Al instalar, tengo la opción de cifrar mi carpeta de inicio. ¿Qué hace esto?

103
  • ¿Cifrar mi carpeta de inicio hace que mi computadora sea más segura?
  • ¿Tengo que ingresar mi contraseña más si mi carpeta de inicio está encriptada?
  • ¿Qué más debo saber sobre el cifrado de mi carpeta de inicio?
David Siegel
fuente

Respuestas:

95

Simplemente

  1. Cifrar su carpeta de inicio en realidad no hace que su computadora sea más segura, simplemente hace que todos los archivos y carpetas de su carpeta de inicio sean más seguros frente a la visualización no autorizada.
    • Su computadora aún es "vulnerable" desde el punto de vista de la seguridad, pero se hace muy difícil que le roben su contenido (a menos que el atacante tenga su contraseña).
  2. No necesitará ingresar su contraseña más de lo que normalmente lo hace: cuando inicia sesión en su computadora, sus archivos se descifran sin problemas solo para su sesión.
  3. Existe la posibilidad (dependiendo del hardware de su computadora) de que esto afecte el rendimiento de su máquina. Si le preocupa más el rendimiento que la seguridad (y está en una máquina más antigua), puede deshabilitar esta función.

Técnicamente

Ubuntu usa "eCryptfs" que almacena todos los datos en un directorio (en este caso, las carpetas de inicio) como datos cifrados. Cuando un usuario inicia sesión, esa carpeta encriptada se monta con un segundo montaje de descifrado (este es un montaje temporal que funciona de manera similar a tmpfs: se crea y ejecuta en RAM, por lo que los archivos nunca se almacenan en un estado descifrado en el HD). La idea es: si su disco duro es robado y el contenido leído, esos elementos no pueden leerse, ya que Linux necesita ejecutarse con su autenticación para crear el montaje y descifrado exitosos (las claves son datos cifrados SHA-512 basados ​​en varios aspectos del usuario: las claves se almacenan en su llavero cifrado). El resultado final son datos técnicamente seguros (siempre que su contraseña no esté descifrada o se filtre).

No tendrá que ingresar su contraseña más de lo habitual. Hay un ligero aumento de E / S de disco y CPU que (dependiendo de las especificaciones de su computadora) puede dificultar el rendimiento, aunque es bastante transparente en la mayoría de las PC modernas

Marco Ceppi
fuente
55
Marco, gracias por tu respuesta, parece que tienes una excelente comprensión del cifrado de la carpeta de inicio. Solo para el beneficio de usuarios menos técnicos, ¿puede ahorrarme todos los detalles técnicos y responder la pregunta como si estuviera preguntando como un usuario analfabeto informático?
David Siegel
2
Modifiqué mi respuesta para reflejar un punto de vista más simple
Marco Ceppi
1
¡Gracias! (Sin embargo, hay algunas peculiaridades de formato)
David Siegel
11
También tenga en cuenta que si realiza un arranque dual, hace que sea mucho más difícil acceder a su partición de Linux desde su sistema operativo secundario. En Windows, instalé un controlador simple para leer mi partición EXT3, pero ahora estoy bloqueado. Oy!
Jono
2
plod: Ahí es donde se detiene la seguridad. Si alguien tiene tu contraseña, entonces se acabó el juego.
Marco Ceppi
15

Hay un buen artículo sobre el tema escrito por el propio desarrollador de Ubuntu, consulte: http://www.linux-mag.com/id/7568/1/

Resumen:

  • Se utiliza una combinación de LUKS y dm-crypt para el cifrado de disco completo en Linux. Ubuntu utiliza el Sistema de archivos criptográficos de empresa (ECryptfs) de la versión> = 9.10 para habilitar el cifrado de la unidad de inicio al iniciar sesión.

  • Se crean un directorio superior e inferior, donde el directorio superior se almacena sin cifrar en la RAM, otorgando acceso al sistema y al usuario actual. El directorio inferior se pasa a unidades de datos atómicas cifradas y se almacena en la memoria física.

  • Los nombres de archivo y directorio usan un solo fnek (clave de cifrado de nombre de archivo) para todo el montaje. El encabezado de cada archivo cifrado contiene un fek (clave de cifrado de archivo), envuelto con un fekek (clave de cifrado de archivo, clave de cifrado) independiente de todo el soporte. El conjunto de claves del kernel de Linux administra las claves y proporciona cifrado a través de sus cifrados comunes.

  • El uso de un eCryptfs PAM (Módulo de autenticación enchufable) no interrumpe los reinicios desatendidos, a diferencia de las soluciones típicas de cifrado de disco completo.

  • El sistema de archivos en capas eCryptfs permite copias de seguridad cifradas incrementales por archivo.

al-maisan
fuente
3
¿Puede convertir su respuesta de solo enlace en una respuesta más útil, resumiendo los puntos principales planteados en ese artículo?
arekolek
9

Menos técnicamente responde según lo solicitado por OP.

Beneficios de seguridad de Home encriptado a través de ecryptfs como en Ubuntu:

  • No requerirá que se recuerden o ingresen contraseñas o claves adicionales.
  • No hace que su computadora sea más segura en una red, por ejemplo, en Internet.
  • Si la computadora se comparte entre varios usuarios, proporciona una barrera adicional contra otros usuarios que acceden a sus archivos. (Difícil discusión técnica).
  • Si un atacante obtiene acceso físico a su computadora, por ejemplo, roba su computadora portátil, esto evitará que el ladrón lea sus datos. (Si la computadora está apagada, no pueden leer sus datos sin su contraseña. Si la computadora está encendida y usted está conectado, es posible que un ladrón robe sus datos, pero requiere un ataque más avanzado, por lo tanto, es menos probable).
ene
fuente
6

Lo que debe saber sobre el cifrado de su carpeta de inicio es que no se puede acceder a los datos cuando no está conectado. Si tiene algún proceso automático o externo (como un crontab) que intenta acceder a estos datos, funcionará de maravilla. mientras lo estás viendo, pero fallas cuando no lo estás viendo. Esto es muy frustrante para depurar.

Neil Vandermeiden
fuente
2

La seguridad de su sistema real no está determinada por la seguridad de sus archivos, carpetas y documentos ... todo lo que hace es hacerlos un poco más seguros de miradas indiscretas ...

zkriesse
fuente