद को समझाने की कोशिश करनी होगी। पासवर्ड भूल जाओ और आप डेटा सब चले गए हैं, अगर आप एक को जानते हैं जो इस तरह की स्थिति के बाद इसे क्रैक करने में सक्षम है, तो कृपया मुझे बताएं।

4. इसके अलावा, अगर पूरे फाइल सिस्टम को एन्क्रिप्ट किया गया है तो क्या उबंटू में मेरे होम फोल्डर को एन्क्रिप्ट करने का भी कोई मूल्य है? :

   • समय की बर्बादी, कोई जरूरत नहीं। लेकिन अगर आपको ठीक करने की आवश्यकता है!

अधिक जानकारी:

उस लिंक से जो आपने साझा किया है, मैं एक लिंक को उद्धृत करता हूं जिसका मैंने अनुसरण किया है:

इस कहानी से क्या शिक्षा मिलती है? यदि आपके पास अपने फोन पर एक घुड़सवार एलयूकेएस विभाजन है, तो किसी के लिए मास्टर एन्क्रिप्शन कुंजी प्राप्त करना बहुत आसान है। cryptsetup एक luksClose ऑपरेशन के दौरान राम से कुंजी को हटाता है, इसलिए मेरी सिफारिश केवल अपनी LUKS ड्राइव को माउंट करने की है जब आप इसका उपयोग कर रहे हैं और तब अनमाउंट करें और जब आप काम कर रहे हों तो इसे क्लिक करें । अन्यथा, यह एक बड़ा सुरक्षा छेद बन जाता है। लगभग आपकी ड्राइव पहले की तरह एन्क्रिप्टेड नहीं थी।

इसका शायद यहां उल्लेख करना उचित है कि एंड्रॉइड पर एलयूकेएस इस तरह के हमले के लिए अतिसंवेदनशील एकमात्र प्रणाली नहीं है। वस्तुतः सभी डिस्क-एन्क्रिप्शन सिस्टम एन्क्रिप्शन कुंजी को रैम में स्टोर करते हैं। प्रिंसटन CITP समूह ने इस तथ्य को बहुत पहले पहचान लिया था। यहाँ मेरा कहना सिर्फ इतना है कि इस तरह का हमला करना बहुत आसान है!

अधिक जानकारी के लिए बोल्ड सेक्शन पर ध्यान दें । जैसे मैंने कहा कि अगर आप अपने सामान को संभालने के तरीके में कमजोर या लापरवाह हैं तो परेशानी की उम्मीद करें। जब आप इसका उपयोग नहीं कर रहे हों, तो उन्होंने हमेशा सलाह दी है कि वे अनमाउंट करें या बंद करें।