加密我的个人文件夹会让我的计算机更安全吗?
如果我的个人文件夹被加密了,我需要更频繁地输入密码吗?
关于加密我的个人文件夹,还有什么其他需要知道的事情吗?
5个回答
简单来说
- 加密你的个人文件夹并不能使你的电脑更安全 - 它只是使你的个人文件夹中的所有文件和文件夹免受未经授权的查看。
- 从安全角度来看,你的电脑仍然“容易受攻击” - 但除非攻击者知道你的密码,否则很难窃取你的内容。
- 你不需要比平常更频繁地输入密码 - 当你登录电脑时,你的文件会自动解密,只在当前会话中可见。
- 根据你的计算机硬件情况,这可能会影响你的机器性能。如果你更关心性能而不是安全性(尤其是在使用较旧的机器),你可以选择禁用此功能。
从技术角度来看
Ubuntu使用“eCryptfs”将所有数据存储在一个目录中(在这种情况下是主文件夹),作为加密数据。当用户登录时,该加密文件夹会挂载第二个解密挂载点(这是一个临时挂载点,类似于tmpfs - 它在RAM中创建和运行,因此文件永远不会以解密状态存储在硬盘上)。这样做的目的是 - 如果您的硬盘被盗并读取其内容,那些项目将无法阅读,因为Linux需要在进行成功的挂载和解密时与您的身份验证一起运行(密钥是基于几个用户方面的SHA-512加密数据 - 然后将密钥存储在您的加密密钥环中)。最终结果是技术上安全的数据(只要您的密码没有被破解或泄漏)。您不必比平常输入密码更多次。这会略微增加磁盘I/O和CPU使用量(取决于您的计算机规格),可能会影响性能 - 尽管在大多数现代PC上都非常流畅。
- Marco Ceppi
14
5Marco,谢谢你的回答,你似乎对家庭文件夹加密有很好的理解。为了让不太懂技术的用户受益,你能否不涉及太多技术细节,以一个电脑小白的角度回答我的问题呢? - David Siegel
2我修改了我的答案,以反映一个更简单的观点。 - Marco Ceppi
1谢谢!(虽然有一些格式上的小问题) - David Siegel
第二个小点是第一个要点的子要点,我会让它更明显一些。这样应该更有意义了。 - Marco Ceppi
我猜我会说:“这并不会增强你的计算机安全性,但它确实能增加你的数据安全性。”根据你的使用情况,你可能会遇到一些 eCryptfs 的错误。具体而言,你将无法创建具有非常长文件名的文件。如果你使用的工具喜欢在深层目录结构中创建名称非常长(数百个字符)的文件,那么你很可能会遇到这个问题。 - RAOF
11还要注意的是,如果你使用双系统启动,那么从你的第二个操作系统访问Linux分区会变得更加困难。在Windows中,我曾经安装了一个简单的驱动程序来读取我的EXT3分区,但现在我被锁在外面了。哎呀! - Jono
如果有人使用您的计算机并执行passwd yourusername,然后以您的身份登录,会发生什么? - plod
2走走停停:这就是安全的终点。如果有人知道你的密码,那就完了。 - Marco Ceppi
Jono:但你的数据是安全的!我不确定是否有一种干净而正确地为Windows设置eCryptfs,并使用你钥匙环中已存在的解密密钥的方法。 - Marco Ceppi
也许提及它会阻止休眠是个好主意 - 休眠本身仍然可以工作,但无法恢复,因为交换区也被加密了。更多详细信息请参考bugs.launchpad.net/bugs/432785。 - papukaija
@papukaija 加密家目录的ecryptfs不会阻止休眠。加密交换分区会。 - Jan
如果你已经对文件进行了加密,并且忘记或丢失了密码和口令,那么恢复文件将变得更加困难。可能有必要补充一下这一点。 - N.N.
我在想是否有人可以更多地评论一下这个问题:“就安全角度而言,你的计算机仍然是‘脆弱’的,但除非攻击者知道你的密码,否则很难窃取你的内容。” 我也看到两个回答中都有类似的说法。那么为什么人们还说你的计算机仍然是“脆弱”的呢? - Jay
@Jay 我猜他们的意思是你的电脑仍然可能被入侵,也就是被盗用,而且使用另一个账户,这台电脑仍然可以被使用。这只是一种防止他人访问你的数据的方式,并不是让你的电脑专门为你工作的方法。 - Jochem Kuijpers
这个话题有一篇由Ubuntu开发者亲自撰写的很棒的文章,请参阅:http://www.linux-mag.com/id/7568/1/
摘要:
在Linux中,使用LUKS和dm-crypt的组合进行整盘加密。 Ubuntu从版本>= 9.10开始使用企业加密文件系统(ECryptfs)来在登录时启用主目录加密。创建了一个上层和下层目录,其中上层目录以明文形式存储在RAM中,以授予系统和当前用户访问权限。下层目录将数据作为原子、加密单元传递并存储在物理内存中。
文件和目录名称使用单个、挂载范围的fnek(文件名加密密钥)。每个加密文件的头部包含一个fek(文件加密密钥),并用单独的、挂载范围的fekek(文件加密密钥加密密钥)进行封装。Linux内核密钥环管理密钥,并通过其通用密码提供加密功能。
使用eCryptfs PAM(可插拔认证模块)不会破坏无人值守重新启动,这与典型的整盘加密解决方案不同。
eCryptfs分层文件系统实现了逐文件、增量、加密备份。
- al-maisan
1
3你能把你的仅包含链接的回答转化为更有用的回答吗?可以通过总结文章中提出的主要观点来实现这一点吗? - arekolek
加密的家庭文件夹在Ubuntu中的安全优势:
- 不需要记住或输入任何额外的密码或密钥。 - 在网络上(例如互联网)不会使您的计算机更安全。 - 如果计算机被多个用户共享,它提供了一个额外的屏障,防止其他用户访问您的文件。(这是一个复杂的技术讨论。) - 如果攻击者物理接触到您的计算机,例如偷走您的笔记本电脑,这将保护您的数据免受窃贼的阅读。(如果计算机关闭,他们无法在没有您的密码的情况下读取您的数据。如果计算机开启并且您已登录,则窃贼有可能窃取您的数据,但需要更高级的攻击,因此不太可能发生。)
- 不需要记住或输入任何额外的密码或密钥。 - 在网络上(例如互联网)不会使您的计算机更安全。 - 如果计算机被多个用户共享,它提供了一个额外的屏障,防止其他用户访问您的文件。(这是一个复杂的技术讨论。) - 如果攻击者物理接触到您的计算机,例如偷走您的笔记本电脑,这将保护您的数据免受窃贼的阅读。(如果计算机关闭,他们无法在没有您的密码的情况下读取您的数据。如果计算机开启并且您已登录,则窃贼有可能窃取您的数据,但需要更高级的攻击,因此不太可能发生。)
- Jan
关于加密您的家庭文件夹,您还需要了解的是,当您未登录时,其中的数据是无法访问的。如果您有一些自动化或外部进程(比如 crontab)试图访问这些数据,在您观察时它会正常工作,但在您不观察时会失败。这对于调试来说非常令人沮丧。
- Neil Vandermeiden
您的实际系统的安全性并不仅仅取决于文件、文件夹和文档的安全性。这些只是使它们对窥探者更加安全一点而已。
- zkriesse