LINUX.ORG.RU
ФорумAdmin

Какой дисковой шифровалкой вы пользуетесь?

 


1

3

Призадумался что если потеряю ноут то там и конторские доки и исходников всяких разных и фоты котиков.
За сим хотца чем-нить не особо навязчиво его зашифровать, но чтоб не шибко сильно било по производительности виртуалок, коих там парочка активно используется - по идее в современных процах же куча всякого аппаратного шифрования.
И я явно не один с такой хотелкой - кто чем пользуется?

★★★★

дисковой шифровалкой

Фиалка М-125. Товарищ майор одобряет.

no-such-file ★★★★★
()

кто чем пользуется?

Сохраняю данные на разных носителях. Утрата данных не грозит. Твои секретики, кроме тебя, никому не интересны. Скорее всего твою гентобунту просто снесут и накатят другую.

anonymous
()

На Linux - LUKS.

но чтоб не шибко сильно било по производительности виртуалок, коих там парочка активно используется

Если используется шифрование AES и процессор поддерживает аппаратно AES, то производительность достаточно высокая, чтобы не тормозило. Сейчас это почти все процессоры, но все же надо убедиться, встречаются еще некоторые слабенькие процессоры без него.

С поддержкой AES скорость шифрования/дешифрования где-то минимум около 300-400Мб/сек даже на довольно слабых процессорах, но типично ближе к Гб/сек

anonymous
()
Ответ на: комментарий от anonymous

Это ПК. Сейчас скину с ноута.

$ cryptsetup benchmark              
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      2614902 iterations per second for 256-bit key
PBKDF2-sha256    4843307 iterations per second for 256-bit key
PBKDF2-sha512    1963625 iterations per second for 256-bit key
PBKDF2-ripemd160  981812 iterations per second for 256-bit key
PBKDF2-whirlpool  772147 iterations per second for 256-bit key
argon2i       4 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
argon2id      4 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b      1231.7 MiB/s      3940.8 MiB/s
    serpent-cbc        128b       119.3 MiB/s       769.9 MiB/s
    twofish-cbc        128b       247.2 MiB/s       446.4 MiB/s
        aes-cbc        256b       982.9 MiB/s      3165.2 MiB/s
    serpent-cbc        256b       123.6 MiB/s       773.2 MiB/s
    twofish-cbc        256b       256.8 MiB/s       447.0 MiB/s
        aes-xts        256b      3155.6 MiB/s      3205.8 MiB/s
    serpent-xts        256b       755.4 MiB/s       742.7 MiB/s
    twofish-xts        256b       443.1 MiB/s       444.1 MiB/s
        aes-xts        512b      2840.4 MiB/s      2825.1 MiB/s
    serpent-xts        512b       758.9 MiB/s       742.8 MiB/s
    twofish-xts        512b       443.4 MiB/s       442.4 MiB/s

UPD. Вот ноут.

$ cryptsetup benchmark 
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      2811195 iterations per second for 256-bit key
PBKDF2-sha256    4364520 iterations per second for 256-bit key
PBKDF2-sha512    1340890 iterations per second for 256-bit key
PBKDF2-ripemd160  970903 iterations per second for 256-bit key
PBKDF2-whirlpool  616084 iterations per second for 256-bit key
argon2i       8 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
argon2id      8 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b      1457.5 MiB/s      5336.5 MiB/s
    serpent-cbc        128b        89.9 MiB/s       660.4 MiB/s
    twofish-cbc        128b       228.2 MiB/s       423.3 MiB/s
        aes-cbc        256b      1137.9 MiB/s      4299.1 MiB/s
    serpent-cbc        256b        92.2 MiB/s       661.7 MiB/s
    twofish-cbc        256b       232.8 MiB/s       423.1 MiB/s
        aes-xts        256b      3867.9 MiB/s      3865.8 MiB/s
    serpent-xts        256b       680.7 MiB/s       640.3 MiB/s
    twofish-xts        256b       409.7 MiB/s       386.5 MiB/s
        aes-xts        512b      3069.9 MiB/s      3495.5 MiB/s
    serpent-xts        512b       682.1 MiB/s       639.7 MiB/s
    twofish-xts        512b       411.2 MiB/s       411.9 MiB/s

Использую aes-xts 256b и там и там.

aquadon ★★★★★
()
Последнее исправление: aquadon (всего исправлений: 2)
Ответ на: комментарий от anonymous

Вот он гусь, лапчатый. Человек в кабале, документики, а ты не нужны.

anonymous
()

На рабочем ноуте FileVault. На личных ничем.

pinus_nigra
()

VeraCrypt на систему, отдельные контейнеры для данных, это только для офтопика.

В линуксе личную порнографию не держу.

One ★★★★★
()
Ответ на: комментарий от One

VeraCrypt на систему

Так он же громоздкий! Или именно на это и расчёт? Что никто кроме тебя пользоваться не будя?

anonymous
()

заброшенный truecrypt, симлинк на дом. директорию в контейнере.

novus ★☆
()
Последнее исправление: novus (всего исправлений: 2)

Некоторые дистрибутивы дом. директорию могут шифровать прям при установке дистрибутива.

novus ★☆
()

LUKS + местами encfs (да, поверх LUKS)

Harliff ★★★★★
()
Последнее исправление: Harliff (всего исправлений: 1)

LUKS на весь диск (чтобы меньше тормозов было: @WitcherGeralt где-то объяснялся на эту тему). Это если диск один; с несколькими надо так сильно морочиться, что можно в процессе выучить какой-нибудь Gentoo. Для сменных носителей – Veracrypt. Шифровать /boot или нет – неважно, на шансы злоумышленника расшифровать это не должно повлиять.

Также бэкапы на накопители в конторе. Ибо если кто-то шибко умный скоммуниздит ваш ноут, то с вероятностью 99% этот «бей» снесёт всё и накатит «венду». Из оставшегося 1% «мамкиных какиров» что-то сделать смогут разве что представители спецслужб. Ну и машинка должна выглядеть неприглядно, чтобы соблазна было меньше.

Korchevatel ★★★★★
()

На ноуте luks отдельный раздел шифрует. Систему и хомяк - нет. Все чувствительное, что должно быть в хомяке - симлинки в шифрованный раздел. Это на случай утери.

Диски, которые на гарантии - полнодисковое шифрование, на случай поломки и отдачи в СЦ (моя коллекция прона - это моя коллекция прона. И негоже склизким ручонкам работничков в ней шариться)

gutaper ★★★★★
()
Ответ на: комментарий от Harliff

Странно, что никто битлокер не назвал, как то прям не похоже это на ЛОР :)

Школьники повыростали, винфак закрылся.

Korchevatel ★★★★★
()
Ответ на: комментарий от Korchevatel

Наоборот, я спрашивал, мне в комментариях объясняли: Оверхед при шифровании /home на SSD

Ссылка на фороникс с результатами тестирования из того же треда.

/boot у меня просто в корне, отдельный раздел под него не размечен, т.е. он тоже зашифрован вместе с корнем. В принципе это правильно, это помешает подменить ядро на месте. Загрузчик в любом случае можно натравить на другое, но хотя бы твоё подменить не получится.

У меня три раздела: /, /home, /swap — все шифрованы LUKS 1 (да, даже своп). Шифрование делалось силами установщика openSUSE, затем вручную в контейнеры были добавлены дополнительные ключи, сами ключи в виде файлов были сохранены в корне, заданы в crypttab и добавлены в initramfs (с помощью dracut). Это нужно, чтобы вводить пароль один раз в момент, когда grub читает корень. Иначе пришлось бы вводить пароль дополнительно уже в тот момент, когда разделы монтируются непосредственно при загрузке операционки. Для хомяка это делать не обязательно, если хочется чтобы было посекурней и он не открывался автоматически вместе с корнем, но для самого корня (+ swap в моём случае) это сделать следует, ибо никакого смысла вводить пароль от него дважды нет.

Если ничего не изменилось, то установщик Ubuntu, например, поступает иначе, он делает отдельный нешифрованный /boot, а пароль ты вводишь уже непосредственно во время загрузки ОС. В хомяк на отдельном разделе при таком раскладе установщик не умеет. И тут, по-идее, ничто не мешает использовать LUKS 2 (в моём случае его не поддерживает grub).

Что так, что этак, оверхед от шифрования, что на самом актуальном, что на пятилетнем железе, ценаправленные попытки выявить оверхед показали мне несущественную разницу в рамках погрешности.

Ещё стоит держать в уме, что контроллеры во многих (дешёвых) SSD агрессивно сжимают данные, а шифрованные данные, по понятным причинам, сжатию поддаются хуже. То есть, скорость наверняка будет проседать. А то и вовсе вместимость, но это уже пальцем в небо, т.к. в этом вопросе мне разбираться не интересно.

WitcherGeralt ★★
()

Какой дисковой шифровалкой вы пользуетесь?

Никакой ибо нет необходимости. От шифрования будут только лишние проблемы при восстановлении данных. Защита в первую очередь осуществятся препятствием физического доступа посторонних лиц к компьютеру.

если потеряю ноут

Это каким разгильдяем надо быть чтобы потерять ноутбук? Ситуация для меня фантастическая. Если вдруг случилась, то ССЗБ и урок на будущее.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)

Дефолтный LUKS на все диски, на всех компах. Кроме переносных юсб дисков

zendrz ★★
()
Последнее исправление: zendrz (всего исправлений: 1)
Ответ на: комментарий от X512

Окстись. Если не носиться с ноутбуком как с писанной торбой, всякое может быть. Банальный случай кражи например. Оставляя ноут без присмотра в опенспейсе, или даже на ночь в нормальном офисе, куда имеют доступ уборщицы из стороннего клинингового сервиса, стоит о шифровании таки задуматься.

За полгода, что я периодически работал в коворкинге, мой ноут где только не валялся без присмотра произвольное количество времени. И я ни секунды не парился по этому поводу, потому что всё было надёжно зашифровано.

WitcherGeralt ★★
()
Ответ на: комментарий от X512

Защита в первую очередь осуществятся препятствием физического доступа посторонних лиц к компьютеру.

Пропишут в переносицу и заберут рюкзак или сумку с ноутом и все, хорошая защита данных. Сломается ноут и ты понесешь его без дисков в сервис?

Это каким разгильдяем надо быть чтобы потерять ноутбук?

Не нужно быть разгильдяем, что бы что-то потерять. Достаточно сильно устать и без проблем можно забыть вещи в кафе, в поезде, такси или еще где.

anonymous
()
Ответ на: комментарий от WitcherGeralt

Оставляя ноут без присмотра в опенспейсе, или даже на ночь в нормальном офисе

Я не оставляю. В последнее время у меня x86 планшет, который запросто можно с собой брать куда угодно.

X512 ★★★★★
()
Ответ на: комментарий от anonymous

Чтобы потерять целый ноут всё же особое раздолбайство требуется.

Но с другой стороны, как раз таки только раздолбай такую вероятность учитывать и не станет. Человеский фактор он и Африке человеческий фактор.

WitcherGeralt ★★
()
Ответ на: комментарий от anonymous

Пропишут в переносицу и заберут рюкзак или сумку с ноутом и все

Есть жить в неблагополучном районе/стране, то никакое шифрование не поможет. Терморектальный криптоанализ никто не отменял.

Достаточно сильно устать и без проблем можно забыть вещи в кафе, в поезде, такси или еще где.

Разгильдяи ищут себе оправдания чтобы доказать что все такие. Нет, все не такие.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от WitcherGeralt

Но с другой стороны, как раз таки только раздолбай такую вероятность учитывать и не станет.

Я с большей вероятностью пароль забуду, чем потеряю устройство. Потерять данные по причине утраты пароля - это абсурд какой-то.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от X512

Терморектальный криптоанализ никто не отменял.

Так я и думал, бывай.

anonymous
()
Ответ на: комментарий от anonymous

Постоянно пребывать настороже физически невозможно.

А это и не требуется. Достаточно выработать необходимые привычки.

X512 ★★★★★
()

Использую файловые контейнеры от VeraCrypt.

mydibyje ★★★★
()

Никакой. Не храню на ноуте ничего ценного, тем более основной способ злонамеренной кражи данных немного другой.

peregrine ★★★★★
()

На ноуте использую нативное шифрование ext4 (fscrypt), что позволяет шифровать только конкретный каталог с конфиденциальной информацией внутри своего домашнего, не трогая всё остальное.

VitalkaDrug ★★
()
Ответ на: комментарий от VitalkaDrug

Вот как раз у меня выбор и сводится к:

  • отдельный раздел под /home и прикрыть его через luks
  • все на один раздел и прикрыть /home через fscrypt

Логика в том что мне, с одной стороны, нет смысла шифровать все за пределами home, но с другой стороны, раз уж шифровать то и заодно прикрыть ключи/базы браузеров и прочую шляпу, которую валят в home прикладные программы.

Luks выглядит симпотно т.к. можно включить на этапе установки и забыть, но убивает возможность удаленной перезагрузки (как не странно, но редко да метко мне это бывает надо), а вариант с fscrypt, как я понял, только залочит моего пользователя по ssh - т.е. можно создать левого пользователя, зайти под ним и получить доступ к папке по паролю

rukez ★★★★
() автор топика
Ответ на: комментарий от aureliano15

@TheLinuxUser, ты вроде как шифруешь и недавно ставил виртуалки. Правда, не знаю, на зашифрованный раздел или нет.

Да, на шифрованный.

Соглашусь с @anonymous, самый популярный и быстрый - AES. Причем по производительности я бы отдал предпочтение aes-xts. Можно зашифровать только home, или вообще весь диск

Вот несколько ссылок, которые дадут тебе подробные ответы на все вопросы во время шифрования: ru/Crypt - Debian Wiki, dm-crypt - ArchWiki

Также если дисков несколько, можно зашифровать несколько, просто расшифровывая их от одного или нескольких ключей на одной флешке при запуске.

VeraCrypt - выглядит сомнительно, учитывая их историю, + неудобно вводить каждый раз пароль. Я бы использовал его только в безвыходной ситуации, или когда нужно было бы зашифровать флешку или один винт, который может использоваться как на винде, так и на линуксе.

TheLinuxUser ★★
()

кто чем пользуется?

Google One, по подписке.

e000xf000h
()
Ответ на: комментарий от rukez

Luks выглядит симпотно т.к. можно включить на этапе установки и забыть, но убивает возможность удаленной перезагрузки (как не странно, но редко да метко мне это бывает надо), а вариант с fscrypt, как я понял, только залочит моего пользователя по ssh - т.е. можно создать левого пользователя, зайти под ним и получить доступ к папке по паролю

Для LUKS можно также добавить кроме файла-ключа - пароль.

TheLinuxUser ★★
()

Шифровать отдельные файлы или разделы — дело сомнительное. Конфиденциальные данные могут попасть в swap или в /tmp куда-нибудь. Надо шифровать весь диск целиком. Тем более, это самый простой способ.

anonymous
()
Ответ на: комментарий от anonymous

Дополнительный слой шифрования хуже не сделает.

anonymous
()

ноут

Блокировки паролем на уровне дискового интерфейса (ATA) хватит. Проверь, на ноутбуках поддержка прямо при загрузке чаще есть у «рабочих». Может через hdparm надо будет настроить, если bios/uefi не умеет настраивать, или для тонкой настройки. Раздел ATA Security Feature Set.

boowai ★★★★
()
Ответ на: комментарий от anonymous

Шифровать отдельные файлы или разделы — дело сомнительное. Конфиденциальные данные могут попасть в swap или в /tmp куда-нибудь.

в моем случае в целом достаточно, логика такая что:

  • я могу ноут пролюбить сам (у меня один раз уже умудрились умыкнуть и ноут и системник за один день) и от пионеров шифрованный дом более чем спасет - никакой прям супер важной инфы там всё равно нет
  • я иногда оставляю ноут на объектах, где есть конкуренты - допускаю что могут что-нить ненавязчиво слямзить на тему посмотреть (благо нужное можно запускать от левого пользователя и держать реальный дом закрытым), но опять-же разбирать свап … да проще уж тогда мне денег предложить или чего поумнее придумать

т.е. речь о простой предосторожности, раньше я пользовал родное синьпадовое FDE, но хотца чуть более вендоро-независимое решение, да и несколько ключей/отзыв ключей в luks’е то-же полезно - можно в командировках палить временный ключ коллегам, а не менять его туда-сюда :-)

rukez ★★★★
() автор топика
Ответ на: комментарий от boowai

Блокировки паролем на уровне дискового интерфейса (ATA) хватит. Проверь, на ноутбуках поддержка прямо при загрузке чаще есть у «рабочих». Может через hdparm надо будет настроить, если bios/uefi не умеет настраивать, или для тонкой настройки. Раздел ATA Security Feature Set.

я так понял что в новых синькпадах с NVME только интерфейсный лок и остался, а прозрачное шифрование осталось только для sata (и возможно для опала, но как-то не очевидно)
согласен что его достаточно, но оно блочит загрузку, что иногда неудобно - надо либо пёхать до ноута либо сливать пароль коллеге, оставленного «у кнопок».

rukez ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.