加密分区的安全性如何？

在安装Ubuntu 16.04时，我选择对文件系统进行加密，现在在启动Ubuntu之前会提示我输入密码。

我想知道内容的安全性如何？特别：

• 驱动器上的所有内容（包括我的数据）是否都已加密？

• 这种加密的强度有多大？（我知道，这是时间和资源以及我选择什么密码的问题，但我的意思是从实际的意义上讲...任何人都可以通过我的前门推土机，但是普通的小偷没有资源或倾向来袭击屋）。例如，如果我将笔记本电脑送去维修，或者笔记本电脑丢失或被盗，我是否需要担心没有真正紧迫理由的人尝试对它进行解密以方便访问？（我知道这里曾问过类似的问题，但是那是很久以前的事了，所以也许情况已经变了？）

• 另外，加密是否会阻止我（a）将带有加密文件系统的SSD安装到其他设备上，或者（b）对驱动器进行完整备份（例如，使用Ubuntu的实时版本），并且在某个时候恢复该备份？

• 另外，如果整个文件系统都经过加密，那么在Ubuntu中对我的主文件夹进行加密是否有任何价值？

• 如果您选择通过LUKS加密新系统，则会对整个系统进行加密。这包括您的系统文件，主文件夹（以及您的数据）以及交换分区。这意味着您可以使用磁盘暂挂（也称为休眠），并且仍然具有全盘加密的所有优点。如评论中所指出的，Ubuntu默认使用suspend-to-RAM。要使Ubuntu使用挂起磁盘代替，您必须遵循help.ubuntu.com上的说明，该说明显然仅适用于有限数量的计算机。
• 256位AES加密在可预见的将来可能足够强大。正如此处在密码栈交换中所讨论的，强行使用AES-256的成本大约是世界GDP的100万亿倍-这是您无法想象的最接近的事情。甚至强行使用128位AES加密也需要花费世界GDP的一千倍。
• 除了LUKS标头（这是HDD / SSD之一）和您的密码短语（位于您的头上）之外，LUKS密钥没有任何锁定。这使您可以（a）在任何其他计算机上使用它，只要未加密的系统磁盘也可以使用它，即，对于普通系统，它应该可以正常工作。至于（b），是的，您可以使用进行整个磁盘备份dd，但是请注意，这些映像不会压缩到任何数量。这是由于没有密码短语的情况下，加密数据与随机数据无法区分。
• 这仅具有学术上的好处，即在消耗了第一个万亿GDP来破坏您的全盘加密之后，攻击者将需要另一个万亿GDP才能进入您的加密主文件夹（假设使用不同的口令/密钥）。因此，它实际上增强了从256位到257位密钥长度的加密。就个人而言，我什至在全磁盘加密机上使用自动登录，因为我认为磁盘加密足够安全，因此不需要在启动后再次输入密码。

• 并非驱动器上的所有内容都是加密的，但是您的数据是加密的。

  未加密的部分是您所在的/boot区域，因为它是在启动期间使用的。来自该流的一些有趣的结果，可以发现在这里。

• 您可以通过运行找出特定安装的密码强度

  ls /dev/mapper/ |grep crypt
  

  输出将是YOUR_CRYPT

  cryptsetup status YOUR_CRYPT
  

  例：

  ls /dev/mapper/ |grep crypt
  nvme0n1p4_crypt
  sudo cryptsetup status nvme0n1p4_crypt
  
  /dev/mapper/nvme0n1p4_crypt is active and is in use.   
  type:    LUKS1    
  cipher:  aes-xts-plain64   
  keysize: 512 bits   
  device:  /dev/nvme0n1p4     
  offset:  4096 sectors   
  size:    499410944 sectors   
  mode:   read/write   
  flags:   discards
  

  加密等级将根据在Ubuntu上的安装时间以及所使用的版本而有所不同，但是即使是较旧的设置也会相当强大，并且可能会阻止随意破解。关于Ubuntu块级加密的精彩讨论：Ubuntu的默认全盘加密的安全性如何？

• 在其他硬件上引导加密的驱动器将不是问题。如果您对加密的驱动器进行逐位复制，则仍然可以正常启动该驱动器，并使用密码登录。复制操作应在“脱机”状态下进行（关闭驱动器后卸下驱动器）。在线数据获取不太可能成功，但是我不确定100％。

• “主文件夹”加密基于“文件中的家庭文件夹”思想。如果未加密系统，并且将挂载文件系统，则加密的主目录将是单个大文件，并使用cryptsetup进行加密。因此，在加密系统中对您的主文件夹进行加密将增加获取个人文件的难度。但是，可能需要权衡性能。有关加密家庭的更多信息。

简单的简短答案：

1. 驱动器上的所有内容（包括我的数据）是否都已加密？：

   • 是的，所有都是加密的

2. 这种加密的强度有多大？：

   • 退出强是强如最薄弱的环节你。

3. 另外，加密是否会阻止我（a）将带有加密文件系统的SSD安装到其他设备上，或者（b）对驱动器进行完整备份（例如，使用Ubuntu的实时版本），并且在某个时候恢复该备份？：

   • 您必须尝试说服自己。忘记密码，您的数据全部消失了，如果您知道在这种情况下能够破解密码的人，请告诉我。

4. 另外，如果整个文件系统都经过加密，那么在Ubuntu中对我的主文件夹进行加密是否有任何价值？：

   • 浪费时间，没有必要。但是，如果您需要确定！

更多信息：

在您分享的链接中，我引用了一个链接：

这个故事的寓意？如果您的电话上已安装LUKS分区，则有人很容易获得主加密密钥。cryptsetup确实在luksClose操作期间从ram删除了密钥，所以我的建议是仅在使用LUKS驱动器时挂载它，然后在完成时卸载并luksClose。否则，它将成为一个巨大的安全漏洞。就像您的驱动器一开始就没有加密一样。

在这里可能需要适当提及的是，Android并不是唯一容易受到这种攻击的系统。几乎所有磁盘加密系统都将加密密钥存储在ram中。普林斯顿CITP小组很久以前就发现了这一事实。我的意思是，这样的攻击非常容易做到！

请注意粗体部分的更多信息。就像我说的那样，如果您在处理自己的事情时无能为力或粗心大意，那就麻烦了。当您不使用时，他总是建议卸载或关闭。