Riziko a postup při zašifrování celého HDD v notebooku s Ubuntu přes VeraCrypt
Prosím o názory na riziko při zašifrování celého HDD v notebooku s Ubuntu přes VeraCrypt. Nechci mít pouze zašifrované soubory, ale celý disk. Na webu se píše, určitě zálohovat raději data. Veškerá uložená data budou zálohována (dokumenty, obrázky, hudba, stažené soubory). Je možné (čistě teoreticky), aby došlo například i ke ztrátě nainstalovaných programů?
Našel jsem na webu výborný obrázkový návod zašifrování celého disku přes VeraCrypt https://napovedy.cz/post/754 ,ale je to pro Windows a česky. Nevíte o něčem podobném v angličtině (česky bohužel není) pro Linux Ubuntu? Jedná se mi hlavně o první dva až tři kroky.
Druhý odkaz v Google...
https://ubuntuhandbook.org/index.php/2021/01/install-veracrypt-create-encrypted-disk-ubuntu-20-04/
Nebo mi něco uniklo?
Děkuji. S překladačem jsem se to snažil přeložit a chybí mi ten třetí krok. Nejdříve dám tedy Create an encrypted file contain a potom Standart VeraCrypt Volum. Ale nevím, co potom ve třetím kroku Volume Location a Select File?
Aha, takže to bude asi ta druhá možnost Create a volume within a partition a pak standart VeraCrypt volume a zvolit /dev/sda:
https://ctrlv.cz/E6uM
Ke ztrátě nainstalovaných programů? No tak je nainstaluješ znova, maximálně budeš muset řešit licenci, pokud bys o ni pádem zašifrovaného systému (nějaký zápis v registrech či kde) přišel. Znám takové programy, ale přes support bys snad měl být schopen licenci obnovit, když jim vysvětlíš, co se stalo.
OT: jsem laik, ale pokud chci něco chránit, použil bych TrueCrypt 7.1a
TrueCrypt jsem měl ve Windows a byl česky. Ale pak skončil a přešel jsem na VeraCrypt. A ten je pro Linux jen anglicky.
A co že skončil? Že zmizel z oficiálních stránek neznamená, že nefunguje. Najdi si články, jak skončil…
A hlavně proč skončil...
Článků jsem logicky četl mnoho, samozřejmě hlavně za začátku, kdy došlo k ukončení.
https://www.root.cz/clanky/truecrypt-prezil-svuj-konec-je-bezpecny-a-navazuje-na-nej-veracrypt/
Já přece neříkám, že ten program nefunguje. Ale nejsem odborník a tak obecně preferuji programy, o kterých se jasně píše, kdo za nimi stojí a že se na nich aktivně neustále pracuje včetně nějakých bezpečnostních auditů.
Omlouvám se, ale nerozumím tomu, jaký by měl být pro mě rozdíl? Jestli TrueCrypt nebo VeraCrypt? Zejména k mé otázce v nadpisu? Byl třeba i pro Linux TrueCrypt v češtině?
Instalační proces Ubuntu nznám (kdysi jsem to zkoušel ale už může vypadat jinak), ale třeba ve Fedoře můžeš šifrování disku nastavit hned při instalaci.
No jo, na to už je teď pozdě...
A preco sifrovat celly disk?
Zasifruj si len oddiel, kde mas citlive data.
Mělo by celkově být bezpečnější, mít zašifrovaný celý pevný disk. Alespoň jsem to vyčetl na webu. Bohužel v češtině zase tolik článků o tom není.
jde jen o to, že systémový disk zahrnuje i tvůj profil s tvými uloženými údaji.
samozřejmě to zároveň přináší další problémy.
záleží co o tom víš a jak si umíš s problémy poradit.
Děkuji. Co jsem vyčetl z hlediska bezpečnosti,pokud by se chtěl někdo z venku dostat do počítače, tak je nejlepší, mít zašifrovaný celý HDD. Pouze o zašifrovaném oddílu jsem nic nenašel, takže nevím, jak moc to snižuje bezpečnost pro tento případ?
A je pravda, že jsem s oddíly nikdy nijak nepracoval, takže o práci s nimi nic nevím. Když otevřu disky https://ctrlv.cz/mKjX
Důvěrné informace nemám v pc, ale na ext.HDD. Ale co třeba informace z programů jako kalendář Evolution, poštovní klient Thunderbird, Firefox apod.?
To je blbost a nema to s tym nic spolocne.
Zasifrovany disk je dobry vtedy ak mas na pc citlive udaje a tie si chces za kazdu cenu chranit aj v pripade, ze pc nemas uz pod kontrolou (zavireny OS, zabavenie pc policiou, kradez pc a pod).
Sifrovanie celeho OS nezvysuje nijako jeho bezpecnost a z pohladu ochrany dat je to to iste ako ked si zasifrujes len tie naozaj citlive data.
Dobře. A jak je to tedy potom s ochranou těch dat v programech? Přesně pro ty případy - oprava v servise, krádež pc atd. Když mám kancelářské soubory Writer, LibreOffice apod. mimo pc zašifrované na ext.HDD, je to jasné. Ale informace a data z programů jako kalendář Evolution, poštovní klient Thunderbird s emaily, oblíbené záložky ve Firefox apod. musí být logicky v pc.
Nevim, proc by nemohly byt na externim disku?
Klidne cely system muze byt na externim disku a bootovat z nej. (Ano, mam vyzkouseno na vlastnim pocitaci, ze se da nastartovat a provozovat zcela bez interniho disku, jen z externich. Je to pomalejsi a misty neohrabane a tak to nepouzivam, ale jde to)
Navic uzivatelska data mohou klidne byt na zcela jinem disku - problem je s docasnymi soubory (temp, chache, swap, ...), ale i to se da zaridit.
Zasifrovany cely disk i se systemem ma tu vyhodu, ze tam nejsou nesifrovane casti, kde by mohla zustat citliva data z ruznych cache/temp/swapu, protoze tam proste nejsou nesifrovana data nikde.
Zalohovat pred sifrovanim je logicky krok, jednak se ti muze stat, ze to zvrtas, nebo zapomenes heslo a jsi v haji, jednak se muze stat, ze se neco zvrhne v prubehu toho sifrovani (vypnou proud ci cokoli podobneho) a s pulkou sfrovanou a pulkou nikoli to nerozjedes. Ono bys mel mit data stejne zalohovana prubezne a pred velkymi updaty/instalacemi dvojnasob.
Dalsi problem je, ze pokud to mas zasifrovane cele, tak se ti bude blbe demonstrovat v opravne, ze neco nechodi, pokud jim to cele nerozsifrujes (pokud nejde o to, ze pocitac nenebehne vubec, pripadne navic hori jasnym plamenem).
Pro paranoidni samozrejme nejlip mit sifrovany system, v nem (znovu) sifrovany disk pro citliva data a tohle cele vedle/v normalnim systemu, ci sifrovanem systemu s neskodnymi daty a v nem vnorenem sifrovanem systemu s daty soukromymi, ale nikoli jeste prilis citlivymi (fotky z dovolene v miniplavkach, ze zvraceni pred hospodou a s libackou s nahodnou turistkou, plus katalog odvazneho spodniho pradla, nebo tak neco, o cem muzes tvrdit, ze to tajis pred detmi a sousedy a jen neraad to odkodujes uradum). Pripadne nekolikrat, podle toho, co si myslis, kolikapismenne organizace zajimas a co ti hrozi v pripade provaleni.
Plus obligatni kxcd: https://xkcd.com/538/
Thunderbird si uklada data do profilu, predpokladam, ze aj ine programy podobne.
Profil je zlozka v pc...co to brani aby ta zlozka bola sifrovana?
Co sa tyka servisu...tych tvoj OS nezaujima...spravny servisak ak narazi na problem si na disk hodi svoj OS a na nom testuje hw. Samozrejme tym padom ti vsetko premaze, a preto vsetky servisy maju klauzulu, ze nerucia za data klienta.
A inak k poste...ak pouziva IMAP protokol mas aj tak vsetku postu na servri, ktory ifrovany tak ci tak nie a kebv uz chcem tvoju postu tak idem na server a nie do tvojho pc.
Z mojho pohladu je sifrovanie OS zbytocne az kontraproduktivne (oprava OS sa vyrazne stazuje potom) a sifrovat staci len zlozky s citlivymi datami.
jako součást systémového disku si nech jen servisní "admin" profil, samozřejmě s heslem. ten se použije jen pro údržbu pc 1x za rok.
pracovní profil si nech založit/přemístit na ten šifrovaný oddíl s ostatními daty, v něm skončí i podadresáře s nastavením aplikací.
ehm, nějak mi uniklo že jde o tučňáka.
já furt uvažuju o windowsích discích, tak jako bych nic neřek.
Na linuxu mas mit minimalne 3 oddily: "/", "/home" a swap.
Zasifrujes jen "/home".
Nemusia to byt oddiely vo forme partitions, stacia ak to budu adresare.
podle okolnosti jeste muze byt potreba poresit /tmp /var/log a pripadne i dalsi pod /var/
Tak teď mám z toho trochu zamotanou hlavu...
Tohle mi ukazují disky https://ctrlv.cz/mKjX
Také mě napadlo, prostě jenom tu hlavní složku moje se vším přesunout do jediné velkého zašifrovaného souboru 1TB. https://ctrlv.cz/ucfP
Ale vůbec nevím, co to může udělat...
Mas tam jenom jeden oddil. Efi/Boot nepocitej, to je servisni oddil, abys ten linux vubec spustil.
Zamotane to mas a zacit odmotavat to muzes tak, ze si nejprve o tom, jak funguje linux neco zjistis. Pak ti bude i vic zrejme, proc staci na linuxu zasifrovat jen uzivatelsky oddil (slozku) na /home.
Mozna si zkus zodpovedet i otazku, proc chces sifrovat a jestli ti to nejaky smysl vubec dava: zpomaleni pocitace kvuli sifrovani po pouziti a rozsifrovani pred pouzitim, nutna zaloha sifrovanych dat a otazka, zda je mit zalohovane take sifrovane nebo bez sifrovani, atd.
1. Proč chci šifrovat? https://www.cnews.cz/tip-sifrovani-uloziste-windows-home-veracrypt/ Otázku, zda šifrovat úložiště počítače, bychom teoreticky řešit neměli. Zkrátka by už šifrování mělo být standardem, což se např. stalo ve světě mobilů. Běžný počítač ale úložiště zašifrované nemá, což by vás mohlo trápit v případech, kdy vám stroj bude zcizen, případně ho jen ztratíte. Na úložišti by pak někdo mohl najít spoustu osobních až vysoce citlivých dat.
Našel jsem teď ještě zajímavý článek o tom, že jsou 3 možnosti šifrování, ale k rozhodování mi to moc nepomohlo https://www.systemonline.cz/clanky/neni-sifrovani-jako-sifrovani.htm
2. Co chci šifrovat? Důležité věci mám mimo pc na ext.hdd, ale v případě odcizení nebo opravy úc v servise nechci, aby někdo pročítal emaily v Thunderbirdu, oblíbené položky ve Firefoxu a záznamy v kalendáři. Nejde sice o nic vysoce citlivého, ale stejně vítám jakoukoliv možnost k ochraně pro uvedené případy krádeže apod. A nabyl jsem mylného dojmu, že se nejedná o nic složitého. Že místo zašifrovaného souboru (nebo flešky) prostě dám ve VeraCryptu možnost zašifrování celého disku. I když to může přinést menší komfort potom. A nutnost zálohy na CD.
3. Úplně přesně nevím, jak zašifrovat jen uživatelský oddíl (složku) na /home? Je to jak si myslím, že by se udělal normální zašifrovaný soubor o potřebné velikosti a tam by se jen ta složka přesunula?
Jinak zatím děkuji všem za snahu a rady.
Připadá mi to příliš paraniidní, ale to je tvoje věc a není předmětem dotazu.
Obávám se, že když bude jakýmkoliv nástrojem šifrována složka /home/ (celá!), tak k ní musí mít přístup systémové programy, samo GUI prostředí (Gnome, Plasma, Mate,...). V tom případ se do toho dostane i špionský program (i pod účtem uživatele - "neroota"). Je to jedině ochrana před čmajznutím celého stroje.
Určitě bych nepoužíval pro šifrování disku VeraCrypt ale nativní šifrování, které je v Linuxu přítomno přímo v jádře (nejlepší od jádra 2.6.24). Zašifrování provedeš příkazem cryptsetup, tímtéž příkazem i dešifrace a jen se moutne. Ale raději před tím zálohuj nebo si to vyzkoušej na jiném disku..
Hodně informací o šifrování oddílu (proč šifrovat nebo nešifrovat, problémy, jak zašifrovat oddíl...) pod Linuxem je tady: https://www.root.cz/clanky/proc-a-jak-na-sifrovani-disku-v-linuxu/ . Vřele doporučuji přečíst, je tam i jak vytvořit šifrovaný disk a lepšími nástroji,
Souhlasim. Sifrovani, tak jak si ho predstavuje tazatel je opravdu vyhodne predevsim kvuli moznosti fyzickeho odcizeni disku respektive celeho PC. Chranim se tedy bezpecnostnima dverma do bytu a verim, ze investice zlodeje do otevreni dveri se mu vzhledem k moznemu zisku nevyplati. Jina situace je u prenosnych mobilu a notebooku, tam je kradez mnohem pravdepodobnejsi a sifrovani vyznam urcite ma. Primarni zdroj dat je u prenosnych zarizeni jinde a proto ani pripadna ztrata dat neboli.
Co je u domaciho PC pravdepodobnejsi, je spise prunik zlodeje digitalnich dat do pocitace pres sit. A to zasifrovani disku nebo osobni slozky neresi. V dobe, kdy uzivatel na PC pracuje, ma tyto slozky stejne rozsifrovane, protoze tam potrebuje zapisovat. Ja proto sifruji jen na urovni souboru. Hesla mam pres keepass zasifrovana, citlive soubory mam zase zapakovane do 7zip a zaheslovane, zaroven je to zasifrovane pres AES, tudiz dostatecne chranene. Rozpakovavam to jen tehdy, kdyz s citlivymi udaji potrebuju pracovat a to neni porad. Rovnez je vyhoda, ze v tu chvili rozpakuji jen to, co potrebuji a neodhaluji to pripadnemu utocnikovi po siti vsechno.
Podle me je teda u domaciho PC, ktere necestuje, vyhodnejsi sifrovat pouze selektivne, to co opravdu potrebuju, jak to delam ja. Tim ale nerikam, ze to tazatel nemuze mit jinak a ze sifrovat nepotrebuje vsechno. Proto mu navrhuji, aby to opravdu poradne nastudoval, jen tak si zajisti, ze neudela chybu, ktere by v budoucnu mohl litovat.
Omlouvám se, nenapsal jsem, že se jedná o notebook.
Osobne bych to udelal tak, ze bych z notasu stahnul uzivatelska data a provedl novou instalaci Ubuntu vcetne vytvoreni oddilu tak, jak jsem psal. HOME oddil se nastavi jako sifrovany uz pri instalaci. Bude to nejednodussi. Pokud uz to reinstalovat nechces, tak si budes muset postupy dohledat pres google. Rce uz ti tu i nejake odkazy, odkud se odpichnout, daval a ma urcite pravdu i v tom, ze je jednodussi vyuzit uz to co linux poskytuje nativne, nepotrebujes VeraCrypt.
Nejsem vůbec odborník na Linux, takže mi trvalo více než měsíc, dokázat dostat do notebooku vůbec těch několik málo programů, které používám, protože nejsou v Ubuntu software. Znovu bych to tak dlouho dělat nechtěl a nejsem si jistý, jestli bych to teď zvládl rychleji. Jinak by mi nová instalace vůbec nevadila. A zvolit šifrování hned při instalaci bych rozhodně uvítal. Tak nevím. Musím to promyslet. Ohledně toho Firefoxu, Thunderbirdu a kalendáře. Někdo tady radil, že to jsou pouze soubory v nějaké složce a že by stačilo (proti krádeži nebo notebooku v servisu) mít zašifrovanou složku s těmito soubory. Ale to zašifrování hned při instalaci mě láká víc. Jen ta instalace programů znovu... No nic, musím to promyslet. Ještě jednou děkuji všem za návrhy a rady.
Ještě poslední dotaz. Když to tedy přeinstaluji a zašifruji. Proti odcizení notebooku je to OK. Ale pokud mi třeba nepůjde spustit vůbec notebook a budu ho muset dát případně do pc servisu.
Jak to bude potom? Budou potřebovat heslo k rozšifrování, aby notebook mohli opravit, nebo to budou schopni opravit i bez hesla?
Přes víkend budu mít čas, že bych se pustil do té přeinstalace. ale abych to nedělal zbytečně.
Servis si nahraje svůj OS
Zalezi, jak se dohodnes se servisem. Muzou si do toho notebooku dat vlastni disk a zkusit to na nem, muzes se s nima treba i dohodnout, ze jim disk nebudes davat vubec. Treba ale bezna reklamace a zarucni oprava se obvykle u notasu resi tak, ze servis jako prvni provede obnovu tovarniho nastaveni, to znamena odstrani z notebooku veskera data vcetne tech zasifrovanych.
Sifrovani tak jak si ho predstavujes, je vyhodne predevsim pro pripad kradeze, pokud s notebookem cestujes, smysl to ma, jinak je to silne na zvazeni.
Notebook už má po záruce. Takže to, že by si tam dali vlastní disk, to je dobrý nápad. I když jim ho v servise nechám ten disk, tak by se do něj (normálně) neměli bez hesla vůbec dostat, když je zašifrovaný, ne?
Smazání dat by mi nevadilo, mám vždy zálohy.
Je pravda, že s notebookem ale necestuji.
Jasne, na zasifrovany se bez hesla nedostanou.
Jak rikam, je to na tobe, ale pokud to neni ochrana proti kradezi, tak povazuju sifrovani za zbytecne a mnohdy i kontraproduktivni. Mnohem lepsi mi prijde zapakovat si citlive dokumenty 7-zipem a pouzit heslo. Tim se to zasifruje pres AES a mas to chranene neustale, dokud to nerozpakujes. Nicmene na linuxu je ochrana HOME slozky (oddilu) sifrovanim jednoducha a navic mit /home jako separatni oddil je i vyhodne. Pri potrebe reinstalu a zformatovani rootu ti /home zustava a tim i vetsina konfiguracnich souboru, maji to proste na linuxu vymyslene docela prakticky.