进行全盘加密的最佳方法?

13

我有点迷茫,不知道选择哪种技术进行全盘加密。很难确定那里的信息是否仍然是最新的。是否有当前的最佳实践解决方案?

linux  security  filesystems 
马丁
source

Answers:

10

基本上有2种用于分区的“标准”工具:

  • TrueCrypt-跨平台,开放,合理的可否认性
  • dm-crypt-特定于Linux,使用Linux Crypto API,可以利用Linux支持的任何加密硬件加速和设备映射器。

还有dm-crypt的前身cryptoloop

麦琪(Maciej Piechotka)
source
为TrueCrypt删除了“无法使用硬件AES”。从最近发布的v7开始不再适用:truecrypt.org/docs/?s=version
沃伦·杨
4
但是据我所知,TrueCrypt仅在我要从Windows驱动器启动操作系统时才能加密Windows驱动器。因此,这将使dm-crypt成为唯一的解决方案。
马丁
4

我使用带加密文件系统的Debian并在笔记本上交换三年没有问题。

它会在Linux启动期间提早要求输入密码,然后继续直接启动到我的桌面(我禁用了登录对话框)。

设置大致为sda5-> sda5_crypt->物理卷dm-0-> Linux的卷组->用于/的逻辑卷/ dev / Linux / root和用于交换的/ dev / Linux / swap。

交换被加密以避免泄漏信息。

还有一个用于内核,grub等的未加密的200MB引导分区。

我记得在我理解正确之前,在Debian安装程序中这是一个复杂的舞蹈。

星蓝
source
1
现代的Debian安装程序无需任何复杂的工作即可处理此问题。一切都正常。
derobert
3

我以前使用过True Crypt,发现它工作得很好。

香草
source
2
TrueCrypt确实支持Linux的全盘加密,但是它只能在Windows的启动盘上进行加密。我怀疑原始发布者想要加密其启动磁盘,而不是要加密一个引导磁盘,该辅助磁盘可以在系统启动足够远之后才能安装到TrueCrypt的密码中。
沃伦·杨
3

有很多选择。

像OpenSUSE / SLES这样的发行版提供了在安装时加密一个或多个分区的选项。

在大多数情况下,这不是偶然的选择,您不想重新安装操作系统。

我使用“ encfs”文件系统,因为encfs是基于FUSE(http://fuse.sourceforge.net/)构建的,所以该文件系统应在Linux,MacOS和FreeBSD上都可以使用:

http://www.arg0.net/encfs

这个想法是您可以将某些目录指定为加密目录,而这些目录将要求您在安装时输入密码才能访问它们。

miguel.de.icaza
source
0

您可能想尝试ReiserFS或Reiser4。它确实很安全,并且支持加密;它是美军使用的唯一的开源文件系统,如果对美军来说足够好,那么对您来说可能就足够了.-)

米拉
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.