Re: Encriptació d'un disc secundari
Merci per tota la info! Sou un pou de ciència :-) -- Joan Cervan i Andreu http://personal.calbasi.net "El meu paper no és transformar el món ni l'home sinó, potser, el de ser útil, des del meu lloc, als pocs valors sense els quals un món no val la pena viure'l" A. Camus i pels que teniu fe: "Déu no és la Veritat, la Veritat és Déu" Gandhi El Thu, 18 Mar 2021 11:40:58 +0100 fadelkon va escriure: > El 18/3/21 a les 10:45, Joan ha escrit: > > (faig un crosspost des de la sala de Matrix) > > > > Bon dia, > > > > M'ha arribat un disc dur nou per substituir un que em donava error > > de tant en tant. > > > > Llavors, estava pensant en encriptar-ne una part.-.. > > > > Fins ara jo sempre he tingut els meus discs sense encriptar. I no > > em cal encriptar els 4Tb del disc nou... Però he pensat, i això us > > volia consultar, que igual podria fer una petita partició, posa de > > 500Gb, encriptada, i la resta no... > > > > No sé si això és factible o el LUKS ha d'aplicar al dispositiu > > sencer... I si trobeu que pot estar bé (per, per exemple, posar la > > info sensible en aquesta partició, i la resta a la normal) > > Hi ha diverses configuracions, però amb LUKS, tant pots crear un > arxiu com a volum virtual, com tota una partició. > LUKS és només una capa per sobre (o per sota) d'una partició. En el > moment en que es desxifra, la clau queda a la RAM i es va desant > llegint a l'instant xifrant i desxifrant. > > Pots certament crear dues particions i que una d'elles estigui > xifrada. També pots fer que la partició xifrada, a dins, hi tingui > una partició de tipus LVM amb diverses particions virtuals (volums > lvm). Aquesta última és la manera més pràctica per haver de posar > només una contrasenya. > > > Em pregunto també si te sentit crear dugues particions o ja posats, > > encripto tot el disc. Però no sé si això implica que l'accés a la > > info que hi hagi serà més lent, etc. És a dir, si tinc un vídeo, el > > reproductor de vídeos o música llegirà la info, un cop arrencat el > > sistema i subministrada la contrasenya, igual de ràpid que si no > > estigués encriptat? > > Sense dades a la mà, costa de dir, però segur que la teva màquina > farà més feina. Ara bé, avui dia certes operacions de criptografia es > fan ens xips de la CPU dedicats a això. Em sembla que AES es sol fer > per hardware, per exemple. En aquest cas, ni ho hauries de notar. > > > Es conserva la mateixa funcionalitat que en els discs no > > encriptats? > > En general, sí, perquè es munten com a loop device. Així, amb un sol > disc xifrat sense LVM, tindries /dev/sda i > /dev/mapper/particio-protegida. Totes les operacions sobre la > partició protegida són estàndards, un cop desxifrada, ni te n'adones. > > La funcionalitat que perds, però, és l'arrencada automàtica. Pensa > que per desxifrar qualsevol cosa, el que diferencia la persona que hi > té accés legítim de la que no, és el coneixement d'un secret, en > aquest cas, una contrasenya. També hem de tenir en compte que xifrar > el disc et protegeix d'atacs on se t'emporten la màquina apagada. > Quan la volen encendre, oh! està xifrat el disc i no poden llegir > res. Per tant, en un ús legítim, cada cop que s'engegui la màquina, > hauràs de proporcionar-li la contrasenya. Com fer-ho depèn molt de > l'ús que li vulguis donar a la partició. > > > > > Més dubtes: si uso Syncthing per sincronitzar directoris entre > > diferents dispositius, i vull sincronitzar un directori que només > > està encriptat en un dispositiu, ho podria fer? Intueixo que un cop > > jo accedeixo a la partició encriptada amb LUKS amb la contrasenya, > > en arrencar, tota la info es accessible pel sistema, de tal manera > > que les aplicacions, etc. no saben si està o no encriptada, oi? I > > llavors suposo que Syncthing podrà fer la seva feina... És així? > > És així! > > > Salut, > fdk > -- Joan Cervan i Andreu http://personal.calbasi.net "El meu paper no és transformar el món ni l'home sinó, potser, el de ser útil, des del meu lloc, als pocs valors sense els quals un món no val la pena viure'l" A. Camus i pels que teniu fe: "Déu no és la Veritat, la Veritat és Déu" Gandhi
Re: Encriptació d'un disc secundari
El 18/3/21 a les 10:45, Joan ha escrit: (faig un crosspost des de la sala de Matrix) Bon dia, M'ha arribat un disc dur nou per substituir un que em donava error de tant en tant. Llavors, estava pensant en encriptar-ne una part.-.. Fins ara jo sempre he tingut els meus discs sense encriptar. I no em cal encriptar els 4Tb del disc nou... Però he pensat, i això us volia consultar, que igual podria fer una petita partició, posa de 500Gb, encriptada, i la resta no... No sé si això és factible o el LUKS ha d'aplicar al dispositiu sencer... I si trobeu que pot estar bé (per, per exemple, posar la info sensible en aquesta partició, i la resta a la normal) Hi ha diverses configuracions, però amb LUKS, tant pots crear un arxiu com a volum virtual, com tota una partició. LUKS és només una capa per sobre (o per sota) d'una partició. En el moment en que es desxifra, la clau queda a la RAM i es va desant llegint a l'instant xifrant i desxifrant. Pots certament crear dues particions i que una d'elles estigui xifrada. També pots fer que la partició xifrada, a dins, hi tingui una partició de tipus LVM amb diverses particions virtuals (volums lvm). Aquesta última és la manera més pràctica per haver de posar només una contrasenya. Em pregunto també si te sentit crear dugues particions o ja posats, encripto tot el disc. Però no sé si això implica que l'accés a la info que hi hagi serà més lent, etc. És a dir, si tinc un vídeo, el reproductor de vídeos o música llegirà la info, un cop arrencat el sistema i subministrada la contrasenya, igual de ràpid que si no estigués encriptat? Sense dades a la mà, costa de dir, però segur que la teva màquina farà més feina. Ara bé, avui dia certes operacions de criptografia es fan ens xips de la CPU dedicats a això. Em sembla que AES es sol fer per hardware, per exemple. En aquest cas, ni ho hauries de notar. Es conserva la mateixa funcionalitat que en els discs no encriptats? En general, sí, perquè es munten com a loop device. Així, amb un sol disc xifrat sense LVM, tindries /dev/sda i /dev/mapper/particio-protegida. Totes les operacions sobre la partició protegida són estàndards, un cop desxifrada, ni te n'adones. La funcionalitat que perds, però, és l'arrencada automàtica. Pensa que per desxifrar qualsevol cosa, el que diferencia la persona que hi té accés legítim de la que no, és el coneixement d'un secret, en aquest cas, una contrasenya. També hem de tenir en compte que xifrar el disc et protegeix d'atacs on se t'emporten la màquina apagada. Quan la volen encendre, oh! està xifrat el disc i no poden llegir res. Per tant, en un ús legítim, cada cop que s'engegui la màquina, hauràs de proporcionar-li la contrasenya. Com fer-ho depèn molt de l'ús que li vulguis donar a la partició. Més dubtes: si uso Syncthing per sincronitzar directoris entre diferents dispositius, i vull sincronitzar un directori que només està encriptat en un dispositiu, ho podria fer? Intueixo que un cop jo accedeixo a la partició encriptada amb LUKS amb la contrasenya, en arrencar, tota la info es accessible pel sistema, de tal manera que les aplicacions, etc. no saben si està o no encriptada, oi? I llavors suposo que Syncthing podrà fer la seva feina... És així? És així! Salut, fdk OpenPGP_signature Description: OpenPGP digital signature
Re: Encriptació d'un disc secundari
Hola, Joan, El que comentes es pot tenir tranquil·lament. Un cas d'exemple seria un ordinador amb un sol disc amb una partició sense xifrar per al sistema (/) i una altra partició xifrada per als directoris d'inici (/home). SALUT! Josep On Thu, 18 Mar 2021 at 10:46, Joan wrote: > (faig un crosspost des de la sala de Matrix) > > Bon dia, > > M'ha arribat un disc dur nou per substituir un que em donava error de > tant en tant. > > Llavors, estava pensant en encriptar-ne una part.-.. > > Fins ara jo sempre he tingut els meus discs sense encriptar. I no em cal > encriptar els 4Tb del disc nou... Però he pensat, i això us volia > consultar, que igual podria fer una petita partició, posa de 500Gb, > encriptada, i la resta no... > > No sé si això és factible o el LUKS ha d'aplicar al dispositiu sencer... I > si > trobeu que pot estar bé (per, per exemple, posar la info sensible en > aquesta partició, i la resta a la normal) > > Em pregunto també si te sentit crear dugues particions o ja posats, > encripto tot el disc. > Però no sé si això implica que l'accés a la info que hi hagi serà més > lent, etc. És a dir, si tinc un vídeo, el reproductor de vídeos o > música llegirà la info, un cop arrencat el sistema i subministrada la > contrasenya, igual de ràpid que si no estigués encriptat? > > Es conserva la mateixa funcionalitat que en els discs no encriptats? > > Més dubtes: si uso Syncthing per sincronitzar directoris entre diferents > dispositius, i vull sincronitzar un directori que només està encriptat > en un dispositiu, ho podria fer? Intueixo que un cop jo accedeixo a la > partició encriptada amb LUKS amb la contrasenya, en arrencar, tota la > info es accessible pel sistema, de tal manera que les aplicacions, etc. > no saben si està o no encriptada, oi? I llavors suposo que Syncthing > podrà fer la seva feina... És així? > > -- > Joan Cervan i Andreu > http://personal.calbasi.net > > "El meu paper no és transformar el món ni l'home sinó, potser, el de > ser útil, des del meu lloc, als pocs valors sense els quals un món no > val la pena viure'l" A. Camus > > i pels que teniu fe: > "Déu no és la Veritat, la Veritat és Déu" > Gandhi > > -- -- Salutacions...Josep --
