Vull fer notar que, amb això de l'arrencada externa, en Sergi t'està
diferenciant entre: que la contrassenya es demani per al teclat, o que
la contrassenya estigui emmagatzemada a l'arrencada externa, ambdós
casos compatibles amb iniciar d'una memòria USB.

Tot això es perquè el (preguntador &) desbloquejador del disc dur ha de
ser programari sense encriptar encara.



__________
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 10:32, Sergi Blanch-Torné ha escrit:
> Hola,
> 
> Els xifrats en disc depenen de què vulguis protegir (el threat model).
> 
> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
> separats quan l'ordinador estar apagat.
> 
> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
> parar. Únicament. Estaries protegint la modificació dels binaris. Però
> compte amb l'exposició del kernel.
> 
> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
> l'ordinador engegat i per tant amb la partició xifrada montada.
> 
> De forma no excloent, però que té implicacions de performance, és
> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
> tenir present que root, tot i que no pot montar el teu home, si que hi
> pot accedir si l'usuari ha fet login.
> 
> Després hi ha una tercera via, útil per exemple per discs durs externs,
> que serien eines com encfs, en les que hom monta una estructura de
> directoris sota demanda. Té els seus pros i contres també.
> 
> /Sergi.
> 
> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
> aprendre...
> 
> On 19/06/17 09:31, Narcis Garcia wrote:
>> La manera en què jo ho he vist fer és deixar connectada la memòria USB
>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
>> encriptar.
>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
>> la memòria USB per arrencar-ne, que és la que demana contrasenya per
>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
>> connectada per a que sigui coherent amb les actualitzacions de nucli i
>> gestor d'arrencada.
>>
>> De tota manera, aquesta externalització de l'arrencada és una mesura més
>> aviat orientada a evitar una vulnerabilitat molt i molt específica:
>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
>> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
>> i així en un «següent robatori» recuperar aquesta dada.
>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
>> memòria USB i col·locar el /boot al mateix disc dur.
>>
>>
>> __________
>> I'm using this express-made address because personal addresses aren't
>> masked enough at this list's archives. Mailing lists service
>> administrator should fix this.
>> El 19/06/17 a les 01:37, Pedro ha escrit:
>>> Josep,
>>>
>>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>>
>>> podríem considerar que el punt de partida més habitual és una debian
>>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>>
>>> Gràcies!
>>>
>>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa <jllad...@gmail.com>:
>>>>
>>>>
>>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader <id...@bergueda.org>:
>>>>>
>>>>> Hola,
>>>>>
>>>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
>>>>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>>>>
>>>>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>>>
>>>>
>>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya 
>>>> (o
>>>> un llapis usb amb una clau) per iniciar sistema.
>>>>
>>>>
>>>>>
>>>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
>>>>> no podrà fer res?
>>>>
>>>>
>>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>>>> operatiu/aplicacions tenien...
>>>>
>>>>>
>>>>>
>>>>> Perdoneu la meva ignorància...
>>>>>
>>>>> Salut
>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> --
>>>> Salutacions...Josep
>>>> --
>>>
>>
> 

Respondre per correu electrònic a