it-swarm-ko.tech

설치시 홈 폴더를 암호화하는 옵션이 제공됩니다.이 기능은 무엇입니까?

  • 홈 폴더를 암호화하면 컴퓨터가 더 안전 해 집니까?
  • 홈 폴더가 암호화 된 경우 비밀번호를 더 입력해야합니까?
  • 홈 폴더 암호화에 대해 알아야 할 사항이 있습니까?
103
David Siegel

단순

  1. 홈 폴더를 암호화해도 실제로 컴퓨터가 더 안전 해지지는 않습니다. 단순히 홈 폴더의 모든 파일과 폴더를 무단으로 볼 수 없도록 더욱 안전하게 만듭니다.
    • 보안 관점에서 컴퓨터는 여전히 "취약성"입니다. 그러나 공격자가 암호를 가지고 있지 않으면 콘텐츠를 도난하기가 매우 어려워집니다.
  2. 실제로 평소보다 더 이상 비밀번호를 실제로 입력 할 필요는 없습니다. 컴퓨터에 로그인하면 파일이 세션을 위해 완벽하게 해독됩니다.
  3. 컴퓨터 하드웨어에 따라 컴퓨터의 성능에 영향을 줄 수 있습니다. 보안 이상의 성능이 걱정되는 경우 (및 구형 컴퓨터 인 경우)이 기능을 비활성화 할 수 있습니다.

기술적으로

우분투는 "eCryptfs"를 사용하여 모든 데이터를 디렉토리 (이 경우에는 홈 폴더)에 암호화 된 데이터로 저장합니다. 사용자가 해당 암호화 된 폴더에 로그인하면 두 번째 암호 해독 마운트로 마운트됩니다 (이것은 tmpfs와 유사하게 작동하는 임시 마운트입니다. RAM에서 생성되어 실행되므로 파일은 암호 해독 된 상태로 저장되지 않습니다. HD). 아이디어는 하드 드라이브가 도난 당하고 성공적인 마운트 및 암호 해독을 생성하기 위해 Linux를 인증으로 실행해야하기 때문에 해당 항목을 읽을 수없는 경우 (키는 SHA-512 암호화 된 데이터입니다. 여러 사용자 측면-키는 암호화 된 키 링에 저장됩니다). 최종 결과는 암호가 해독되거나 유출되지 않는 한 기술적으로 안전한 데이터입니다.

평소보다 더 이상 비밀번호를 입력하지 않아도됩니다. 컴퓨터 사양에 따라 디스크 I/O 및 CPU가 약간 증가하여 성능이 저하 될 수 있습니다. 대부분의 최신 PC에서는 매끄럽지 않습니다.

95
Marco Ceppi

우분투 개발자가 직접 쓴 주제에 관한 멋진 기사가 있습니다. http://www.linux-mag.com/id/7568/1/

요약:

  • LUKS와 dm-crypt의 조합은 Linux에서 전체 디스크 암호화에 사용됩니다. Ubuntu는 버전> 9.10의 ECryfsfs (Enterprise Cryptographic File System)를 사용하여 로그인시 홈 드라이브 암호화를 활성화합니다.

  • 상위 디렉토리와 하위 디렉토리가 작성되며, 상위 디렉토리는 RAM에 암호화되지 않은 상태로 저장되어 시스템 및 현재 사용자에게 액세스 권한을 부여합니다. 하위 디렉토리는 원자로 암호화 된 데이터 단위로 전달되어 실제 메모리에 저장됩니다.

  • 파일 및 디렉토리 이름은 단일 마운트 범위의 파일 (파일 이름 암호화 키)을 사용합니다. 암호화 된 각 파일의 헤더에는 별도의 마운트 전체 fekek (파일 암호화 키, 암호화 키)로 감싸 인 fek (파일 암호화 키)가 포함되어 있습니다. Linux 커널 키링은 키를 관리하고 공통 암호를 통해 암호화를 제공합니다.

  • ECryptfs PAM (Pluggable Authentication Module)을 사용하면 일반적인 전체 디스크 암호화 솔루션과 달리 무인 재부팅이 중단되지 않습니다.

  • ECryptfs 계층 파일 시스템은 파일 별, 증분, 암호화 된 백업을 가능하게합니다.

15
al-maisan

OP의 요청에 따라 기술적으로 덜 대답합니다.

우분투에서와 같이 ecryptfs를 통해 암호화 된 홈의 보안 이점 :

  • 추가 암호 나 키를 기억하거나 입력 할 필요가 없습니다.
  • 네트워크에서 컴퓨터를 더 안전하게 만들지 않습니다 (예 : 인터넷에서.
  • 컴퓨터가 여러 사용자간에 공유되는 경우 파일에 액세스하는 다른 사용자에 대한 추가 장벽을 제공합니다. (어려운 기술 토론.)
  • 공격자가 컴퓨터에 물리적으로 접근 할 수있는 경우 (예 : 노트북을 훔치면 도둑이 데이터를 읽지 못하게됩니다. (컴퓨터가 꺼져 있으면 암호없이 데이터를 읽을 수 없습니다. 컴퓨터가 켜져 있고 로그인 한 경우, 도둑이 데이터를 훔칠 수는 있지만 더 높은 수준의 공격이 필요할 수 있습니다.)
9
Jan

홈 폴더 암호화에 대해 알아야 할 사항은 로그인하지 않은 상태에서 해당 폴더의 데이터에 액세스 할 수 없다는 것입니다.이 데이터에 액세스하려고 시도하는 자동화 된 프로세스 나 외부 프로세스 (예 : crontab)가있는 경우에는 제대로 작동합니다. 당신이 그것을보고있는 동안, 당신이 그것을보고하지 않으면 실패합니다. 이것은 디버깅하기에 매우 실망입니다.

6

실제 시스템의 보안은 파일, 폴더 및 문서의 보안에 의해 결정되지 않습니다.

2
zkriesse