Privé niet, werk wel...

Ik heb EFS op mijn gebruikersmap aanstaan, maar niet op mn harde schijf

Kom kom, alleen user folder is half werk, full disk encryption. Voor mij zelfs de hoofdreden om weer naar linux te gaan: in Mint zit het lekker makkelijk ingebakken in de install.

Alleen mijn laptop want die is diefstalgevoelig.

werk laptop is met bitlocker versleuteld, prive laptop is niet versleuteld

Dat was vroeger alleen eCryptFS van de Homedir...volgens mij is LUKS er sinds kort ingekomen...

Een belangrijke reden voor mij om mijn schijven niet te encrypten is simpelweg het gebrek aan gevoelige gegevens op deze schijven. Daarentegen is de opslag van mijn webserver (in de kamer naast mijn werkkamer) weer wel beveiligd en deze bevat dan wel enkele gevoelige gegevens, zoals mijn versie-beheer-systeem.
Encryptie is best leuk, maar zit mij vaak genoeg ook gewoon in de weg. Zeker als een computer crasht en je wilt de gegevens naar een nieuwe schijf overzetten.

Daar heb je een 'backup' voor.
Encryptie heeft amper nog impact op je dagelijkse gebruik op laptops anno +2009.
Stel je raakt je laptop kwijt, ik installeer er een trojan of malware op en geef hem terug aan je.
Jij denkt; oh fijn! en gaat er gezellig verder mee werken.

@ anoniem 12:03
Klopt, LUKS zit sinds Mint 15 gewoon als optie in de install.
A word to the wise: je toetsenbord layout kies je pas NA het kiezen van je decrypt wachtwoord. Dus als je geen standaard QWERTY hebt...

Hm, alle beschrijvingen die ik tot nu toe vind zijn 'doe eerst dit, dan dat'-achtige verhalen. Wat ik het eerst wil weten is niet wat ik voor handelingen moet verrichten maar wat er precies versleuteld wordt in de beschreven opzet. Als echt alles versleuteld is is ook de kernel niet toegankelijk, lijkt me. Kan je alleen een boot-partitie onversleuteld laten? Of kan Grub versleutelde partities ontsluiten?

De reden voor mij om (nog) niet alles te versleutelen is dat ik als desktopsysteem een zo energiezuinig mogelijk ding heb: een fanless mini-ITX-systeempje dat klein genoeg is om in de binnenzak van een colbert te passen (ik raak makkelijk genoeg gestoord in mijn concentratie door geluiden om zelfs last te hebben van een laptopfan die aanslaat). Dat is dus ook relatief langzaam, en schijf- of bestandsversleuteling doet op dat systeem een flinke aanslag op de CPU. Voor dingen die meer verwerkingskracht nodig hebben heb ik een headless systeem in een muurkast weggewerkt. Dat benader ik via ssh, programma's met een grafische UI met X11-forwarding over ssh. Omdat dat systeem headless is kan ik niet bij opstarten even een wachtwoord intypen dat alles ontsluit, ik kan het pas na opstarten benaderen. Natuurlijk zou ik wel alleen de home-partitie kunnen versleutelen, maar aangezien ik mijn home-directory mirror tussen genoemde systemen (behalve dat ik dan op beide systemen alles tot mijn beschikking heb dient dat ook als eerste, snelle backup) heeft het weinig zin op het ene systeem te versleutelen wat op het andere systeem onversleuteld is. Op dit moment versleutel ik met encfs alleen de meest privacygevoelige directory's.

Op alles wat door mijn eigen toedoen de deur uitgaat (backupschijven) gebruik ik wel full-disk-encryptie.

Mijn antwoord op de vraag zou "deels" zijn geweest als die mogelijkheid erbij had gestaan. Nu heb ik maar geen antwoord gegeven.

Kernel is wel toegankelijk, boot partitie ook. Maar om dat uit te buiten moet iemand al fysieke toegang tot PC hebbenen ergens in boot/kernel een phone home inbouwen. Enige wat je daartegen kunt doen is boot/kernel op een USB zetten en dat is me toch te lastig. Risico aanvaarding.

Nee hoor, dat kan heel goed. Ik heb het pas aan de hand gehad: laptop gecrasht, schijf versleutelt met Truecrypt. Schijf was fysiek nog intact.

Nieuwe laptop gekocht, bracket gekocht voor de schijf. Gewoon de schijf in een bracket gehangen en via Truecrypt op de nieuwe laptop mounten (in dit geval nog aangeven dat hij moet mounten zonder pre-boot authentication maar als je dat vergeet geeft hij het zelf aan dat dat moet) en de gegevens konden zonder probleem overgezet worden. Hoe dat met andere systemen als pgpdisk en Bitlocker werkt weet ik niet maar aangezien die ook externe schijven kunnen versleutelen verwacht ik daar ook geen problemen.

Als je schijf fysiek in puin ligt en je data is zoveel waard dat je tonnen over hebt voor een datarecovery bedrijf kun je beter een zootje externe schijven kopen als backup.

En qua snelheid maakt het met moderne hardware niet veel meer uit, AES zittegenwoordig hardwarematig in CPU's en die zijn sowiezo al veel sneller dan harddisks.

Bij Truecrypt wordt alles versleutelt en start er als je de machine aanzet alleen een bootloader op. Die is uiteraard niet versleutelt maar die kan niet meer dan een wachtwoord vragen en dan de rest van de bootsoftware ontsleutelen.

Ik zie namelijk het punt niet om encryptie op m'n program files en windows folder toe te passen.
Daarin zit niks bijzonder, alle programma's slaan instellingen of in My Documents of in het registry op.
En encryptie brengt een performance hit met zich mee, alhoewel dat tegenwoordig nog meevalt. Ik wil wel graag dat mn Office pakket snel opstart :)

De huidige laptops gaan steeds vaker in slaapstand dan dat ze afgesloten en opnieuw opgestart worden. Full disk encryption is in een dergelijke situatie niet meer zinnig want de computer boot helemaal niet meer van de harde schijf maar is eigenlijk al opgestart.

Ook bij FileVault2, de full disk encryption van apple is er geen probleem. Je mount zo'n externe disk met het wachtwoord en daarna zie je het verschil met een gewone disk niet meer.