安装时,我可以选择加密我的主文件夹 – 这有什么作用?
- 加密我的主文件夹会使我的计算机更安全吗?
- 如果我的主文件夹已加密,是否必须输入更多密码?
- 关于加密我的主文件夹,我还应该知道什么?
只是
- 加密您的主文件夹实际上并不会使您的计算机更安全 – 它只会使您的主文件夹中的所有文件和文件夹更安全,以防止未经授权的查看。
- 从安全角度来看,您的计算机仍然“易受攻击” – 但您的内容很难被盗(除非攻击者拥有您的密码)。
- 您通常不需要实际输入密码 – 当您登录计算机时,您的文件将被无缝解密,仅用于您的会话。
- 有可能(取决于您的计算机硬件)这会影响您机器的性能。 如果您担心的是性能而不是安全性(并且您使用的是旧机器),您可能希望禁用此function。
技术上
Ubuntu使用“eCryptfs”将目录中的所有数据(本例为主文件夹)存储为加密数据。 当用户登录时,加载的文件夹装有第二个解密装载(这是一个类似于tmpfs的临时装载 – 它是在RAM中创建和运行的,因此文件永远不会以HD的解密状态存储)。 这个想法是 – 如果您的硬盘被盗并且读取的内容无法被读取,因为Linux需要运行您的身份validation才能创建成功的装载和解密(密钥是SHA-512加密数据,基于几个用户方面 – 密钥然后存储在您的加密密钥环中。 最终结果是技术上安全的数据(只要您的密码没有破解或泄露)。
您不必再输入密码了。 磁盘I / O和CPU略有增加(取决于您的计算机规格)可能会影响性能 – 尽管它在大多数现代PC上都非常无缝
关于Ubuntu开发人员自己撰写的主题有一篇很好的文章,请参阅: http : //www.linux-mag.com/id/7568/1/
摘要:
-
LUKS和dm-crypt的组合用于Linux中的全盘加密。 Ubuntu使用版本> = 9.10的企业加密文件系统(ECryptfs)来启用登录时的家庭驱动器加密。
-
创建一个上层和下层目录,其中上层目录以未加密的forms存储在RAM中,授予对系统和当前用户的访问权限。 较低的目录通过primefaces,加密的数据单元并存储在物理内存中。
-
文件和目录名称使用单个安装范围的fnek(文件名加密密钥)。 每个加密文件的标题包含一个fek(文件加密密钥),包含一个单独的,挂载范围的fekek(文件加密密钥,加密密钥)。 Linux内核密钥环管理密钥并通过其公共密码提供加密。
-
与典型的全盘加密解决方案不同,使用eCryptfs PAM(可插入身份validation模块)不会破坏无人值守的重新启动。
-
eCryptfs分层文件系统支持每个文件,增量,加密备份。
根据OP的要求,技术上回答较少。
通过ecryptfs加密Home的安全性好处,如Ubuntu:
- 不需要记住或输入任何其他密码或密钥。
- 不会使您的计算机在网络上更安全,例如在互联网上。
- 如果计算机在多个用户之间共享,则会为访问文件的其他用户提供额外的屏障。 (技术讨论困难。)
- 如果攻击者获得对您计算机的物理访问权限,例如窃取您的笔记本,这将保护您的数据不被窃贼读取。 (如果计算机处于关闭状态,则在没有密码的情况下无法读取数据。如果计算机已打开并且您已登录,则窃贼可能会窃取您的数据,但需要更高级的攻击,因此不太可能。)
关于加密您的主文件夹,您应该知道的是,当您未登录时,其中的数据无法访问。如果您有一些尝试访问此数据的自动或外部过程(如crontab),它将很有效当你在看它的时候,却在你不看的时候失败了。 调试非常令人沮丧。
您的实际系统的安全性不是由您的文件,文件夹和文档的安全性决定的……它所做的只是让它们更安全,不会窥探……