Hur säker är Ubuntus krypterade Hem-katalog?

[ubot]

Ja, rubriken säger väl allt. Jag talar om Ubuntu 9.10 standardkryptering av Hem-katalogen som går att välja när man installerar systemet. Om jag har ett lösenord på 10 tecken (skapat med programmet apg) som innehåller även specialtecken. Hur säker är då krypteringen egentligen? Om någon stjäl min dator, går det då att komma åt datan i min Hem-katalog eller är det "helt omöjligt"?

[uppsalanet]

Hej,
Det finns nog många versioner av svar på denna fråga, men enligt mig är svaret enkelt:
Ingen kryptering är säker... och den svagaste länken i detta fall är passordet.
Sedan är det bara att räkna.

• * Antal möjliga kombinationer av tecken har jag
  * Hur länge måste jag vänta mellan varje försök

Hälsningar
Fredrik

[philip5]

Hej,
Det finns nog många versioner av svar på denna fråga, men enligt mig är svaret enkelt:
Ingen kryptering är säker... och den svagaste länken i detta fall är passordet.
Sedan är det bara att räkna.

• * Antal möjliga kombinationer av tecken har jag
  * Hur länge måste jag vänta mellan varje försök

Hälsningar
Fredrik

Utanför ämnet: Heja Uppsala!

[gusse02]

Om någon stjäl din dator så har man fysisk tillgång till hårddisken. Då hindras man inte av eventuella program som kräver att man väntar en viss tid mellan varje lösenord som prövas.

Ja, det är troligen lösenordet som är den svaga länken, det är lösenordet som man attackerar med brute force. Då bestäms svårigheten att knäcka detta med hur slumpmässigt lösenordet är. Hur många tecken och från vilken mängd du plockar dessa tecken. Ex. om det bara är siffror så är ju mängden du plockar från begränsad till 10 olika. Men kan du välja mellan stora och små bokstäver, siffror och specialtecken så ökar mängden radikalt och därmed svårigheten att knäcka lösenordet.

Utifrån antal tecken och den mängd du väljer dessa från kan man säga hur många bitars entropi ditt lösenord har. Detta är ett mått på svårigheten att knäcka lösenordet. Detta kan du kolla upp med google.

[mrfab]

Om någon snor ens dator är en krypterad home mapp det minsta problemet. Och jag tror inte snubben i adidas overall är intresserad utav familjefotografierna.

Det kommer inom en snar framtid finnas tillägg mot enklare program typ brute force ,finns redan för hemsidor modulen mod_evasine är ett exempel och det är nog bara en tidsfråga innan modulen eller liknande script kan användas för att upptäcka attacker mot krypteringar

http://www.zdziarski.com/projects/mod_evasive/

[ubot]

Aha, tack för svaren! Jag har ett lösenord som innehåller minst 8 tecken (siffror+bokstäver och specialtecken) och som är genererat med Ubuntus program apg. Frågan är om man knäcker ett sådant med BruteForce om man har fysisk tillgång till hårddisken (om någon har stulit disken tex)?

[gusse02]

http://www.lockdown.co.uk/?pg=combi
Kolla här så har du ett bra svar.

EDIT:
I ditt fall med hemkatalogen krypterad på detta sätt så är den krypterad med symmetrisk kryptering med lösenordet som nyckel. Om man antar att krypteringsalgoritmen är bra så är säkerheten helt avhängig ditt lösenord.

Jämför t.ex. andra fall där man krypterar något med en nyckelfil. Om nyckelfilen INTE hamnar i fel händer så är krypteringens säkerhet beroende på hur lång nyckel man använder i nyckelfilen. Om nyckelfilen hamnar i orätta händer och nyckelfilen är låst med ett lösenord så är det antagligen lösenordet som är den svaga länken.

[Louie]

Är det någon som kan svara på vilken typ av kryptering som används för att kryptera hemkatalogen?
Har googlat lite men inte hört/sett krypteringstyp.
/L

[Lars]

Kommandot mount avslöjar min ~/Private är monterad med ecryptfs_cipher=aes

[gusse02]

En rätt bra artikel om ubuntus kryptering av home: http://www.linux-mag.com/cache/7568/1.html
I artikeln ges ett tips om att man kan öka säkerheten genom att inte lägga nyckelfilen på hårddisken utan ha den på ett usb-minne.
Och som sagt så verkar aes vara default men jag tror man kan välja.

[ubot]

Ok, jag följer upp med en annan fråga som hänger ihop med krypteringen av Hem-katalogen. Om man har en krypterad Hem-katalog och man vill mha Cron Job göra en säkerhetskopia av data i Hem-katalogen till en annan disk. Hur fungerar det då om:

1. Även den nya hårddisken har en krypterad katalog för säkerhetskopiorna.
2. Om dne nya hårddisken inte har en krypterad katalog öht.

Alltså, hur fungerar det att kopiera till sådana hårddiskar från en krypterad Hem-katalog med tex ett Cron Job som använder ett skript för att skicka informationen mellan hårddiskarna?

[gusse02]

Det beror på om du kopierar de krypterade eller dekrypterade filerna. Om den krypterade hemkatalogen är mountad (dekrypterad) vilket den är om användaren är inloggad så kan du välja att antingen kopiera dekrypterade filer eller krypterade filer. Dekrypterade filer ligger i hemkatalogen. Krypterade filer ligger i en speciell katalog som jag tyvärr inte vet vad den heter, du får googla.

Om användaren INTE är inloggad så kommer du bara åt krypterade filer.

Den här krypteringen fungerar som så att du har ett virtuellt filsystem. Filerna ligger i verkligheten krypterade i en speciell katalog. När du loggar in så skapas ett virtuellt filsystem ovanpå som mappas till hemkatalogen. Det blir en vy av de krypterade filerna. Filerna dekrypteras automagiskt.

Om du som i fall 1 har kryptering även på backup-disken så kan du alltså få dubbel kryptering om du så önskar. Men det känns ju rätt onödigt och krångligt.

[ubot]

Det beror på om du kopierar de krypterade eller dekrypterade filerna. Om den krypterade hemkatalogen är mountad (dekrypterad) vilket den är om användaren är inloggad så kan du välja att antingen kopiera dekrypterade filer eller krypterade filer. Dekrypterade filer ligger i hemkatalogen. Krypterade filer ligger i en speciell katalog som jag tyvärr inte vet vad den heter, du får googla.

Om användaren INTE är inloggad så kommer du bara åt krypterade filer.

Den här krypteringen fungerar som så att du har ett virtuellt filsystem. Filerna ligger i verkligheten krypterade i en speciell katalog. När du loggar in så skapas ett virtuellt filsystem ovanpå som mappas till hemkatalogen. Det blir en vy av de krypterade filerna. Filerna dekrypteras automagiskt.

Om du som i fall 1 har kryptering även på backup-disken så kan du alltså få dubbel kryptering om du så önskar. Men det känns ju rätt onödigt och krångligt.

Ok! Så om jag kopierar krypterade filer (efter att ha Googlat var dom finns) så gäller samma kryptering på mina säkerhetskopierade filer som på orginalfilerna? Och om jag istället tex mha ett user cron job kopierar filerna så får jag filerna okypterade, right?

Hur "låser jag upp" filer som är säkerhetskopierade till min backup-disk? Jag menar om jag kopierar krypterade filer så måste jag väl på något vis låsa upp dom för att komma åt filerna? Normalt gör ju Ubuntu det här automatiskt när jag loggar in i systemet med min användare, men hur gör jag det på en extern disk om filerna är krypterade?

Det där med att kopiera till en krypterad extern disk är alltså inget man behöver göra om jag förstår saken rätt. Det räcker med att kopiera krypterade filer till en okrypterad disk för att filerna ska var akrypterade lika mycket som i min krypterade Hem-katalog. Men kommer jag åt säkerhetskopierade filer som är krypterade (alltså krypterade mha Ubuntu Hem-katalog-kryptering och kopierade till extern hårddisk)?

[gusse02]

Ja du har uppfattat det rätt.
Ja man kan komma åt det okrypterade innehållet i de krypterade filerna oavsett vart du har kopierat dem. Hur man gör står i artikeln som jag länkade till tidigare. I princip går det ut på att man använder ecryptfs-programvaran för att mounta med hjälp av den hemliga nyckeln. Du måste alltså ha sparat den hemliga nyckeln på något sätt, antingen skrivit ner den på papper eller ha själva filen tillgänglig. Utan nyckeln är du rökt.

[ubot]

Ja du har uppfattat det rätt.
Ja man kan komma åt det okrypterade innehållet i de krypterade filerna oavsett vart du har kopierat dem. Hur man gör står i artikeln som jag länkade till tidigare. I princip går det ut på att man använder ecryptfs-programvaran för att mounta med hjälp av den hemliga nyckeln. Du måste alltså ha sparat den hemliga nyckeln på något sätt, antingen skrivit ner den på papper eller ha själva filen tillgänglig. Utan nyckeln är du rökt.

Ok, intressant att du tar upp det där med nyckeln. I min Ubuntu Desktop Edition så har jag antecknat nyckeln, men in min netbook- och Server-installation så klickade jag bort resp fick aldrig en fråga om att skapa en nyckel(?). Hur gör man det i efterhand, skapar en nyckel till en krypterad Hem-katalog i Ubuntu Server resp i Ubuntu Desktop om man inte har gjort det när pop-up-fönstret kom upp första gången jag startade systemet efter isntallationen?

[ubot]

Jag vill bara dubbelkolla en grej. Om man skapar en ny användare på ett system som har krypterad Hem-katalog valt under installationen av Ubuntu, kommer då den nya användarens Hem-katalog också att vara kryptera eller gäller bara krypteringen för användaren som skapades under installationen av systemet? Är det /home eller /home/first_user/ som krypteras? Jag antar att det är hela /home, dvs ALLA Hem-kataloger som är krypterad till användaren loggar in eller hur fungerar det?

[CryingFreeman]

En närliggande tråd som verkar beskriva det osäkra med krypterad hemkatalog:

http://www.ubuntu-se.org/phpBB3/viewtop ... 17&t=49864

[ubot]

En närliggande tråd som verkar beskriva det osäkra med krypterad hemkatalog:

http://www.ubuntu-se.org/phpBB3/viewtop ... 17&t=49864

Ok, tackar för länken.