我想存储一些加密的数据以随身携带(这包括一些相关文件的扫描、我的网上银行TAN列表、我的 gnupg 和 ssh 密钥以及类似的东西)。所以不是真正的大量数据,但也不仅仅是一个小文本文件。
我想要的是一个容器,我可以放在我的拇指驱动器上随身携带完全加密的东西。还有一些要求:
在 Linux 桌面 (Ubuntu) 上使用 dm-crypt (LUKS) 作为完整磁盘加密(包括根分区)时的读/写开销是多少?我计划像这样堆叠它:LUKS > LVM > ext4 系统上使用的 CPU 将是 Core2 Duo 2.1 GHz 和 4GB RAM。
谢谢你的帮助。
我是 linux 的忠实粉丝,喜欢时不时尝试新的发行版。我通常将我的主文件夹和根目录放在加密分区上的 lvm 中,但这往往会变得很麻烦,因为每个 initramfs 创建过程都比上一个更陌生。
我重视隐私,但我的大部分宝贵信息或个人信息都存储在主文件夹中。此外,我使用 GPT 进行了分区,因此即使在 lvm 之外设置多个分区也不难。
所以问题是:根加密和“/”的 lvm-ing 是否值得,尤其是我必须处理的所有早期用户空间麻烦?
所以我用密码创建了一个 gpg 加密文件:
gpg -c passwords.txt.gpg
如何用 vi 打开它,编辑它,然后关闭它?(这样就不会创建passwords.txt文件,解密后的passwords.txt只在内存中! - 更好:关闭passwords.txt.gpg文件后,应该清理内存,所以它不应该包含未加密的密码)。
我如何加密我的系统(最好使用 lvm + dm-crypt/luks),以便挂起到 RAM 工作并且当挂起到 RAM 时一切都处于加密状态?
我已将 GRUB2 安装到加密的引导分区,详情请见此处。我选择的散列算法luksFormat是sha512,默认值iter-time(2 秒)。
如果从命令行(从archiso或从正在运行的系统)解锁,这个加密分区需要 2 秒多一点的时间,但 GRUB 平均需要 10.5 秒来解锁它。对于我的场景,这比可接受的要慢。
我发现其他人在这里和这里有同样的问题。在第二个链接中,用户frostschutz发布了一些关于可能导致这种情况的提示,我认为其中 2 条非常有效:
1) 早期 GRUB 解锁期间 CPU 可能处于省电模式
2) GRUB 可能正在使用比系统慢得多的散列实现。他做了一个基准测试,可以在这里找到。
由于加密启动分区似乎变得越来越普遍,而且这个问题还没有令人满意的答案,我想我会问这个问题。除了减少迭代次数(这会大大降低离线攻击场景中的安全性)之外,还可以做些什么来应对 GRUB 引导加载程序的(慢得多)解密时间?
我想至少查明确切原因。有没有办法在引导加载程序屏幕中检查(并可能改变)CPU 时钟?我知道 GRUB 有一个外壳;我打开它并尝试过cat /proc/cpuinfo但它失败了“/proc not found”或类似的东西。我也试过cpuid,虽然它没有失败,但它也不返回任何内容。
作为附加信息,我得到了这些时间:
/boot) Enter。/)。同样,这是按 后计时的Enter。从 2.1.16(当前为 2.1.17)发布的gnupg阻止仅在第一次调用时等待熵。
注意:这不是尝试生成密钥,只是为了解密文件并启动代理。
第一次启动 gpg-agent 时,无论是直接使用gpg2 file.gpg还是使用类似 的应用程序pass,都会出现 pinentry,一旦我输入密码并点击Enter它,它就会挂起大约 15 秒。
在 default-cache-ttl 窗口内的所有后续调用都会立即执行。
在--debug-all模式下运行,发生挂起的时间段打印1:
gpg: DBG: chan_6 <- S PROGRESS need_entropy X 30 120
gpg: DBG: chan_6 <- S PROGRESS need_entropy X 120 120
gpg: DBG: chan_6 <- S PROGRESS need_entropy X 30 120
gpg: DBG: chan_6 <- S PROGRESS need_entropy X 120 120
gpg: DBG: chan_6 <- S PROGRESS need_entropy X …$ man journalctl
...
--setup-keys
Instead of showing journal contents, generate a new key pair for Forward Secure Sealing (FSS). This will generate a
sealing key and a verification key. The sealing key is stored in the journal data directory and shall remain on the
host. The verification key should be stored externally. Refer to the Seal= option in journald.conf(5) for
information on Forward Secure Sealing and for a link to a refereed scholarly paper detailing the cryptographic
theory it …我在 256Gb SSD 上有一个未加密的 Windows10/Manjaro 双引导,外加一个 1Tb HDD,我在那里存储了大部分数据。
分区组织如下:
1Tb HDD :
|_ sda1 : exFAT partition, readable by both W$ and Linux
256 Gb SSD :
|_ sdb1 : EFI system boot partition
|_ sdb2 : Microsoft reserved partition
|_ sdb3 : NTFS Windows system partition
|_ sdb4 : NTFS Windows recovery partition
|_ sdb5 : ext4 / partition for Linux
|_ sdb6 : ext4 /home partition for Linux
|_ sdb7 : linux swap
引导加载程序是 GRUB,允许我在两个系统之间进行选择。
我正在寻找的是一种加密两个硬盘驱动器的方法,并通过在 GRUB 之前输入密码来解密它们。当然,我想保留现有的分区,事实是两个系统都可以读取 …
encryption ×10
gpg ×3
performance ×2
security ×2
boot-loader ×1
directory ×1
dm-crypt ×1
dual-boot ×1
filesystems ×1
gnome ×1
grub2 ×1
journalctl ×1
linux ×1
linux-kernel ×1
lvm ×1
openbsd ×1
suspend ×1
vi ×1
windows ×1