Stikkord: Passord

(X)ubuntu og kryptert heimekatalog (/home)

Arild BjørkKommenter innlegget

Eg testa speglkopiering av disken på min Compaq HP Mini 730eo med ein treg Intel Atom N270 prosessor. For å få det til å gå raskast mogleg er det lurt å nulle ut ledig plass. Det er ikkje vits i at verktøya kastar vekk tid på å pakke restar av filer som er sletta eller tilfeldige data som måtte ligge att på ei testmaskin.

Eg hadde sett opp Xubuntu 10.04 med passord for å logge på og kryptere alt innhald heimemappa. Berbare pcar som er mykje med på reis bør alltid krypterast slik at uvedkomande ikkje kjem til data dersom maskina forsvinn. Eg testa eit skript som skulle generere ei lita og ei stor fil med nullar i heimekatalogen. Under testinga la eg merke til at det var veldig treg skriving til disken. Når skriptet fungerte som det skulle, flytta eg det over til ein katalog som ikkje var kryptert. Nei, eg kunne ikkje køyre skriptet i heimemappa mi. Den underliggande krypteringa ville føre til at ledig plass på disken vart fylt med tilfeldige data og ikkje nullar. Eg testa skriptet att i den nye plassering og så vesentleg skilnad i ytinga.

Her er skriptet eg nytta for å vurdere skilnad i hastigheit:

rm *.txt
dd if=/dev/zero of=kort.txt  bs=1M  count=500
dd if=/dev/zero of=lang.txt  bs=1M  count=2000

Den første lina fjernar eventuelle txt-filer i mappa skriptet køyrer i. Den andre lina lagar ei fil med namnet kort.txt med nullar på ca 500 MB. Den siste lina lagar ei fil med namnet lang.txt på ca 2 GB. Resultat av dei ulike køyringane:

I ukryptert mappe

524288000 byte (524 MB) kopiert, 11,0566 s, 47,4 MB/s
2097152000 byte (2,1 GB) kopiert, 60,5938 s, 34,6 MB/s
524288000 byte (524 MB) kopiert, 10,5128 s, 49,9 MB/s
2097152000 byte (2,1 GB) kopiert, 58,0929 s, 36,1 MB/s
524288000 byte (524 MB) kopiert, 9,88656 s, 53,0 MB/s
2097152000 byte (2,1 GB) kopiert, 60,076 s, 34,9 MB/s

I kryptert heimemappe

524288000 byte (524 MB) kopiert, 46,9183 s, 11,2 MB/s
2097152000 byte (2,1 GB) kopiert, 186,47 s, 11,2 MB/s
524288000 byte (524 MB) kopiert, 45,9577 s, 11,4 MB/s
2097152000 byte (2,1 GB) kopiert, 190,433 s, 11,0 MB/s
524288000 byte (524 MB) kopiert, 45,7656 s, 11,5 MB/s
2097152000 byte (2,1 GB) kopiert, 184,776 s, 11,3 MB/s

Det er ein vesentleg reduksjon i skrivehastigheit i den krypterte heimemappa.

Fullstendig kryptert disk
(Dette er berre tilgjengeleg på alternativ installasjon-cd av dei ulike Ubuntu-variantane.)

524288000 byte (524 MB) kopiert, 23,5097 s, 22,3 MB/s
2097152000 byte (2,1 GB) kopiert, 129,156 s, 16,2 MB/s
524288000 byte (524 MB) kopiert, 27,1944 s, 19,3 MB/s
2097152000 byte (2,1 GB) kopiert, 127,024 s, 16,5 MB/s
524288000 byte (524 MB) kopiert, 23,0415 s, 22,8 MB/s
2097152000 byte (2,1 GB) kopiert, 129,141 s, 16,2 MB/s

Også her er det ein vesentleg skilnad mot ukrypterte data.

Det kan sjå ut til at ein fullstendig kryptert disk er raskare enn kryptert heimemappe, men då må ein hugse på at heile systemet er kryptert som fører til at alt blir like tregt. Med kryptert heimemappe er det berre dine personlege filer samt filer med innstillingar og data til ulike program som blir lagra kryptert og påvirka av den lågare farten. Programfiler og modular osv ligg i ukrypterte mappestrukturar og vert lasta med maksimal fart.

Konklusjon
Skal du velje ein av delene bør du velje kryptert heimemappe.

Berbart utstyr utgjer ein risiko, spesielt i ferietida

Arild BjørkKommenter innlegget

Acer Aspire One. Bilete henta frå http://www.acer.no/ Det siste året har det vorte selt mange rimelege mini-berbare med Asus og Acer i leiinga. Ordinære berbare har også vorte rimlegare og kraftigare. Ein ønskjer berbart utstyr framfor stasjonere maskiner, med mindre ein har spesielle behov. I dag vil ein ha fridomen til å sitje kor som helst og vere kopla til internett når som helst. Med fridomen følgjer også ulemper og eit ansvar for å sikre at dine sensitive data, som passord på ulike nettstadar, bilete, e-post og dokument kjem på avvegar. Det er berre å tenkje seg litt om, så hugsar du sikkert personar som har hatt uheldige episodar. Ting har ein tendens til å spreie seg i dag som “eld i turt gras” i dag. Still deg spørsmålet:

Har eg noko på min berbare som eg vil at andre ikkje skal få tak i?
Er spørsmålet Ja, bør du lese vidare.

NA0388Før, når stasjonere maskiner var mest populære, stod desse i huset som du låste huset når du tok deg ein tur. Skulle nokon ha tak i dine data, måtte dei fysisk bryte seg gjennom ei sperre. Berbart utstyr blir teke ut av denne sikringa. Felles for produsentane av berbart utstyr er at dei ikkje tilbyr at dine data skal sikrast mot denne risikoen. Maskiner blir levert med operativsystem og oppsett som gjer at dine data er tilgjengeleg for den som får tak i maskina di. Sjølv med passord på kontoen og kontooppsett som privat i Windows er dine data ikkje sikra.

No vil dei som har kjennskap til Windows Vista hevde at Vista vert levert med eit slikt verktøy. Ja, versjonane Vista Business og Vista Ultimate har eit slikt verktøy: BitLocker. Problemet er at dei maskinene vi som privatpersonar kjøper vanlegvis har Vista Basic eller Vista Home Premium som ikkje har BitLocker. Windows XP, som blir levert på dei aller fleste mini-berbare, har heller ikkje slik funksjonalitet.

Verksemder og offentlege etatar krypterer heile disken for å sikre seg mot at data kjem i feil hender. Det same bør du også gjere og det er ikkje farleg eller vanskeleg. Einaste forutsetninga er at du tek backup av alle dine data før du startar, dersom uhellet skulle vere ute. Med så mange gode tilbod på eksterne platelager, er det inga orsaking å ikkje ta backup. Med systemkryptering blir heile disken kryptert og ikkje separate filer. Det er ikkje mogleg å lese innhaldet på disken utan å ha passordet eller kodesetningen. Den som prøver å undersøke disken, vil sjå han fyllt med tilfeldige data.

Truecrypt

truecryptEg har tidlegare teke for eit verktøy i eit innlegg her på bloggen. Eg har valt å gå over til Truecrypt som, sidan februar 2008, har vorte utvida til å omfatte full systemkryptering. Truecrypt hadde frå før moglegheit til å generere virtuelle diskfiler, kryptere minnepennar, minnekort, eksterne platelager og andre deler av disken som ikkje er systempartisjonar. Kort og godt eit komplett, gratis verktøy for å sikre data på ein enkel måte. Truecrypt er også optimalisert til å dra nytte av dagens prosessorar med 2 eller fleire kjerner. Du vil ikkje merke nokon vesentleg hastigheitsreduksjon.

Før du byrjar med systemkrypteringa bør du hugse:

  1. Har du laga gjenopprettingscd/-dvdane til maskina?

    Mange maskiner blir levert med verktøy for å lage gjenopprettingscd/-dvdar. Alltid opprett desse CD/DVDane slik at du kan gjenopprette maskina til fabrikkstandard når du skal selje ho eller om Windows får ein skikkeleg vondsinna infeksjon av virus eller anna dritt.
  2. Backup av dine data for sikkerheits skuld.Tøffe gutar tek ikkje backup, tøffe gutar gret mykje. Ta backup av data med jamne mellomrom!
  3. Ein CD-R med mindre du legg inn eit mellomrom og /n i snarvegen til Truecrypt.Det siste gjerast dersom du skal kryptere system på ein berbar eller mini-berbar uten CD/DVD/BlueRay-brennar. Årsaka er at Truecrypt prøver å vere idiotsikker ved å krevje at du lagar ein rednings-cd, som Truecrypt verifiserer, slik at du kan få tilgang til dine data dersom seinare eit virus rotar til oppstartsdelen av disken. Denne idiotsikringa kan vere litt tungvinn. Ein måte å sikre at fila ikkje blir liggande på ein kryptert disk, fanga til evig tid, er at du legg fila på ein minnepinne eller ekstern disk. Ein rednings-cd kan seinare lagast av fila på ein anna pc. Berre pass på å ikkje mikse saman filer. Ei redningsfil/-cd er IKKJE universell, men spesifik for kvar pc som du krypterer disken på.
  4. Tenkt ut ein god kodesetning.

    Det er betre med ein god kodesetning, som er lett å hugse, enn eit langt intetsigande passord. Eksempel er setningen for å hugse tonane på strengene til ein 6-strengs gitar: “En Annen Dag Gikk Han Ensom” Bruk store og små bokstavar samt tal. Unngå norske bokstavar som æøåÆØÅ og andre teikn. Tastaturoppsettet er ikkje det same i først oppstartsfasen til maskina som i Windows.

meny Når 1-4 er klart, kan du setje i gong og velje menyen System > Encrypt System Partition/Drive og følgj instruksjonane. Etter at maskina har gjennomført ein del steg inklusive restart og Truecrypt har funne at alt fungerer som det skal, vil du kome inn att i Windows og kryptering av disken startar. Du kan arbeide med maskina medan dette pågår.

Gratis sikring av berbar

Arild BjørkKommenter innlegget

Berbare maskiner er rimelege og populære. Ein dreg dei med seg over alt. Risikoen for å miste ho eller at ho blir stolen er vesentleg høgare enn for ei stasjoner maskin. Med tap av maskin følgjer tap av data. Er du som dei fleste, vil dine data vere opne og tilgjengelege for dei som startar maskina. Sjølv med passord på kontoen og konto oppsett som privat i Windows er data ikkje låst mot dei rette verktøya.

Verksemder og offentlege etatar betalar for programvare som krypterer heile disken. Data er sikra sjølv om maskina går tapt. Den som prøver å undersøke disken vil sjå han som uformatert og fyllt med tilfeldige data. Som dei fleste har ikkje eg lyst til å betale meir enn det som er nødvendig og har funne fram til ei løysing som er gratis for privat og for verksemder:

CompuSec

Før du installerer bør du passe på nokre ting:

  1. Du MÅ ha administrative rettar til systemet. (Vanlegvis køyrer dei fleste Windows frå ein konto med administrative rettar.)
  2. Køyr ein disksjekk slik at du får retta evt. diskfeil.
  3. Slå av anti-virus i BIOS (Vanlegvis er dette avslått.)
  4. Slå av anti-virusprogramvara i Windows før du installerer.
  5. Ikkje køyr anna programvare når du installerer.
Programmet er fullpakka av funksjonar, men du treng ikkje installere meir enn:
  • Pre-boot authentification
  • Hard disk encryption

Dersom du har fleire maskiner, kan du bruke dei same krypteringsnøklane på alle maskinene. Ein krypteringsnøkkel er ikkje det same som passord. Du kan ha forskjellige passord for kvar maskin. Passorda fungerer som ein sjekk på at du har lov å bruke krypteringsnøkkelen. Installer CompuSec på den eine maskina og ta vare på fila securityinfo.dat. Under installasjon på maskin nummer 2, 3 osv passar du på importere «Hard disk key». «Diskette key» og «Removable media key» frå den første securityinfo.dat. Fordelen er då at du kan kryptere eksterne diskar med den same nøkkelen slik at du kan sikre desse og flytte dei mellom maskinene. Berre pass på å ta vare på alle securityinfo.dat-filene. Dei treng du når du skal fjerne diskkrypteringa.

Eg har brukt programmet sidan versjon 4.16 SP3 og det har aldri vore problem med heng, kræsj eller systemhavari.