Dúvida sobre criptografia de disco no Debian [RESOLVIDO]

adrianogoede
(usa Debian)

Enviado em 11/06/2021 - 12:48h

Pessoal, tenho algumas dúvidas quanto ao sistema dm-crypt, usado para criptografia de disco no Debian e vários de seus derivados:

1 -> Pesquisando sobre o mesmo, encontrei várias pessoas em fóruns alegando que o método usado pelo dm-crypt não é seguro e que seria possível quebrar a criptografia com ferramentas forenses ou mesmo ataques menos sofisticados, já outros falam que o dm-crypt é muito seguro e até hoje não foi quebrado sem que o usuário tivesse cometido algum erro. Alguém tem um bom conhecimento no assunto e saberia me responder sobre essa questão?

2 -> Tal software requer que o /boot seja mantido em uma partição não criptografada, e pelo que eu li o Kernel inteiro é armazenado aqui e portanto não criptografado. Pois bem, o Kernel não gera logs e outros "restos" que podem vazar informação sobre os dados contidos nas partições criptografadas? Ou tais logs não ficam junto no /boot?

Obrigado!

Mauriciodez
(usa Debian)

Enviado em 11/06/2021 - 12:57h

* Não tem como criptografar o /boot por um simples motivo, não tem como descriptografar, logo não haverá boot !!!
* No /boot só fica(m) o(s) kernel

OBS: te aconselho a não mexer com criptografia de disco, a não ser que tudo o que vc tem é ultra secreto ( o que eu duvido que seja ) ... se quer manter uma coisa ou outra no "top secret" use criptografia em diretórios e/ou arquivos.

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



                                " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"



------------------------------------------------------| Linux User #621728 |------------------------------------------------------ 

renato_pacheco
(usa Debian)

Enviado em 11/06/2021 - 14:13h

Complementando a resposta acima, a primeira pergunta é pq a primeira versão do LUKS tinha uma falha q facilitava o bruteforce para quebrar a senha, mas a versão 2 já é segura e utiliza dos algoritmos e iterações q dificultam a prática.


--
http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

NidoBr
(usa Manjaro Linux)

Enviado em 11/06/2021 - 18:56h

Achei algo sobre:
https://wiki.archlinux.org/title/Dm-crypt_(Portugu%C3%AAs)/Encrypting_an_entire_system_(Portugu%C3%A...

Delusion
(usa Debian)

Enviado em 11/06/2021 - 20:24h

não sei...
mas para mim o zulucrypt dá e sobra.


Linux User # 624552

Freud_Tux
(usa Outra)

Enviado em 11/06/2021 - 22:39h

A não ser que você faça algo muito secreto (ou "errado" quer você julgue ser sigiloso e por isso muito secreto), não vale a pena criptografar o disco inteiro por "N" motivos.
Irei citar um dos mais importantes. Se você esquecer a senha, ou digitar errado na hora da configuração, já era!
Realize uma busca na internet e vai ver que muitas pessoas tiveram problemas com isso. E para reverter é extremamente trabalhoso e caro.
As pessoas já se atrapalham com hds externos que permitem criptografia, onde precisam dar só alguns clicks para configurar.
Se você tiver um problema com a máquina que está esse HD e ela der problema, você não vai simplesmente tirar o HD, espetar em outra máquina e usar seus arquivos.

T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer

cizordj
(usa Debian)

Enviado em 13/06/2021 - 10:37h

A criptografia LUKS do Linux funciona dessa forma:

Ele usa uma chave pra criptografar o disco inteiro e você usuário define uma senha pra descriptografar essa chave, logo se essa chave for muito fraquinha você pode definir a senha mais difícil do mundo que alguém pode quebrar a sua primeira chave sem precisar da sua senha, eu acho que é com isso que você deveria se preocupar, no mais, se você mudar a sua senha ele não muda a chave de criptografia primária pois isso requer descriptografar o disco inteiro e criptografar de novo usando a nova chave e isso é extremamente custoso, por isso o LUKS foi desenhado dessa forma.

Quando for mexer com o LUKS torça para que a sua primeira chave seja bem forte ;)

cizordj
(usa Debian)

Enviado em 13/06/2021 - 10:41h

E respondendo a sua segunda pergunta, não é uma boa ideia criptografar a partição de boot e não o kernel não gera logs por lá, a partição de boot é estática e só é mexida através de atualizações do kernel ou remoções.

Todos os logs do kernel ficam em /var/log/dmesg e não se esqueça também de criptografar a partição de swap.