Gå til innhold

Systemkryptering med TrueCrypt og linux.


Anbefalte innlegg

Får etterhvert en PC som jeg kommer til å ha med meg daglig på skolen. Den får XP Pro, i tillegg til at jeg tenkte å dual boote med en eller annen linux distro.

 

En sånn PC vil selvfølgelig ha en del sensitive opplysninger, så jeg tenkte at i tillegg til ting som bios og brukerpassord så burde jeg kryptere hele systemdisken med TrueCrypt. Jeg har da et par spørsmål angående det.

 

Vil det bli en merkbar ytelsesforskjell? Det ser ut som det bare er Windows som støtter systemkryptering, men betyr det at man ikke kan ha andre OS enn Windows på en kryptert disk, eller betyr det at man bare kan sette opp en kryptert systempartisjon fra Windows? Jeg vet også at mange (alle?) linux distribusjoner har en form for systemkryptering, vil det eventuelt skape problemer med Windows-installasjonen?

 

Takker for svar. :)

Lenke til kommentar
Videoannonse
Annonse

Var jeg deg ville jeg tenkt gjennom hvor sensetive opplysninger du har tenkt å oppbevare, og hvordan andre kan få tilgang til dem. Så snart et krypert volum er mountet fungerer det som et hvilket som helst ukryptert volum, dvs dersom noen får tak i maskinen mens den står på og volumene er mountet er det ingen sikkerhet. Det samme gjelder all datatrafikk du sender ukryptert over nettverket du er tilkoblet.

Lenke til kommentar

Vi snakker ikke supersensitive opplysninger her, men type msn-logger, mail, bilder og lignende. Nettverkstrafikk er ikke noe jeg bryr meg om (pleier sjelden å være på usikre nett), det er mer hvis noen tar pc-en. Da kan man jo lese alt på disken hvis man vet hvordan.

 

Å lage en "container" funker heller dårlig med tanke på ting som msn-logger og mail.

Vil det gå an å kryptere bare Windowspartisjonen med truecrypt, og linux partisjonen med et eget program (har fått inntrykk av at det er mulig), vil da en boot manager ligge før truecrypt boot loaderen og kunne "styre" meg på vei?

Lenke til kommentar
Å lage en "container" funker heller dårlig med tanke på ting som msn-logger og mail.
Hvorfor det? Hvis du for eksempel bare krypterer /home-partisjonen så vil jo programdata være krypterte. Hvis du krypterer hele systemet vil du få en del dårligere ytelse. Endret av haalo
Lenke til kommentar

Tenkte mer på Windows akkurat der. Jeg har lite erfaring med Linux, men kryptering av home vil vel si kryptering av alle data som har med brukeren å gjøre(?)

 

En mulighet er jo å kryptere Windowspartisjonen med truecrypt, og bare home mappa i linux. Lurer fortsatt på hvordan det går med tanke på boot ...

Endret av hernil
Lenke til kommentar

Var jeg deg ville jeg ikke kryptert hele systempartisjonen. Du har vel ikke så sensitive opplysninger i dine MSN logger, og mailer uansett ?

 

Å kryptere systempartisjonen senker ytelsen, muligens ikke så mye på bærbare som har treige harddisker allerede. Men det største ankepunktet dersom du spørr meg er at dersom du får diskkrasj kan du glemme å redde ut dataene, iallefall dersom deler av headeren blir korrupt og du ikke får åpnet det krypterte volumet.

 

Det du må spørre deg selv om er "hvem er du redd for skal snoke ?" Og er det sannsynlig at disse vil få tak i maskinen mens de krypterte volumene allerede er mountet ?

 

Dersom du har bios passord før oppstart vil det holde i massevis mot vanlige brukere som får tak i pcen mens den er av. Da må man (gitt at en ikke vet passordet) ta ut hele disken og sette den i en annen pc for å få ut data. Dersom det er "venner" og "kjente" som får tak i pcen bør du jo klare å forhindre at de får tid nok til en slik operasjon.

Lenke til kommentar

Bare en liten inveldelse. Jeg kjører selv 3 systemer fullstendig kryptert, dvs. alt untatt "/boot". En desktop maskin, en server og en bærbar, samt en mix av ubuntu og fedora. Jeg kan ikke si jeg merker noen som helst treghet i systemet forårsaket av dette. Tenk på det, dagens CPU'er er mer en rask nok til å kryptere data "on the fly" i det de skrives til disk, da den faktiske skrivehastigheten til enhver disk er "treg"... Det er nok mulig jeg vil revurdere dette når SSD disker kommer inn i bildet, men i skrivende stund vil du nok ikke lide av å kjøre et fullstendig kryptert system. Noe du kanskje bør tenke på er å ikke kryptere swap, men husk, hvis din maskin går tom for tilgjengelig ram vil data skrives til denne partisjonen, og det vil være ukryptert, og kan dermed hentes ut av disken uten større problemer.

 

Jeg har verken prøvd, heller ikke vært fristet til å kryptere en windows partisjon, hvorfor vet jeg ikke helt, er nok bare meg...

 

Mitt tips, bare prøv! Kryptering i Ubuntu/Fedora samt Debian er rimelig trivielt, velg kryptering under installasjon og du er i mål. Du kan selvfølgelig installere på vanlig måte, for så å kryptere det du vil i etterkant, men dette krever litt mer.

 

Selvfølgelig er det en bakdel hvis din disk får feil, eller det skjer noe slik at du ikke kan låse opp partisjonen, men det er jo derfor vi har backup.

 

Store gutter tar aldri backup, men gråter ofte.

 

Sett passordbeskyttet skjermsparer, kanskje også prøv denne: BlueProximity, denne vil skru på skjermspareren når du beveger deg bort fra systemet (med f.eks. en mobiltelefonen), og låse det opp i igjen i det du nærmer deg.

Lenke til kommentar

Hva slags laptop er det du har?

Flere produsenter har støtte for HD kryptering i bios (nei, dette er ikke det samme som bios passord). Harddisken forblir kryptert selv om du setter den i en annen PC.

 

Har bare erfaring med HP og Dell maskiner på dette, og det var ingen ytelsesforskjell.

Lenke til kommentar
Hva slags laptop er det du har?

Flere produsenter har støtte for HD kryptering i bios (nei, dette er ikke det samme som bios passord). Harddisken forblir kryptert selv om du setter den i en annen PC.

 

Har bare erfaring med HP og Dell maskiner på dette, og det var ingen ytelsesforskjell.

 

Jeg har selv en HP laptop, nc4200, og selv om denne har støtte for "kryptering" (DriveLock) i BIOS, er ikke dette kryptering. Data som skrives til disken blir ikke kryptert, det eneste denne låsen gjør er å låse kontrollerkortet for disken. All data på platene blir liggende like ukryptert som de ellers villa ha gjort. Jeg har bange anelser om at du vil kunne hente ut all data fra en slik "kryptert" disk bare ved å bytte kontrollerkortet med en maken disk uten denne sperren satt, og du har full tilgang til data. Jeg har også lest rapporter fra scenarier der det er blitt gjort en lignende operasjon for å hente ut data fra en slik låst disk.

Lenke til kommentar

Kjenner ikke til eksakt hva som foregår. På HP's norske side, står det at det er en hd lås, mens på den amerikanske siden står det "encrypted". Uansett, sendte en disk til IBAS for noen år siden som var låst med HP's Drivelock. Tror vi betalte 30 lapper for det, men de klarte ikke å få ut noe.

 

Spørs om trådstarter har behov for noe bedre enn dette.

Lenke til kommentar

Når det gjelder diskkræsj så har truecrypt en rescue disk som er ment for sånne situasjoner. Det er jo sant som det sies, bios passord kommer til å holde de aller fleste unna. Det er ikke så veldig mange som kan eller gidder å ta ut harddisken for å hente ut noen data.

 

Det er forresten en Dell, men om den har drivelock er jeg ikke sikker på.

Endret av hernil
Lenke til kommentar

Det må også sies at hvis windows kneler så kan du ta ut den krypterte disken og sette den inn i en annen maskin med truecrypt og montere den som en vanlig

kryptert disk.

Jeg har klart å sette opp win kryptert med linux som andre OS på samme harddisk uten kryptering.

Har ikke prøvd med LUKS på linux partisjonen ennå.

Lenke til kommentar

Jeg merker ikke noen ytelsesforskjell nei.

Når du skal kryptere system partisjonen, eller en hvilken som helst

partisjon får du mulighet til å benche de forskjellige algoritmene på

ditt system.

Dette gjør at du kan velge den algoritmen som yter best på ditt system.

Lenke til kommentar

Her er en liten guide for oppsett:

 

Det går fint an å dualboote windows kryptert med truekrypt og linux ukryptert.

Her er hvordan jeg satte dette opp. Dette funker for vista og xp.

 

Del1. Jeg skal innstallere alt fra scratch

 

 

Installer windows som vanlig.

 

Last ned en ubuntu alternate cd, og installer linux på en annen partisjon.

Under innstallasjonen av linux får du et valg om du vil sette opp grub på hd0,

svar nei her.

Dette resulterer i en skjerm med en tekstlinje nederst hvor du kan skrive inn

hvor du vil sette opp grub.

 

Her er hd0,0 den første partisjonen på den første hardisken, hd0,1 den andre partisjonen

på den første harddisken, hd1,0 den første parisjonen på den andre hardisken osv.

 

Skriv inn partisjonen som du satte opp som root, og gjør ferdig innstallasjonen.

 

Så Booter du inn i windows legger inn truecrypt og krypterer system partisjonen.

Velg dualboot system, 1 system disk, ingen bootloader

Når du vil boote linux trykker du esc i passord prompt'et i truecrypt boot loaderen.

 

 

 

 

 

Del2. Jeg har et system med windows og linux innstallert, nå vil jeg kryptere windows

med truecrypt.

 

 

Her må det litt mer fikling til:

Krypter windows innstallasjonen med tryecrypt.

Velg dualboot system, 1 system disk, ingen bootloader

Boot fra en livecd og skriv følgende i en terminal

 

sudo grub

find /boot/grub/stage1

Denne vil gi deg plasseringen der grub skal innstalleres, denne plasseringen skal du bruke i de neste kommandoene

root hd(?,?)

setup (hd?,?)

Her skriver vi samme partisjon som i kommandoen over, for ikke å legge loaderen i mbr på disken, da truecrypt loaderen ligger der

quit

 

Hvis du har flere windows partisjoner må de utover system partisjonen krypteres som egne partisjoner.

For å boote linux trykker du esc på passord prompt'et i "truecrypt boot loaderen".

Dette går fordi denne er en "chainloader"

 

Merk dette vil ikke kryptere linux innstallasjonen. Hvis noen har erfaring med å sette opp LUKS på en egen partisjon

kan de kanskje lage en guide for dette

 

relevante filer /boot/grub/menu.lst

 

 

Edit: guide for LUKS partisjon

Endret av hello(win)
Lenke til kommentar

Takker for grundig gjennomgang. Denne kommer til nytte hvis jeg bestemmer meg for å kryptere, får dessverre ikke maskinen før om et par måneder, så får ikke prøvd det ut med det første. Skal likevel gi tilbakemelding når den tid kommer. :)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...