Данные в компьютерах обычно хранятся в открытом виде, как в Windows, так и в Linux, что дает доступ к любой информации практически любому, на нее покушающемуся (!) или так «случайному прохожему» или даже неслучайному. Если вы хотите что-то скрыть от посторонних глаз, то эта статья для вас — умеренных параноиков и пользователей (K)Ubuntu. Особенно это касается владельцев ноутбуков (про массовые кражи все читали).Взялся за это дело шифровальное, посмотрел, что народ пишет. Может, кому тоже пригодится.
Я зашифровал не все разделы, а только пользовательские данные. Это нисколько не меньшая безопасность, чем шифровать весь корневой раздел со всеми пакетами и библиотеками!
Итак, что требует шифрования:
* swap
* /home — поместить в контейнер tc (можно в виде файла, или в раздел)
* /tmp — эти данные нужны только для одного сеанса, поэтому смело помещаем в tmpfs
* /var/tmp — то же самое
* /var/spool — здесь хранятся пользовательские задачи cron, задачи для принтера, лучше поместить в контейнер вместе с домашней папкой
* /var/mail — в контейнер
* /var/lib/slocate — в контейнер
* /var/log — в контейнер. хотя кое-что на этапе загрузки не попадет сюда, но это не относится к пользовательским логам
Для линукса есть как встроенные (dm-crypt, loop-aes...), так и стороннее средство — TrueCrypt, работающее как в Windows Vista/XP/2000, так и в Linux (правда примерно в 1.5 раза медленнее). И конечно же с открытым кодом (привет спецслужбам :)
TrueCrypt позволяет создавать криптоконтейнеры как в разделах, так и в файлах, которые потом подключаются как разделы. Шифрует с использованием алгоритмов AES, Twofish, Serpent.
Все три алгоритма очень надежны, и сейчас не существует даже теоретического способа взлома, кроме метода полного перебора.
AES — выбран как правительственный стандарт в США
Twofish — на процессоре AMD64 (linux kernel i386 2.6.20-16) самый быстрый. Опережающий AES в среднем на 20%
Serpent — существенно медленнее остальных
Заметил, что Twofish быстрее на AMD, а AES на Intel, причем на Intel Mobile оба алгоритма примерно равны. Вы можете выбрать любой из них, но я советую сначала протестировать на скорость на вашем компьютере.
Используются хешовые функции RIPEMD-160,SHA-1 и Whirlpool.
SHA-1 — появилась теоретическая возможность взлома, и хотя это скорее относится к письмам и цифровым подписям, не рекомендуется к применению.
RIPEMD-160 — стоит по умолчанию. Для этого алгоритма даже теоретически взлом пока не возможен. Но вот его предшественник RIPEMD уже себя дискредитировал. Whirlpool — теоретически самая медленная, некоторые источники утверждают, что медленнее в 2-3 раза, чем остальные. Хотя мои тесты показали, что в TrueCrypt это не так. Как в Linux, так и в Windows XP отставание не более 5% от предыдущих. На сегодняшний момент самый стойкий алгоритм. И самый молодой.
Можно использовать Whirlpool или RIPEMD-160.
В TC есть возможность использовать каскады алгоритмов. Связка AES-Twofish вместе с Whirlpool и скрытый контейнер — это для суперсекретных данных ;)
Truecrypt несомненно хорош и тем, что внутри зашифрованного контейнера можно спрятать еще один. Это против взломов методом паяльника.
Хотя в документации сказано, что внешний контейнер должен быть как FAT отформатирован, он прекрасно работает и с ext2. Но при превышении границы между контейнерами с ключом -P система не говорит об окончании места как в Windows, просто данные эти теряются.
Журнал файловой системы автоматически размещается в криптоконтейнере.
Детальней со всеми примерами можно посмотреть здесь
