El 18/3/21 a les 10:45, Joan ha escrit:
(faig un crosspost des de la sala de Matrix) Bon dia, M'ha arribat un disc dur nou per substituir un que em donava error de tant en tant. Llavors, estava pensant en encriptar-ne una part.-.. Fins ara jo sempre he tingut els meus discs sense encriptar. I no em cal encriptar els 4Tb del disc nou... Però he pensat, i això us volia consultar, que igual podria fer una petita partició, posa de 500Gb, encriptada, i la resta no... No sé si això és factible o el LUKS ha d'aplicar al dispositiu sencer... I si trobeu que pot estar bé (per, per exemple, posar la info sensible en aquesta partició, i la resta a la normal)
Hi ha diverses configuracions, però amb LUKS, tant pots crear un arxiu com a volum virtual, com tota una partició. LUKS és només una capa per sobre (o per sota) d'una partició. En el moment en que es desxifra, la clau queda a la RAM i es va desant llegint a l'instant xifrant i desxifrant.
Pots certament crear dues particions i que una d'elles estigui xifrada. També pots fer que la partició xifrada, a dins, hi tingui una partició de tipus LVM amb diverses particions virtuals (volums lvm). Aquesta última és la manera més pràctica per haver de posar només una contrasenya.
Em pregunto també si te sentit crear dugues particions o ja posats, encripto tot el disc. Però no sé si això implica que l'accés a la info que hi hagi serà més lent, etc. És a dir, si tinc un vídeo, el reproductor de vídeos o música llegirà la info, un cop arrencat el sistema i subministrada la contrasenya, igual de ràpid que si no estigués encriptat?
Sense dades a la mà, costa de dir, però segur que la teva màquina farà més feina. Ara bé, avui dia certes operacions de criptografia es fan ens xips de la CPU dedicats a això. Em sembla que AES es sol fer per hardware, per exemple. En aquest cas, ni ho hauries de notar.
Es conserva la mateixa funcionalitat que en els discs no encriptats?
En general, sí, perquè es munten com a loop device. Així, amb un sol disc xifrat sense LVM, tindries /dev/sda i /dev/mapper/particio-protegida. Totes les operacions sobre la partició protegida són estàndards, un cop desxifrada, ni te n'adones.
La funcionalitat que perds, però, és l'arrencada automàtica. Pensa que per desxifrar qualsevol cosa, el que diferencia la persona que hi té accés legítim de la que no, és el coneixement d'un secret, en aquest cas, una contrasenya. També hem de tenir en compte que xifrar el disc et protegeix d'atacs on se t'emporten la màquina apagada. Quan la volen encendre, oh! està xifrat el disc i no poden llegir res. Per tant, en un ús legítim, cada cop que s'engegui la màquina, hauràs de proporcionar-li la contrasenya. Com fer-ho depèn molt de l'ús que li vulguis donar a la partició.
Més dubtes: si uso Syncthing per sincronitzar directoris entre diferents dispositius, i vull sincronitzar un directori que només està encriptat en un dispositiu, ho podria fer? Intueixo que un cop jo accedeixo a la partició encriptada amb LUKS amb la contrasenya, en arrencar, tota la info es accessible pel sistema, de tal manera que les aplicacions, etc. no saben si està o no encriptada, oi? I llavors suposo que Syncthing podrà fer la seva feina... És així?
És així! Salut, fdk
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature