Kryptering i ubuntu?

[nosscire]

Tjo!

Jag har för närvarande behov av att kryptera ett par filer. Mitt behov består i praktiken av att ingen som är nyfiken ska kunna sätta sig och kika på mitt arbete, eller råka öppna dokumenten om jag skulle glömma datorn eller om den blev stulen.

Tittade på den inbyggda krypteringen i Ubuntu, och det ser bra ut, men har ett par frågor.

Hur säkert är det? Jag är inte rädd för att någon ska sätta sig ned och hacka dem, men jag behöver mer säkerhet än att man kan gå förbi det på en halvtimme med en internetuppkoppling och datorkunskaper.

Hur fungerar det egentligen? Jag skapade en PGP nyckel med ett starkt lösenord. För att kunna dekryptera filerna igen, behöver jag då både själva nyckeln (som en fil) och lösenordet, eller räcker det med lösenordet?
Finns det programvara till windows som är kompatibelt?

Och sedan en annan fråga på samma spår. Vad är det här med att signera filer? Vad är det till för? Jag menar, vem som helt kan ju skapa en signaturfil med mitt namn, så det ger ju ingen vidare säkerhet i att just jag har signerat filen?

Tackar så många :=)

[mcNisse]

Jag har inte riktigt tid att svara, så jag hänvisar direkt till gpgs hemsida, http://www.gnupg.org/

[Lars]

När det gäller säkerheten så ligger den på topp. GnuPG är väldigt väl granskat och det används mycket över hela världen, både på Ubuntu och andra system. Det är definitivt inget man knäcker på en halvtimme.

Ja, du behöver nyckeln för att kunna avkryptera. Det är t.o.m. så att lösenordet används för att avkryptera själva nyckeln, och nyckeln används sedan för att avkryptera filen.

Som du säger så kan vem som helst signera med ditt namn. Därför ska man endast lita på signaturer som man har kollat själv (genom att mötas och byta nycklar med varandra, eller genom ett telefonsamtal om man känner varandra). När man litar på att en nyckel verkligen tillhör rätt person kan man lita på alla signaturer från den nyckeln.

Ja, det finns för Windows, se http://gnupg.org/related_software/frontends.en.html#win

Det finns ganska mycket att säga om det här. Googla efter GnuPG (gpg), PGP och OpenPGP.

[Da^MsT]

En följdfråga, finns det något för att kryptera hela systemet? Dvs om man inte har några nycklar så kommer man inte åt något på någon partition om man så än plockar ur diskarna?

[Calmeida]

En följdfråga, finns det något för att kryptera hela systemet? Dvs om man inte har några nycklar så kommer man inte åt något på någon partition om man så än plockar ur diskarna?

TrueCrypt ska väl klara det. Nu blir jag lite osäker på hur det ser ut med Ubuntuklienten, men jag har kört helt krypterade diskar i Windows i alla fall. Öppnas via ett lösenord under bootprocessen.

http://www.truecrypt.org/

[philip5]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Vad är det här med att signera filer? Vad är det till för? Jag menar, vem som helt kan ju skapa en signaturfil med mitt namn, så det ger ju ingen vidare säkerhet i att just jag har signerat filen?

Du ser på mitt inlägg här hur det kan se ut när man signerar ett meddelande med GPG. I många t ex mailläsare så tar den bort den kryptiska texten lite som en webbläsare gör med html-kod och ersätter den med någon summering som "trusted" eller "verified" eller något liknande beroende på om det stämmer. Har man min publika nyckel så kan man verifiera att den här texten verkligen är skriven av mig och att ingen ändrat i den. (I det här specifika fallet så är den signerade med BBcoder från forumets sida så de måste också med på rätt sätt för att det ska fungera fullt ut på riktigt)

GPG/PGP har främst två funktioner och det ena är kryptera så att inte obehörig kan ta del av innehållet och det andra är just signering. Du frågade just vad signatur ska vara bra för och den har lite av samma funktion som din bankdosa har om du nu använder bank på internet med dosa. Signaturen verifierar att du är du och ingen annan och även att det som du skrivit och som du signerar är något som ingen annan varit inne och ändrat på. Signaturen är en hashkod som bara kan genereras av ditt lösenord plus din privata GPG/PGP-nyckel plus den specifika text/data som du signerar. Om något av detta ändras så stämmer inte hashkoden som egentligen är själva signaturen. För att kunna verifiera någons signerade hashkod så krävs det att man har tillgång till den personens publika nyckel. Dessa publika nycklar får man antingen dela ut till de man vill ska kunna verifiera att du är du eller så lägger man upp dem på keyservers som samlar nycklar som vem som helst kan ladda ner.

GPG-nycklar används även i Ubuntu för att signera paket så man vet att ingen varit inne och ändrat i dem sedan de släppts från den som skapat dem. Kollar du i t ex Synaptic så har du lista på publika nycklar som du kan verifiera emot. Den här verifieringen görs även på själva reposervern att ingen har varit inne och ändrat på repon utan att kunna signera efter sig. Ändras det då i repolistan och signaturen inte stämmer så varnas man.

Signaturer och krypering har alltså vidare användningsområde än mail och liknande.

Finns det programvara till windows som är kompatibelt?

GPG/PGP finns för både Linux, Windows och en rad andra operativsystem

Ett annat sätt att använda kryptering är att kryptera hela filsystem eller mappar. Där finns det ett flertal lösningar att titta på. Vill man ha ett som funkar på både Linux och Windows så kan Truecrypt vara en lösning (precis som nämnts ovan). Med truecrypt skapar du en fil i önskad storlek som i sin tur fungerar som en partition eller iso-fil för att göra en liknelse. Den kan du sedan mounta på valfritt ställe (på windows tror jag den blir en egen enhet som t ex F: G: H: eller så). Den blir alltså som en del av filsystemet och allt som läggs där blir krypterat. Vill du sedan flytta med dig det krypterade så flyttar du bara med dig den stora krypterade filen på valfritt media, kan vara hårddisk, usb-minne eller annat, och mountar den där du då ska använda den. Det krävs givetvis att man har truecrypt installerat på den dator man ska öppna det skyddade filsystemet.

Det finns linuxspecifika lösningar också som fungerar som truecrypt eller liknande men inte som man kan flytta mellan olika OS vad jag vet.

Hoppas det här var till hjälp.

/Philip
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAknVdLgACgkQoHj70pXMFzL+SwCdEwE8QaRu3t95phTdpN9kfIk4
5i0An2aHVlA23CuqxzWQBcKcrMhgZ2Ra
=YnyD
-----END PGP SIGNATURE-----

[Da^MsT]

En följdfråga, finns det något för att kryptera hela systemet? Dvs om man inte har några nycklar så kommer man inte åt något på någon partition om man så än plockar ur diskarna?

TrueCrypt ska väl klara det. Nu blir jag lite osäker på hur det ser ut med Ubuntuklienten, men jag har kört helt krypterade diskar i Windows i alla fall. Öppnas via ett lösenord under bootprocessen.

http://www.truecrypt.org/

Det var min första tanke också då jag använder det på en av Windows-burkarna, men jag blev lite besviken när jag såg att det inte gick att kryptera systemet i Ubuntu

[Hund]

När man installerar Ubuntu kan man väl välja om man vill kryptera hårddisken?

[Da^MsT]

När man installerar Ubuntu kan man väl välja om man vill kryptera hårddisken?

i vilket steg då?

För att ta frågan ett steg längre, kan man kryptera inloggningen som sker i Ubuntu? Slutsatsen jag vill komma till är att låt säga att man blir av med sin laptop, då ska ingen kunna komma åt någon som helst information som finns i systemet eller på hårddiskarna (inte på ett ens i närheten lätt sätt iaf).

[tweeek]

När man installerar Ubuntu kan man väl välja om man vill kryptera hårddisken?

i vilket steg då?

Det går bara med Alternate CD:n, alltså inte med LiveCD. Har inte provat det själv.

EDIT:

För att ta frågan ett steg längre, kan man kryptera inloggningen som sker i Ubuntu? Slutsatsen jag vill komma till är att låt säga att man blir av med sin laptop, då ska ingen kunna komma åt någon som helst information som finns i systemet eller på hårddiskarna (inte på ett ens i närheten lätt sätt iaf).

Som jag förstår det så är det exakt så som det fungerar med LUKS som Ubuntu använder. Utan krypteringsnyckeln så kommer du bara åt /boot. Googlade och såg den här guiden: http://news.softpedia.com/news/Encrypte ... 5271.shtml. Där visas hur det fungerar med Ubuntu 8.04.

[Da^MsT]

EDIT:
Som jag förstår det så är det exakt så som det fungerar med LUKS som Ubuntu använder. Utan krypteringsnyckeln så kommer du bara åt /boot. Googlade och såg den här guiden: http://news.softpedia.com/news/Encrypte ... 5271.shtml. Där visas hur det fungerar med Ubuntu 8.04.

Tackar och bockar, det verkar vara precis vad jag är ute efter

/red
Kan meddela att detta funkade utmärkt även i 8.10. Det verkar bli lite svengelska med den alternativa skivan men det får bli en senare bit att ordna.

[tweeek]

EDIT:
Som jag förstår det så är det exakt så som det fungerar med LUKS som Ubuntu använder. Utan krypteringsnyckeln så kommer du bara åt /boot. Googlade och såg den här guiden: http://news.softpedia.com/news/Encrypte ... 5271.shtml. Där visas hur det fungerar med Ubuntu 8.04.

Tackar och bockar, det verkar vara precis vad jag är ute efter

/red
Kan meddela att detta funkade utmärkt även i 8.10. Det verkar bli lite svengelska med den alternativa skivan men det får bli en senare bit att ordna.

Bra att det fungerade för dig!

Jag funderar på att göra samma sak, men med en Pentium 4 1.7Ghz så vet jag inte hur segt det kommer att bli. Ska testa med 9.04 när det kommer.

[philip5]

Jag funderar på att göra samma sak, men med en Pentium 4 1.7Ghz så vet jag inte hur segt det kommer att bli. Ska testa med 9.04 när det kommer.

Nu ska jag låta det vara osagt hur Ubuntu sätter upp kryptering av diskarna som standard när man kör de där stegen med alternativa installations-CDn för jag har inte provat. Däremot så är det nog så att man inte brukar sätta upp kryptering av allt. Det är ganska liten poäng med att kryptera systemfiler som i sig är lika för alla ubuntus. Det som är intressant att låta kryptera är olika former av personliga data. Det viktigaste är väl då att se till att ens hemma-mapp krypteras och allt innehåll i den. Har man databaser, loggfiler och annat som man också tycker är viktigt att skydda så kanske man även kan titta på att kryptera /var och möjligen /etc för den paranoide. Ser man till att krypteringen sker där man behöver den så krävs nog inte lika mycket belastning på hårdvaran och man kommer undan med ett system som inte behöver vara det senaste för att flyta på bra eller snå för mycket systemresurser.

/Philip

[Da^MsT]

Själv så har jag för avsikt att även kryptera övrig känslig data med truecrypt. Vad det gäller prestanda så har jag än så länge inte märkt någon som helst skillnad.