eCryptfs -- где указать опции алгоритма шифрования? Или чем лучше шифровать данные?

safocl, лично по мне, так намного удобнее делать ручками, используя cryptsetup (LUKS) - главное видишь и понимаешь что делаешь.
Можешь выбрать и способ шифрования и длину ключа и способ ввода пароля (или мастер пароль или ключевой файл). Для расшифровки файла-контейнера достаточно ввести 2 команды. Что тебе не понравится, так это, наверное, заданный при установке размер файл-контейнера и использование sudo. Зато надежно.
Ошибки не исчезают с опытом - они просто умнеют
vasek
Зато надежно.
так же надежно как и eCryptfs, EncFS, TrueCrypt, cryfs и т.п.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
vasek
лично по мне, так намного удобнее делать ручками, используя cryptsetup (LUKS) - главное видишь и понимаешь что делаешь.
Можешь выбрать и способ шифрования и длину ключа и способ ввода пароля (или мастер пароль или ключевой файл). Для расшифровки файла-контейнера достаточно ввести 2 команды. Что тебе не понравится, так это, наверное, заданный при установке размер файл-контейнера и использование sudo. Зато надежно.
я люксом планирую шифровать полностью систему, однако, на данный момент груб не поддерживает LUKS2 формат, только первый тут об ентом уже с прошлого года просят усердно)))
наверно надо будет портицию с ядрами и загрузчиком на LUKS1 делать...

еще один момент не ясен, как лучше сделать, или как то вообще не получится -- мне представляется два пути шифрования :
1. сначала накатанный LVM и на него уже LUKS делать.
2. Вначале LUKS, на нем уже размещать LVM

даже хз но первый вариант выглядит точно рабочим, второй я не уверен, что так возможно, и чо LVM может существовать в LUKS контейнере.
nafanja
так же надежно как и eCryptfs
Просьба, будет время опиши в кратце как используешь, возможно имеются какие то нюансы. Возможно что то делаю не так.
Просто у меня к нему сложилось предвзятое мнение, возможно и ошибочное.
Ошибки не исчезают с опытом - они просто умнеют
vasek
Просьба, будет время опиши в кратце как используешь,
да все по вике, использовал для шифрования всей папки пользователя. залогинелся папка расшифровалась, ключевой файл хранился на флешке, удобненько, но для меня лишнее.
а сейчас использую EncFS и CryFS, потому что в кедах появился стандартный виджет шифрования папок и он поддерживает эти две утилиты.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
да все по вике, использовал для шифрования всей папки пользователя. залогинелся папка расшифровалась, ключевой файл хранился на флешке, удобненько, но для меня лишнее.
Понятно. Я попробовал несколько способов, плотно не разбирался, но при беглом знакомстве отметил следующие основные минусы и пока без ответов некоторые нюансы (и все это связано с тем, что ecryptfs использует хэш пароля пользователя для генерации другого хэша/ключа)
- не возможно сменить пароль зашифрованной папки - для этого нужно расшифровать папку, создать заново новую папку и переместить в нее содержимое старой папки.
- при создании зашифрованной папки дополнительно создается и подлежит хранению определенная информация, при потере которой данные не расшифровать, то есть они будут потеряны.
- вопросы (точнее сомнения), связанные с возможностью смены логина и пароля для входа в систему, переноса и использованию зашифрованных данных на другом компьютере.
- ну и user должен четко представлять какой способ использования ecryptfs выбрать - как отметил выше есть нюансы с монтированием, например, использование fstab не допустимо (нарушается безопасность).

Но стоит отметить и большой плюс для тех кто использует SSD - шифрование на уровне файловой системы в части быстродействия намного предпочтительнее блочного шифрования самих данных.

EDIT 1 - а вообще понравилось монтирование/размонтирование всего одной командой (от пользователя) - ecryptfs-mount-private/ecryptfs-umount-private
Ошибки не исчезают с опытом - они просто умнеют
vasek
- при создании зашифрованной папки дополнительно создается и подлежит хранению определенная информация, при потере которой данные не расшифровать, то есть они будут потеряны.
да, создается файл ключ и это правильно!!!
vasek
- не возможно сменить пароль зашифрованной папки - для этого нужно расшифровать папку, создать заново новую папку и переместить в нее содержимое старой папки.
все возможно и даже очень быстро можно сменить пароль, перешифровывать данные не нужно!
файл ключа содержит большой рандомный пароль, которым шифруются данные, а вот этот большой пароль шифруется маленьким паролем пользователя.
vasek
- ну и user должен четко представлять какой способ использования ecryptfs выбрать - как отметил выше есть нюансы с монтированием, например, использование fstab не допустимо (нарушается безопасность).
fstab использовать для шифрования пользовательских данных просто глупо! шифрование должно производиться в пространстве пользователя, а к расшифрованным данным не должно быть доступа даже руту.
vasek
- вопросы (точнее сомнения), связанные с возможностью смены логина и пароля для входа в систему, переноса и использованию зашифрованных данных на другом компьютере.
это все работает и быстро, так как данные не перешифровываются, а просто перешифровывается большой рандомный пароль в файле ключа.
имея файл ключа и пароль, можно расшифровать данные и на другом компе.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
да, создается файл ключ и это правильно!!!
это на любителя, мне больше нравится мастер пароль (использую простой, но не менее 20 символов и 3 уровня символов, но никогда не забывается).
Файл ключ это другое, например, этот файл, используемый вместо пароля (как такового пароля нет вообще, вместо него файлик, держишь отдельно)
dd if=/dev/urandom of=/tmp/enc.key bs=1 count=4096

nafanja
все возможно и даже очень быстро можно сменить пароль
nafanja
а просто перешифровывается большой рандомный пароль в файле ключа
а вот это то мне и не понятно как делать, что то нигде не встретилось. Пишут, что на другом компе использовать можно, но как? - не вникал.
Ошибки не исчезают с опытом - они просто умнеют
vasek
а вот это то мне и не понятно как делать, что то нигде не встретилось. Пишут, что на другом компе использовать можно, но как? - не вникал.
да я уже, честно говоря, тоже не припомню, как это делается, но в свое время было что и пароль пользователя менял и расшифровывал под другим пользователем, все норм.

а вообще я давно перешел на EncFS, но сейчас присматриваюсь к CryFS, там не только данные и имена файлов/директорий скрываются, но даже узнать размер зашифрованного файла проблема.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
Разобрался, нашел как можно сменить пароль на монтирование
Ошибки не исчезают с опытом - они просто умнеют
 
Зарегистрироваться или войдите чтобы оставить сообщение.