标签: encryption

我在 bazaar 版本控制下有一个文本文件目录，并在我的每台机器上保留一个副本（实际上是一个分支）。我想通过命令行加密和解密目录。

理想情况下，我还可以在注销时运行脚本来检查目录是否已加密，如果未加密，则对其进行加密，所有这些都无需用户干预。但是，我不希望在登录时解密目录。（我希望脚本可以防止忘记手动加密。这对上网本尤其重要。）

我正在运行ubuntu 10.04.1crunchbang linux 的两个版本，一个是ubuntu 9.04Debian Squeeze 存储库 6 月下旬快照的衍生版本。

做这个的最好方式是什么？

（我尝试用encryptionand标记directories，但缺少创建标记的代表。）

标准：

• 进行音频/视频通话
• 加密整个流量（使用良好的加密）
• 是否跨平台（包括Windows 7等）
• 在现代 Linux 发行版（Fedora、Ubuntu 等）上运行
• 在 OpenBSD 上运行

有人知道 Skype 的免费和开源替代品吗？

基本上，我有一个可以作为 POP3 或 IMAP 访问的电子邮件帐户。我想接收所有收到的电子邮件，对其进行加密，然后将加密版本转发到我的 gmail 帐户（这样我就可以在我的手机/gmail 帐户上看到主题/通知；并可能使用密码解密该邮件——尽管这最后步骤不需要最初实施）。

我可能可以编写一个 python 脚本来做到这一点，但使用适当的 linux 工具似乎是一条更好的路线。我已经将 postfix（在卫星配置中）设置为发送外发邮件。

在 linux 机器上读取 POP3/IMAP 并让它使用我的公钥 gpg 加密电子邮件的正文和附件（不是主题标题）并将其转发到我的 gmail 帐户的最简单方法是什么？

（作为记录；它违反工作政策（部分是为了遵守美国 HIPAA 法律）让我将未加密版本的电子邮件发送到我的手机；因为有人可能有意（或无意）将受保护的数据通过电子邮件发送到我的手机。 Work 认为 GPG 是安全的。）

我的所有分区都已加密（/和/home），但该/boot分区必须保持未加密状态并且可以进行操作。我正在考虑在启动时对内核进行散列，并根据存储值（在编译时生成，保存在我的加密驱动器上）检查结果，以查看自上次启动以来是否有人以某种方式操纵了内核（甚至可能是物理上的）。写这样的脚本有问题吗？有没有程序可以做到这一点？

我想创建一个专用的物理服务器，它将在我的 LAN（以及通过 VPN）内用作 NAS 和文件服务器。

但是我需要完全加密驱动器（系统驱动器和数据驱动器，因为我想我将使用两个 zpools）。由于 FreeBSD 支持的版本 28（以及 OpenIndiana、Nexenta 等）不支持 ZFS 加密，因此唯一的可能性似乎是使用 GELI。

现在我在考虑在 ZFS 之上添加 GELI 层是否会导致数据丢失。互联网上的一些帖子（虽然不是很多）似乎指出了这个问题。特别是，考虑到 RAID(Z) 和校验和的集成，ZFS 似乎是比 Unix/Linux 世界中的任何其他文件系统（例如 ext4、xfs 以及 btrfs）都要优越得多的文件系统。

现在在此之上添加 GELI 对我来说就像在 RAID 设置之上添加 LUKS 一样，尽管我从未体验过 Geli 并且不知道它的可靠性。性能不是主要问题，尽管我不想在我的 LAN 上进行 1MB/s 的传输（尽管 >20MB/s 是可以接受的）。

我从来没有离开过我的 Linux 世界，所以我没有使用 FreeBSD 或 Solaris 衍生产品的经验。由于付费（昂贵）的支持问题，我宁愿不使用 Solaris Express 11。这将是一台家里的电脑。如有必要，我愿意学习它们。
服务器将需要执行基本的 NAS 任务（特别是 samba/cifs 文件共享，我不需要与较新的 ZFS 版本集成的那些）。

考虑到加密层，GELI + ZFS 会比 LUKS + LVM + ext4 更可靠还是更不可靠？我在另一篇关于超级用户的帖子中问过，由于 ZFS，他们建议使用 FreeBSD/Solaris(es)，尽管我们没有谈论加密。不知道 OpenIndiana 等是否支持像 LUKS 或 GELI 这样的块加密方法。 …

我决定用 LUKS+LVM 加密我的根分区。

我的 ThinkPad 设置：

• 三星 830 128GB 固态硬盘
• 750GB 硬盘
• Core 2 Duo 2,5 GHz P9500
• 8GB 内存

但是我读得越多，我对以下两个主题的了解就越少：

1a. 密码

由于cryptsetupFAQ中的引用，我打算使用 SHA1 而不是 2/512（如某些人建议的那样）：

5.20 LUKS 坏了！它使用 SHA-1！

不它不是。SHA-1（学术上）因发现冲突而被破坏，但不能在密钥派生函数中使用它。并且该碰撞漏洞仅供非迭代使用。并且您需要逐字逐句的哈希值。

这基本上意味着，如果您已经有一个插槽密钥，并且您已将 PBKDF2 迭代计数设置为 1（通常 > 10'000），您可以（也许）派生出不同的密码短语，为您提供相同的插槽 -钥匙。但是如果你有槽钥匙，你就可以解锁钥匙槽并获得万能钥匙，打破一切。所以基本上，这个 SHA-1 漏洞允许你在已经打开一个 LUKS 容器的情况下，费力地打开它。

这里真正的问题是人们不了解加密，并声称某些东西被破坏了只是因为使用了某些已被破坏用于特定不同用途的机制。该机制的使用方式非常重要。一次使用而被破坏的散列对于其他用途来说是完全安全的，这就是它。

我读为“除了 SHA-1 之外，没有任何意义”。但后来有人告诉我，事实并非如此。所以我不再知道该怎么想了。

1b.

此外，我找不到任何信息，一旦磁盘解锁并登录系统，密码是否对磁盘读/写/搜索性能有任何影响。

那么密码的复杂性是只影响密码输入阶段的“性能”，还是系统正常使用时的“性能”呢？

2.算法

这几天我一直在阅读这个，但我读得越多，我就越困惑。我读到的一切都说 AES 是最快的，而 Serpent 是最慢的。但不是根据我的笔记本电脑：

$ cryptsetup benchmark
Tests are approximate using memory only (no storage IO).
PBKDF2-sha1       344926 iterations per second
PBKDF2-sha256     198593 iterations per second …

问题出现在带有加密交换的多用户计算机上，即如何在不损害其他用户安全的情况下允许每个用户休眠和从休眠状态恢复。

我正在寻找一种专门为他们加密每个用户的交换使用的方法，这样当他们想要从休眠状态恢复时，他们可以通过只输入他们的密码/密码来实现。他们不应该能够解密其他用户的交换；所有用户的进程都必须停止，直到相应的用户可以提供他们的密码来解密他们的交换并继续他们的进程。

用户可能希望他们的部分或全部进程不被加密，这样无论谁恢复计算机，他们都可以继续。

只要系统进程中没有存储个人数据，并且系统不让用户的密钥被交换，那么系统的交换就不需要加密，这意味着任何用户都可以在不损害其他用户的情况下恢复系统.

请注意，这可以通过使用存储在 BIOS 固件（例如 Coreboot 或 LibreBoot）中的密钥对系统进行加密来补充，从而使篡改变得非常困难，但这是一种根本不同的方法，因为篡改所涉及的硬件存在明显的困难，而不是完整的假设篡改不是问题，防止人们读取他人个人数据的加密方法。为了获得最佳安全性，这两种机制可以一起使用，但在这个问题中，我要求使用完全加密的方法。

理论上是有道理的，但在实践中可能无法实施。我希望这在 Linux 中是可能的。

我目前正在尝试在没有 LUKS 标头的纯模式下使用 dm-crypt 实现全盘加密，并/boot在 U 盘上使用单独的 USB 记忆棒。

我的主要目标是在基于 Debian 的发行版上实现合理的否认。现在我已经设法使用加密分区cryptsetup并将/boot分区安装到单独的 USB 密钥。一切都按预期进行，因为加密标头未存储在 LUKS 中，所以我需要在 initramfs 屏幕上手动输入它，但在这一步中，我只是收到一个错误，表明 initramfs 中没有 cryptsetup ("/bin/ sh: cryptsetup: not found") 同时尝试解析标头。

综上所述：

• dev/sda使用dm-crypt（/root和/home卷）加密：

cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda

• dev/sdb 安装了 grub 的引导棒

我可以从引导棒成功引导。我看到 Ubuntu 启动画面大约 20 秒，这是我想要实现的合理否认，然后它下降到 initramfs 抱怨无法找到/dev/mapper/root- 这也是我想要实现的目标。

问题是，当我想解析允许我输入密码并继续引导的 cryptsetup 行时，initramfs 会抱怨“cryptsetup：未找到”。

我想这个抱怨是真的。我的问题是：如何将 cryptsetup 安装到 initramfs 中，以便它允许更准确地引导密码提示？

另外，我知道我在 中添加了适当的条目而省略了一些内容/etc/fstab，/etc/crypttab并且在启动期间找不到设备。

这些是我找到并用于设置所有当前配置的指南，也许这会清除我在问题中未涵盖的内容：

• http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html
• https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt …

Zip 加密经常因弱而声名狼藉，但有些人会争辩说，使用某些算法（例如使用 AES）加密的 zip 文件以及强密码确实是安全的（请参阅：https : //superuser.com /questions/145167/is-zips-encryption-really-bad )

我的问题是：Linux Mint 17.1 中 zip 文件的加密强度有多强，当您通过在 Nemo 中右键单击文件然后选择上下文“压缩...”来压缩文件时？它是否使用与上面链接推荐的相同的 AES 标准？请使用大写和小写字母、数字、符号、16 位以上的数字而不是字典单词来假设强密码。

我已将密码作为纯文本存储在 txt 文件中。现在我想编写脚本，该脚本将从 txt 文件中读取纯文本，然后它应该对其进行加密和解密。