1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.CATALAN

  • =?UTF-8?Q?Re=3a_Encriptaci=c3=b3_d=27un_disc_secundari?=

    From fadelkon@21:1/5 to All on Thu Mar 18 11:50:01 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --tBxk3TOml2Zw35nugzD5PgFiYDkL2Cm7N
    Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: quoted-printable
    Content-Language: ca



    El 18/3/21 a les 10:45, Joan ha escrit:
    (faig un crosspost des de la sala de Matrix)

    Bon dia,

    M'ha arribat un disc dur nou per substituir un que em donava error de
    tant en tant.

    Llavors, estava pensant en encriptar-ne una part.-..

    Fins ara jo sempre he tingut els meus discs sense encriptar. I no em cal encriptar els 4Tb del disc nou... Però he pensat, i això us volia consultar, que igual podria fer una petita partició, posa de 500Gb, encriptada, i la resta no...

    No sé si això és factible o el LUKS ha d'aplicar al dispositiu sencer... I si
    trobeu que pot estar bé (per, per exemple, posar la info sensible en
    aquesta partició, i la resta a la normal)

    Hi ha diverses configuracions, però amb LUKS, tant pots crear un arxiu
    com a volum virtual, com tota una partició.
    LUKS és només una capa per sobre (o per sota) d'una partició. En el
    moment en que es desxifra, la clau queda a la RAM i es va desant llegint
    a l'instant xifrant i desxifrant.

    Pots certament crear dues particions i que una d'elles estigui xifrada.
    També pots fer que la partició xifrada, a dins, hi tingui una partició
    de tipus LVM amb diverses particions virtuals (volums lvm). Aquesta
    última és la manera més pràctica per haver de posar només una contrasenya.

    Em pregunto també si te sentit crear dugues particions o ja posats, encripto tot el disc.
    Però no sé si això implica que l'accés a la info que hi hagi serà més lent, etc. És a dir, si tinc un vídeo, el reproductor de vídeos o
    música llegirà la info, un cop arrencat el sistema i subministrada la contrasenya, igual de ràpid que si no estigués encriptat?

    Sense dades a la mà, costa de dir, però segur que la teva màquina farà més feina. Ara bé, avui dia certes operacions de criptografia es fan ens xips de la CPU dedicats a això. Em sembla que AES es sol fer per
    hardware, per exemple. En aquest cas, ni ho hauries de notar.

    Es conserva la mateixa funcionalitat que en els discs no encriptats?

    En general, sí, perquè es munten com a loop device. Així, amb un sol
    disc xifrat sense LVM, tindries /dev/sda i /dev/mapper/particio-protegida. Totes les operacions sobre la partició protegida són estàndards, un cop desxifrada, ni te n'adones.

    La funcionalitat que perds, però, és l'arrencada automàtica. Pensa que
    per desxifrar qualsevol cosa, el que diferencia la persona que hi té
    accés legítim de la que no, és el coneixement d'un secret, en aquest
    cas, una contrasenya. També hem de tenir en compte que xifrar el disc et protegeix d'atacs on se t'emporten la màquina apagada. Quan la volen encendre, oh! està xifrat el disc i no poden llegir res. Per tant, en un
    ús legítim, cada cop que s'engegui la màquina, hauràs de proporcionar-li la contrasenya. Com fer-ho depèn molt de l'ús que li vulguis donar a la partició.


    Més dubtes: si uso Syncthing per sincronitzar directoris entre diferents dispositius, i vull sincronitzar un directori que només està encriptat
    en un dispositiu, ho podria fer? Intueixo que un cop jo accedeixo a la partició encriptada amb LUKS amb la contrasenya, en arrencar, tota la
    info es accessible pel sistema, de tal manera que les aplicacions, etc.
    no saben si està o no encriptada, oi? I llavors suposo que Syncthing
    podrà fer la seva feina... És així?

    És així!


    Salut,
    fdk


    --tBxk3TOml2Zw35nugzD5PgFiYDkL2Cm7N--

    -----BEGIN PGP SIGNATURE-----

    wsF5BAABCAAjFiEEWwtCSiTrB0cITUnrAakZ4382vhsFAmBTLjoFAwAAAAAACgkQAakZ4382vhsX 3Q/8DImCpx5sz3kpQgt4d+CK6GTIelTn6a6IAqtMfGz0WnFVZO8qgWdUPbpirOvvbtG/siP75O4g SLsV7sR4rAffKBVb+XV0qcAjBs/EUtiRGpPE6MoY5s9rOnNVUm6nR+ZO9fBGi1Ums1VahdD412Y8 tOpV6P1GwDn3ck3FMNQnqk5OZsiUt31jhvX+GWaNOoHOHjjxJP0bcHARN5RR7hit/wjtWRhDDQF9 Dq/+Fmymw1WOimhW8eNb5yT6ANBFz3w+rQrg1UrPSDqi3xTBqCZIk52BqpQ+lSuLvqByfWi+ScDf a+fb2VwIGbTSwRfcWgIQ75N5Db14NPhA26yDtQ1lrCABsla1QgY8hv7LUy5ocGbUI7uCIqBfRZOl P7iWNtyXDk8GuAWGD72al9aPXCZq+odoUuLbgOkl7kbsBkHO8y8k5Io69dGDvq/+UTNWj1axyQdl s/vrQpIwZKnHQkhaWQA6kui+sRjkKEax0ClQUfqMK68ZYYEQ7mq6LTOxr+T/gIB27n4WvgNybxYz RfqPEcoKm60iyB1ms8Q0/FSJthiWci3W64UzwH3dm+WrdmiLw5H/SzPT7If8I3fJueAWw4WiXobz 0XdNBkfxgCWm4G4JdVHA339c+TnBMXan0vCPObuJ0SRBZ3vgLyCNLDZwxy5iw2UI2S7yS2/JfrqZ 1do=
    =NMO1
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)