Ubuntu Open Week：暗号化されたプライベートディレクトリ

トピック「暗号化されたプライベートディレクトリ」に関するUbuntu Open Weekのフレームワークでのircチャットの簡単な編集

暗号化された個人ディレクトリ 。 スピーカー： ダスティンカークランド



私たちの前に、Ububtu Server Teamの代表として、Ubuntuエンドユーザー向けの暗号化の状況に関する魅力的ではあるが、少し表面的なレポートがあります。 Intrepid Ibexがリリースされて以来、ユーザーは自分の小さな秘密を秘密にしておくことが容易になりました。 偉大な妄想になるには、次のように簡単です。





$ sudo apt-get update

$ sudo apt-get install ecryptfs-utils

$ ecryptfs-setup-private







OK、ecryptfs-utilsをインストールすると、 pam_ecryptfs PAMモジュールがシステムに表示されます。 システムに入るときにパスワードを入力すると、このモジュールはそれを使用して〜/ .ecryptfs / wrapped-passphraseファイルを復号化します。このファイルには、 / sbin / mount.ecryptfs_privateユーティリティでマウントするための次のパスフレーズが含まれます。 このsetuidユーティリティは、 ecryptfsと呼ばれる特別なファイルシステムを使用して、 〜/ .Private to〜 / Privateに名前を付けて実行する必要があります。 これは、IBMが開発したエンタープライズ暗号化ファイルシステムです。 この計画には、encfs、truecrypt、dmcryptなどの他のソリューションもあります。 ただし、ecryptfsは〜/プライベート暗号化の実装に選択されました。その理由は次のとおりです。

• 2.6.19以降、多くのディストリビューションでカーネルにすでに含まれています（現在は.28）
• 多くの専門家がそれに取り組んでおり、レビューはコミュニティとディストロの両方の開発者によって開催されました
• どこでも消えることはありません。これは、信頼性の高い長期的なデータストレージにとって重要です
• 核暗号化は、ユーザー定義よりも「理論的に」高速です
• 実績のある「核」暗号化アルゴリズムに基づく
• ブロック暗号化とは異なり、各FSファイルは個別に暗号化されます

おっと！ 最後のポイント、非常に物議を醸す声明を検討してください。 結局のところ、他のソリューションでは、パーティションまたはデバイス全体（たとえば、スワップパーティションやLVMボリューム）を完全に暗号化できます。 ただし、各FSファイルを個別に暗号化するユーザー向けのプライベートアプローチには、1つの重要な利点があります。保存されたデータの増分バックアップです。 たとえば、ユーザーは単にrsync -aP .Privateをリモートサーバーに送信するだけで、リモートバックアップサーバーのルートでさえバックアップのコンテンツにアクセスできないようにできます。 さて、現在の実装ではこれまで暗号化されていなかったファイルの名前を除きます。 この作業は進行中であり、Jauntyではこのような機能の出現が期待できます。



質問 ：ユーザーの自動ログオン中にecryptfsはどうなりますか？ 回答 ：はい。自動的にログインするため、パスワードを入力しないでください。 プライベートが正しくマウントされません。 しかし、この動作は設計により提供されています。 しかし、実際には、自動ログオン中に次のことが発生します。ファイルマネージャーを介してプライベートディレクトリに移動すると、「プライベートデータにアクセス」タイプのアプリケーションへのリンクのみが表示されます。 このリンクは、 / usr / bin / ecryptfs-mount-privateアプリケーションを開始します。このアプリケーションは、ログイン用のパスワードを要求してからマウントします。

質問 ：パフォーマンスはどうですか？ 回答 ：作成者にはパフォーマンスの問題はありません。 〜/ Privateでコンパイルすると 、おそらく10％のパフォーマンスの低下が発生する可能性があると彼は提案します。 さらに、著者は非常に合理的なアイデアを明らかにしています：パフォーマンスの観点から、セクション全体を完全に暗号化することは1つのことであり、 〜/ Privateのアクセス隠蔽に敏感なものを選択して配置することはまったく別です。 アクセスパフォーマンスを低下させることにより、支払いを希望するデータの安全性を自分で決定します。 また、LVMの暗号化には、起動時にパスワードが必要です。これは、リモートサーバーの話題ではありません。

質問 ：ユーザーハウス全体を暗号化しないのはなぜですか？ 回答 ：彼らはアイデアを持っていましたが、今のところそれほど単純ではありません。 彼らはさらに考え、機能を拡張し、より便利にします。 今はどうですか？ など：

ln -s /home/kirkland/Private/.ssh /home/kirkland/.ssh





質問 ：グラフィックツールは開発されますか？ 回答 ：はい、おそらくJauntyで。

質問 ：暗号化の物理キーはどうですか？ USBスティックを使用してキーを保存できますか？ 回答 ： ecryptfsは、柔軟な暗号化キー管理をサポートしています。

1. pkcs11-helper
2. openssl
3. パスフレーズ
4. tspi

これまで、パスフレーズのみが使用されてきました。 手始めに、 〜/ .ecryptfs / wrapped-passphraseを USBフラッシュドライブにコピーし、そこにシンボリックリンクをインストールするだけです。 おそらく、このアイデアは将来開発されるでしょう！ また、OpenGPGハードウェアカード、Trusted Computingチップ、指紋リーダーをサポートするために、Ubunt自体でインフラストラクチャの作業が行われます。



さらにチャットでは、ゲストマシンのデータにアクセスする簡単な例のデモと追加情報 へのリンクがあります 。



この素晴らしいトピックに割り当てられた時間は終わりました。 作者とリスナーは、愉快な気持ちを交換し、別れを告げました。