Какой дисковой шифровалкой вы пользуетесь?

дисковой шифровалкой

Фиалка М-125. Товарищ майор одобряет.

кто чем пользуется?

Сохраняю данные на разных носителях. Утрата данных не грозит. Твои секретики, кроме тебя, никому не интересны. Скорее всего твою гентобунту просто снесут и накатят другую.

TheLinuxUser, ты вроде как шифруешь и недавно ставил виртуалки. Правда, не знаю, на зашифрованный раздел или нет.

На Linux - LUKS.

но чтоб не шибко сильно било по производительности виртуалок, коих там парочка активно используется

Если используется шифрование AES и процессор поддерживает аппаратно AES, то производительность достаточно высокая, чтобы не тормозило. Сейчас это почти все процессоры, но все же надо убедиться, встречаются еще некоторые слабенькие процессоры без него.

С поддержкой AES скорость шифрования/дешифрования где-то минимум около 300-400Мб/сек даже на довольно слабых процессорах, но типично ближе к Гб/сек

Это ПК. Сейчас скину с ноута.

$ cryptsetup benchmark              
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      2614902 iterations per second for 256-bit key
PBKDF2-sha256    4843307 iterations per second for 256-bit key
PBKDF2-sha512    1963625 iterations per second for 256-bit key
PBKDF2-ripemd160  981812 iterations per second for 256-bit key
PBKDF2-whirlpool  772147 iterations per second for 256-bit key
argon2i       4 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
argon2id      4 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b      1231.7 MiB/s      3940.8 MiB/s
    serpent-cbc        128b       119.3 MiB/s       769.9 MiB/s
    twofish-cbc        128b       247.2 MiB/s       446.4 MiB/s
        aes-cbc        256b       982.9 MiB/s      3165.2 MiB/s
    serpent-cbc        256b       123.6 MiB/s       773.2 MiB/s
    twofish-cbc        256b       256.8 MiB/s       447.0 MiB/s
        aes-xts        256b      3155.6 MiB/s      3205.8 MiB/s
    serpent-xts        256b       755.4 MiB/s       742.7 MiB/s
    twofish-xts        256b       443.1 MiB/s       444.1 MiB/s
        aes-xts        512b      2840.4 MiB/s      2825.1 MiB/s
    serpent-xts        512b       758.9 MiB/s       742.8 MiB/s
    twofish-xts        512b       443.4 MiB/s       442.4 MiB/s

UPD. Вот ноут.

$ cryptsetup benchmark 
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      2811195 iterations per second for 256-bit key
PBKDF2-sha256    4364520 iterations per second for 256-bit key
PBKDF2-sha512    1340890 iterations per second for 256-bit key
PBKDF2-ripemd160  970903 iterations per second for 256-bit key
PBKDF2-whirlpool  616084 iterations per second for 256-bit key
argon2i       8 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
argon2id      8 iterations, 1048576 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b      1457.5 MiB/s      5336.5 MiB/s
    serpent-cbc        128b        89.9 MiB/s       660.4 MiB/s
    twofish-cbc        128b       228.2 MiB/s       423.3 MiB/s
        aes-cbc        256b      1137.9 MiB/s      4299.1 MiB/s
    serpent-cbc        256b        92.2 MiB/s       661.7 MiB/s
    twofish-cbc        256b       232.8 MiB/s       423.1 MiB/s
        aes-xts        256b      3867.9 MiB/s      3865.8 MiB/s
    serpent-xts        256b       680.7 MiB/s       640.3 MiB/s
    twofish-xts        256b       409.7 MiB/s       386.5 MiB/s
        aes-xts        512b      3069.9 MiB/s      3495.5 MiB/s
    serpent-xts        512b       682.1 MiB/s       639.7 MiB/s
    twofish-xts        512b       411.2 MiB/s       411.9 MiB/s

Использую aes-xts 256b и там и там.

Вот он гусь, лапчатый. Человек в кабале, документики, а ты не нужны.

LURS1 full disk encryption.

На рабочем ноуте FileVault. На личных ничем.

VeraCrypt на систему, отдельные контейнеры для данных, это только для офтопика.

В линуксе личную порнографию не держу.

Luks1?

Да.

VeraCrypt на систему

Так он же громоздкий! Или именно на это и расчёт? Что никто кроме тебя пользоваться не будя?

заброшенный truecrypt, симлинк на дом. директорию в контейнере.

Некоторые дистрибутивы дом. директорию могут шифровать прям при установке дистрибутива.

LUKS + местами encfs (да, поверх LUKS)

дом. директорию могут шифровать

Обычное пофайловое шифрование, не дисковое, слабое.

Странно, что никто битлокер не назвал, как то прям не похоже это на ЛОР :)

LUKS на весь диск (чтобы меньше тормозов было: WitcherGeralt где-то объяснялся на эту тему). Это если диск один; с несколькими надо так сильно морочиться, что можно в процессе выучить какой-нибудь Gentoo. Для сменных носителей – Veracrypt. Шифровать /boot или нет – неважно, на шансы злоумышленника расшифровать это не должно повлиять.

Также бэкапы на накопители в конторе. Ибо если кто-то шибко умный скоммуниздит ваш ноут, то с вероятностью 99% этот «бей» снесёт всё и накатит «венду». Из оставшегося 1% «мамкиных какиров» что-то сделать смогут разве что представители спецслужб. Ну и машинка должна выглядеть неприглядно, чтобы соблазна было меньше.

На ноуте luks отдельный раздел шифрует. Систему и хомяк - нет. Все чувствительное, что должно быть в хомяке - симлинки в шифрованный раздел. Это на случай утери.

Диски, которые на гарантии - полнодисковое шифрование, на случай поломки и отдачи в СЦ (моя коллекция прона - это моя коллекция прона. И негоже склизким ручонкам работничков в ней шариться)

Странно, что никто битлокер не назвал, как то прям не похоже это на ЛОР :)

Школьники повыростали, винфак закрылся.

Luks конечно же.

Наоборот, я спрашивал, мне в комментариях объясняли: Оверхед при шифровании /home на SSD

Ссылка на фороникс с результатами тестирования из того же треда.

/boot у меня просто в корне, отдельный раздел под него не размечен, т.е. он тоже зашифрован вместе с корнем. В принципе это правильно, это помешает подменить ядро на месте. Загрузчик в любом случае можно натравить на другое, но хотя бы твоё подменить не получится.

У меня три раздела: /, /home, /swap — все шифрованы LUKS 1 (да, даже своп). Шифрование делалось силами установщика openSUSE, затем вручную в контейнеры были добавлены дополнительные ключи, сами ключи в виде файлов были сохранены в корне, заданы в crypttab и добавлены в initramfs (с помощью dracut). Это нужно, чтобы вводить пароль один раз в момент, когда grub читает корень. Иначе пришлось бы вводить пароль дополнительно уже в тот момент, когда разделы монтируются непосредственно при загрузке операционки. Для хомяка это делать не обязательно, если хочется чтобы было посекурней и он не открывался автоматически вместе с корнем, но для самого корня (+ swap в моём случае) это сделать следует, ибо никакого смысла вводить пароль от него дважды нет.

Если ничего не изменилось, то установщик Ubuntu, например, поступает иначе, он делает отдельный нешифрованный /boot, а пароль ты вводишь уже непосредственно во время загрузки ОС. В хомяк на отдельном разделе при таком раскладе установщик не умеет. И тут, по-идее, ничто не мешает использовать LUKS 2 (в моём случае его не поддерживает grub).

Что так, что этак, оверхед от шифрования, что на самом актуальном, что на пятилетнем железе, ценаправленные попытки выявить оверхед показали мне несущественную разницу в рамках погрешности.

Ещё стоит держать в уме, что контроллеры во многих (дешёвых) SSD агрессивно сжимают данные, а шифрованные данные, по понятным причинам, сжатию поддаются хуже. То есть, скорость наверняка будет проседать. А то и вовсе вместимость, но это уже пальцем в небо, т.к. в этом вопросе мне разбираться не интересно.

Какой дисковой шифровалкой вы пользуетесь?

Никакой ибо нет необходимости. От шифрования будут только лишние проблемы при восстановлении данных. Защита в первую очередь осуществятся препятствием физического доступа посторонних лиц к компьютеру.

если потеряю ноут

Это каким разгильдяем надо быть чтобы потерять ноутбук? Ситуация для меня фантастическая. Если вдруг случилась, то ССЗБ и урок на будущее.

Дефолтный LUKS на все диски, на всех компах. Кроме переносных юсб дисков

Окстись. Если не носиться с ноутбуком как с писанной торбой, всякое может быть. Банальный случай кражи например. Оставляя ноут без присмотра в опенспейсе, или даже на ночь в нормальном офисе, куда имеют доступ уборщицы из стороннего клинингового сервиса, стоит о шифровании таки задуматься.

За полгода, что я периодически работал в коворкинге, мой ноут где только не валялся без присмотра произвольное количество времени. И я ни секунды не парился по этому поводу, потому что всё было надёжно зашифровано.

Защита в первую очередь осуществятся препятствием физического доступа посторонних лиц к компьютеру.

Пропишут в переносицу и заберут рюкзак или сумку с ноутом и все, хорошая защита данных. Сломается ноут и ты понесешь его без дисков в сервис?

Это каким разгильдяем надо быть чтобы потерять ноутбук?

Не нужно быть разгильдяем, что бы что-то потерять. Достаточно сильно устать и без проблем можно забыть вещи в кафе, в поезде, такси или еще где.

Оставляя ноут без присмотра в опенспейсе, или даже на ночь в нормальном офисе

Я не оставляю. В последнее время у меня x86 планшет, который запросто можно с собой брать куда угодно.

Чтобы потерять целый ноут всё же особое раздолбайство требуется.

Но с другой стороны, как раз таки только раздолбай такую вероятность учитывать и не станет. Человеский фактор он и Африке человеческий фактор.

Пропишут в переносицу и заберут рюкзак или сумку с ноутом и все

Есть жить в неблагополучном районе/стране, то никакое шифрование не поможет. Терморектальный криптоанализ никто не отменял.

Достаточно сильно устать и без проблем можно забыть вещи в кафе, в поезде, такси или еще где.

Разгильдяи ищут себе оправдания чтобы доказать что все такие. Нет, все не такие.

Но с другой стороны, как раз таки только раздолбай такую вероятность учитывать и не станет.

Я с большей вероятностью пароль забуду, чем потеряю устройство. Потерять данные по причине утраты пароля - это абсурд какой-то.

Терморектальный криптоанализ никто не отменял.

Так я и думал, бывай.

Постоянно пребывать настороже физически невозможно. В остальном согласен.

Постоянно пребывать настороже физически невозможно.

А это и не требуется. Достаточно выработать необходимые привычки.

Использую файловые контейнеры от VeraCrypt.

Никакой. Не храню на ноуте ничего ценного, тем более основной способ злонамеренной кражи данных немного другой.

На ноуте использую нативное шифрование ext4 (fscrypt), что позволяет шифровать только конкретный каталог с конфиденциальной информацией внутри своего домашнего, не трогая всё остальное.

О, спасибо!

Вот как раз у меня выбор и сводится к:

• отдельный раздел под /home и прикрыть его через luks
• все на один раздел и прикрыть /home через fscrypt

Логика в том что мне, с одной стороны, нет смысла шифровать все за пределами home, но с другой стороны, раз уж шифровать то и заодно прикрыть ключи/базы браузеров и прочую шляпу, которую валят в home прикладные программы.

Luks выглядит симпотно т.к. можно включить на этапе установки и забыть, но убивает возможность удаленной перезагрузки (как не странно, но редко да метко мне это бывает надо), а вариант с fscrypt, как я понял, только залочит моего пользователя по ssh - т.е. можно создать левого пользователя, зайти под ним и получить доступ к папке по паролю

SED/OPAL && fscrypt

dm-crypt/LUKS + VeraCrypt для дуалбута :)

@TheLinuxUser, ты вроде как шифруешь и недавно ставил виртуалки. Правда, не знаю, на зашифрованный раздел или нет.

Да, на шифрованный.

Соглашусь с @anonymous, самый популярный и быстрый - AES. Причем по производительности я бы отдал предпочтение aes-xts. Можно зашифровать только home, или вообще весь диск

Вот несколько ссылок, которые дадут тебе подробные ответы на все вопросы во время шифрования: ru/Crypt - Debian Wiki, dm-crypt - ArchWiki

Также если дисков несколько, можно зашифровать несколько, просто расшифровывая их от одного или нескольких ключей на одной флешке при запуске.

VeraCrypt - выглядит сомнительно, учитывая их историю, + неудобно вводить каждый раз пароль. Я бы использовал его только в безвыходной ситуации, или когда нужно было бы зашифровать флешку или один винт, который может использоваться как на винде, так и на линуксе.

кто чем пользуется?

Google One, по подписке.

dm-crypt/LUKS + VeraCrypt для дуалбута :)

А как же eCryptfs? :(

У меня FDE.

Luks выглядит симпотно т.к. можно включить на этапе установки и забыть, но убивает возможность удаленной перезагрузки (как не странно, но редко да метко мне это бывает надо), а вариант с fscrypt, как я понял, только залочит моего пользователя по ssh - т.е. можно создать левого пользователя, зайти под ним и получить доступ к папке по паролю

Для LUKS можно также добавить кроме файла-ключа - пароль.

Шифровать отдельные файлы или разделы — дело сомнительное. Конфиденциальные данные могут попасть в swap или в /tmp куда-нибудь. Надо шифровать весь диск целиком. Тем более, это самый простой способ.

Дополнительный слой шифрования хуже не сделает.

ноут

Блокировки паролем на уровне дискового интерфейса (ATA) хватит. Проверь, на ноутбуках поддержка прямо при загрузке чаще есть у «рабочих». Может через hdparm надо будет настроить, если bios/uefi не умеет настраивать, или для тонкой настройки. Раздел ATA Security Feature Set.

Шифровать отдельные файлы или разделы — дело сомнительное. Конфиденциальные данные могут попасть в swap или в /tmp куда-нибудь.

в моем случае в целом достаточно, логика такая что:

• я могу ноут пролюбить сам (у меня один раз уже умудрились умыкнуть и ноут и системник за один день) и от пионеров шифрованный дом более чем спасет - никакой прям супер важной инфы там всё равно нет
• я иногда оставляю ноут на объектах, где есть конкуренты - допускаю что могут что-нить ненавязчиво слямзить на тему посмотреть (благо нужное можно запускать от левого пользователя и держать реальный дом закрытым), но опять-же разбирать свап … да проще уж тогда мне денег предложить или чего поумнее придумать

т.е. речь о простой предосторожности, раньше я пользовал родное синьпадовое FDE, но хотца чуть более вендоро-независимое решение, да и несколько ключей/отзыв ключей в luks’е то-же полезно - можно в командировках палить временный ключ коллегам, а не менять его туда-сюда :-)

Блокировки паролем на уровне дискового интерфейса (ATA) хватит. Проверь, на ноутбуках поддержка прямо при загрузке чаще есть у «рабочих». Может через hdparm надо будет настроить, если bios/uefi не умеет настраивать, или для тонкой настройки. Раздел ATA Security Feature Set.

я так понял что в новых синькпадах с NVME только интерфейсный лок и остался, а прозрачное шифрование осталось только для sata (и возможно для опала, но как-то не очевидно)
согласен что его достаточно, но оно блочит загрузку, что иногда неудобно - надо либо пёхать до ноута либо сливать пароль коллеге, оставленного «у кнопок».