Нужно ли шифрование SSD на ноуте?

Любое личное устройство лучше защитить шифрованием ssd, на случай кражи или самовыпила как минимум.

На ноуте оно в первую очередь и нужно, так как шанс его протерять куда выше, чем у домашнего компа. Производительность особо не стадает, износ диска тоже, так как трим работает: это чуток уменьшает секьюрность, так как становится понятно в каких областях диска есть данные, а в каких - нет, но данные всё равно зашифрованы.

Скажем так, в общем случае нет причин НЕ шифровать диски, что на ноуте, что на десктопе.

Хорошо. Если переходить к технической беседе, какой алгоритм шифрования будет оптимальным для ординарного образа жизни ноута? Я ставлю Arch

aes-xts-plain64 например, как в гайдах по арчу и рекомендуют, он сейчас считается достаточно защищённым и используется по-дефолту во многих дистрибутивах.

Я слышал хорошее о такой схеме: /boot зашифрован LUKS1, с ним может работать GRUB2, остальное (/, /home, swap) в LVM, который зашифрован LUKS2.

Как на любом мобильном устройстве, которое можно потерять/которое могут украсть – да, обязательно.

Impact на производительность на сколь-нибудь современных процессорах (с аппаратным AES) малозаметен, даже самые быстрые SSD не обрабатывают ввод-вывод быстрее, чем процессор шифрует. Я бы оценил overhead от 5 до 20%.

Вопрос износа сложнее, но ценой некоторой потери секурности можно активировать trim и на шифрованных разделах.

Все мои лаптопы, коих у меня несколько, используют полное шифрование (кроме /boot). В сценарии, который я рассматриваю (защита от кражи/потери) возможность загрузить вредоносное ядро не имеет значения.

Да, бэкапы/зеркальные копии обязательны.

Да </thread>

В примере используется опция --key-file=/dev/sdZ. Я правильно понимаю, что здесь раздел используется как файл расшифровки? Что ещё можно использовать в качестве аргумента?

Только вот шифровать без аппаратных ключей наверное не стоит. USB ключи стоят дешево. Пароли можно брутфорсом подобрать, если образ снятый с диска в виртуалку запихнуть. Там разве что монолитное ядро с драйверами только устройств ноутбука спасет, если boot на том же разделе. ZFS для всего использовать. FreeBSD умеет грузиться с ZFS. Линукс может еще не умеет.

Во все современные SSD уже встроено (неотключаемое) аппаратное шифрование.

На ноуте я бы зашифровал. На десктопе - нет. Шифрование просаживает производительность

Пароли можно брутфорсом подобрать

Это не пароли, это говно.

Учти, что luks2 по-умолчанию использует уже новые алгоритмы, а не aes(т.к. доверие подорвано), так что запусти бенчмарк сначала. Алгоритм можно выбрать при форматировании. Читай документацию дистрибутива. Trim может явно включить надо будет. Немало контроллеров используют сжатие данных, а шифрованные не сжимаются.

Надо еще обеспечить безопасность загрузчика. Можно использовать secureboot, или положиться на стороннюю сущность, типа внешнего носителя со встроенной защитой.

Если там SSD с OPAL или чем-то подобным - конечно, зачем добру пропадать. Тем более потом в сервис по гарантии сдавать можно без опасений за свои драгоценные данные )

Если нет, то по вкусу. У меня OPAL + родное шифрование ext4 для хомяка. Тормозов нема

самовыпила

А на фига покойнику ноутбук?

Оно тебе нужно только в том случае, если к ноуту имеют доступ посторонние. У тебя к ноуту имеют доступ посторонние?

Покойнику не нужен, конечно. Но может заинтересовать разных любопытных, любящих покопаться в личном и падких до чужих секретов. А криптованный диск сразу охладит их исследовательский пыл.

Во все современные SSD уже встроено

но в некоторые с мастер паролем в виде пустой строки

Будут, если оставлю где не надо

Ребята, уже испытал, призываю почитать https://www.linux.org.ru/forum/linux-install/15435239

Не оставляй :)

А криптованный диск сразу охладит их исследовательский пыл.

И? Это даже хуже, мало ли он самовыпилился под давлением кого-то? А для живых есть ректальный термокриптоанализатор, после которого все выдают пароли, в том числе и от шифрованных дисков.

Шифрование накопителей персональных устройств необходимо. Без компромиссов.

(я с LUKS уже лет 7 везде, дефолт при установке)

Но может заинтересовать разных любопытных, любящих покопаться в личном и падких до чужих секретов.

Какой-то трансцендентный уровень закомплексованности.

Это не так.

Во первых если зашифровать хомяк, он дольше будет загружаться, потом вот у меня терабайтник тошиба гавкнулся шифровался хомяк и после того как случилось это событие стало понятно что восстановить что либо просто невозможно из за шифрования именно.

Шифрование избыточно.

Я постоянно слышу от разных васянов: «мне нечего скрывать», «что такого что там зонд», «пусть колонка меня слушает», “мне что, жалко тиньку свои контакты слить?", «подумаешь товарищ майор читает» и прочее подобное.

Сказочные д-бы, ну что тут скажешь.

Они правы вообще то.

Параноить не надо так.

А почему не шифровать просто то, что хотите скрыть, а всё остальное держать на обычном разделе хомяке без шифрования? Просто создать отдельный зашифрованый раздел. НЕ?

Расскажите ещё вот о чём: что случается с ключом, который был прописан в include для mkinitcpio после обновления ядра? Он стирается или остаётся?

Если тебе только часть данных шифровать и хочется иногда в облака бэкапить - посмотри на https://www.cryfs.org/

пишу код в универе, смотрю фильмецы в перерывах и листаю реддит

конечно, шифруй, вдруг потеряешь ноут и кто-то украдёт твой код!

Внёс тебя в игнор, спасибо.

да на здоровье! мне то чего

только ты от темы отходишь со своими игнорами

Мне на майора пофиг, у майора и так есть полный доступ к моим данным, и возможность слушать и вести трекинг мобильного. Может быть только сейчас слушать стало не удобно, из-за обилия меснеджеров.

Но меня беспокоит что наверняка есть множество тулов вытаскивающих данные с любых дисков и из любых файловых систем, без необходимости быть «хакером» и разбираться в linux, fs, lvm и т.д.. В частности я могу представить скрипт который вытаскивает все сохраненные пароли из firefox и thunderbird т.к. они не умеют из коробки gnome-keyring, затем вытаскивает приватные ключи из ~/.ssh/ и т.д. а если у гипотетического преступника есть еще возможность перевыпустить сим карту, использовав скан паспорта с моего диска, то я могу потерять все свои накопления. Можно много чего потерять, например раскрученный домен, так что шифрование оно нужно. У меня вот ssd диск вышел из строя, гарантия 5 лет, но я его в сервис не отдам, страшно, может в сервисе затесался такой «хакер».

я его в сервис не отдам, страшно, может в сервисе затесался такой «хакер».

Samsung утверждает, что у них с этим строго, работники сервисов никогда не получат доступа к данным. Но я бы тоже не стал отдавать диск без шифрования, даже в Samsung.

но я его в сервис не отдам, страшно, может в сервисе затесался такой «хакер».

Если есть возможность просто купить новый хард, то просто купить.

Если диск сломался, но нем остались важные данные, за которые тебе ссыкотно, то стоит поискать сервис, который предоставляют услугу ремонта в присутствии клиента. Наверняка такие есть или можно договориться в индивидуальном порядке.

Samsung утверждает,

Ну, Самсунг не может утверждать иного. Увы, люди врут, фирмы врут. Даже хорошие и с именем. И потом, ремонтный центр Самсунг (или Эппл) в Швейцарии и он же в Индии - это разные ремонтные центры.

износ диска тоже, так как трим работает:

Это каким образом трим внутри криптованного работает? На уровне системы получается, что все сектора заняты.

Пароли можно брутфорсом подобрать, если образ снятый с диска в виртуалку запихнуть.

Если более-менее грамотный пароль придуман, то хрен его брутфорсом подберешь. Грамотный - это как минимум длиной 15 и более символов, не содержащий готовых словарных единиц, имеющий буквы в разном регистре и не только алфавитно-цифровые символы. Главное самому его не забыть.

у майора и так есть полный доступ к моим данным

Сидишь в особо охраняемой тюрьме с надзором 24/7 ? Если нет, то нет у него такого доступа.

множество тулов вытаскивающих данные с любых дисков и из любых файловых систем, без необходимости быть «хакером» и разбираться в linux, fs, lvm и т.д..

Ага, волшебство нарушающее законы физики и математики, а в единорогов веришь ? Вера во всесилие спецслужб происходит из за незнания матчасти и основ.

Какое ко взлому зашифрованной ФС имеет отношение школоскрипт извлекающий пароли из открытого источника ?

если у гипотетического преступника есть еще возможность перевыпустить сим карту

Поэтому нужно минимизировать завязку важных сервисов на сим карты всеми силами, использовать альтернативы и подключать другие факторы для защиты.

использовав скан паспорта с моего диска

ССЗБ кто хранит сканы паспорта на диске.

Нет. Ибо у нас есть паяльник и 🔨, специально для таких случаев.

использовав скан паспорта с моего диска

ССЗБ кто хранит сканы паспорта на диске.

А где хранить? В криптоконтейнере? Если да то потому и нужен диск с шифрованием, потому как я копией паспорта пользуюсь, когда требуется копия паспорта я её печатаю на своем принтере, предварительно нанеся на изображение текст с целью «аренда жилья в городе ххх», «валидация счета в сервисе ххх». Но это я делаю в графическом редакторе, могу ведь сохранить исходник со слоями, так что шифровать диск надежнее.

Если нет, то нет у него такого доступа

Хе-хе, майор может узнать все. Он видит денежные транзакции, безналичные расчеты, конечно может он не знает что я купил большой дилдо в секшопе, зато знает что в сексшопе отоварился на N рублей. По трекингу телефона он узнает, что после этого я провел ночь по адресу где не проживаю и не работаю. И это только метаинофрмация которую можно автоматически собирать, даже если ты неуловимый джо, mayor.sh не устанет. И уж точно, если будет нужно «по вопросам национальной безопасности» государство может все мои деньги со счета отечественного банка испарить.

Какое ко взлому зашифрованной ФС имеет отношение школоскрипт

Любой гопник может извлечь пароли если они не зашифрованы(а они по дефолту не зашифрованы во многих приложениях). И именно по этому нужно шифровать всю ФС, или хотя бы весь home.

без необходимости быть «хакером» и разбираться в linux, fs, lvm

Ага, волшебство нарушающее законы физики и математики, а в единорогов веришь ?

Ах, я понял, ты не умеешь читать. Где я сказал про eCryptfs, LUKS, dm-crypt ?

Поэтому нужно минимизировать завязку важных сервисов на сим карты всеми силами, использовать альтернативы и подключать другие факторы для защиты.

Токены? И много мест где они используются?

А где хранить? В криптоконтейнере?

Да, а лучше вообще не хранить и тем более не передавать в интернете третьим лицам по каким то незначительным поводам, вроде всяких верификаций, хотят гарантий - есть залоговые платежи, и вообще проведение сделок должно быть автоматизировано с помощью всяких автогарантов, но увы это пока нечасто встречается.

Он видит денежные транзакции, безналичные расчеты, конечно может он не знает что я купил большой дилдо в секшопе, зато знает что в сексшопе отоварился на N рублей.

Потому я и призываю пореже пользоваться карточками, а больше наличкой и криптовалютами.

По трекингу телефона он узнает, что после этого я провел ночь по адресу где не проживаю и не работаю.

Поэтому ненужно брать с собой устройства слежения если вам нужна конфиденциальность.

И уж точно, если будет нужно «по вопросам национальной безопасности» государство может все мои деньги со счета отечественного банка испарить.

Именно поэтому наличка/криптовалюты/левые счета должны быть, даже если вы обычный джо и вам нечего скрывать, для безопасности, на всякий случай, пусть испаряют копейки на мелкие расходы.

И именно по этому нужно шифровать всю ФС, или хотя бы весь home.

Поначалу показалось что вы из секты нечегоскрывателей, ошибся бывает, в остальном о мерах безопасности думаю спорить не о чем.

Шифрование спасёт лишь от случайной утери твоего устройства. Во всех остальных случаях оно бесполезно, так как для людей в погонах и бандитов данные автоматически будут ими получены путем нехитрых манипуляций с тобой и близкими.

Я для себя уже давно вы работал схему. Свои железки держу без шифрование. Создал несколько чистых аккаунта на разных почтовых сервиса и их использую для социальных сетей и прочей ерунды. Пароли закинул в менеджер паролей. Зашёл на ресурс, посмотрел/почитал, вышел. Для работы на локалхосте пароли как есть, никакой секретной информации нет. Говнокод никому не интересен.

Для деликатной информации использую брелок с двумя флешками: live и криптоконтейнер. Загрузился, открыл luks, поработал, перезагрузил.

Шифрование спасёт лишь от случайной утери твоего устройства. Во всех остальных случаях оно бесполезно, так как для людей в погонах и бандитов данные автоматически будут ими получены путем нехитрых манипуляций с тобой и близкими.

Я для себя уже давно вы работал схему. Свои железки держу без шифрование. Создал несколько чистых аккаунта на разных почтовых сервиса и их использую для социальных сетей и прочей ерунды. Пароли закинул в менеджер паролей. Зашёл на ресурс, посмотрел/почитал, вышел. Для работы на локалхосте пароли как есть, никакой секретной информации нет. Говнокод никому не интересен.

Нет. На самом деле, сценариев поболее.

Как пример тебе, ноут незашифрован, в разы облегчаестая доступ, а значит компроментация системы. И чем тебе поможет менеджер паролей на скомпрометированной системе? На шифре, атака с физическим доступом уже сложнее, а через сеть если голова присутствует, тоже неочевидна.

По мне, лучше шифр с бутом, загрузка через efi. Винтики на буке замазаны лаком с каким-нибудь с известным тебе паттерном, биос опенсурсный или с блобами, запаролен, загрузка с флешек закрыта.

Это не от спецслужб. Терморектальный криптоанализатор никто не отменял, код они брутфорсить не будут. Но, «доброжелатели», средние хакеры и юные хакеры идут лесом, кража и пр. несколько прикрывает данные.

Для сенситивной инфы - доступ к банку и прочее, заход с отдельной виртуалки.

в вопросе содержится ответ.

Это каким образом трим внутри криптованного работает? На уровне системы получается, что все сектора заняты.

Прекрасно работает: https://worldsmostsecret.blogspot.com/2012/04/how-to-activate-trim-on-luks-en...

Ты точно дурашка.

Все деликатный данные хранятся на флешке в криптоконтейнере. С ним работаю с помощью второй загрузочный флешки live. Работа с интернет сервисами банка и прочими нужными сервисами, где идёт работа с денежными средствами, идёт только через режим «live».

Основная система не зашифрована. Созданы аккаунты в соцсетях и т.п. не наделены какой-нибудь ценностью, но по мере возможности/желания осуществляют выход из аккаунта, а чтобы не забыть сгенерированный пароль, храню его в pass и его аналогах. Пароли от ЛОР и прочих ненужных ресурсов Google, Yandex, Twitter и т.д. интереса у атакующего не вызовут, да и из создателю они тоже особо не интересны.

Нужно грамотно разделять данные на те, что нужно шифровать, и те, которые можно хранить открыто.

Капец, а. Нагородили. Чем она хуже простой рабочее-крестьянской «/ зашифрован LUKS1, нафиг этот ваш /boot» и «/ зашифрован LUKS2, нафиг /boot, все равно ядро на ESP»? Насколько я отстал от жизни?

Все мои лаптопы, коих у меня несколько, используют полное шифрование (кроме /boot).

И тебя тоже спрошу - почему кроме /boot?