Perguntas[encryption](ubuntu)

Estou usando criptografia PGP para meus e-mails, meu amigo usa S/MIME. Nós dois usamos o Thunderbird para escrever e-mails. Quando ele me escreve um e-mail assinado, posso verificar a assinatura e, da mesma forma, ele pode verificar a minha. No entanto, não podemos enviar e-mails criptografados uns aos outros. A página de ajuda do Thuderbird diz

Você deve ter chaves ou certificados da mesma tecnologia para todos os destinatários, inclusive você, porque OpenPGP e S/MIME são tecnologias de criptografia separadas e não podem ser misturadas em um único e-mail. Certifique-se de ter selecionado a tecnologia correta ao redigir um e-mail criptografado.

Mas por que isso é necessário? Se o Thunderbird do meu amigo puder verificar minhas assinaturas PGP, ele deverá ser capaz de criptografar uma mensagem para mim com minha chave pública PGP, não importando se a chave dele é S/MIME, ou se ele mesmo possui ou não algum tipo de chave. Da mesma forma, devo ser capaz de criptografar mensagens para ele, visto que posso verificar sua assinatura. Estou negligenciando alguma coisa? Talvez eu não tenha entendido 100% como exatamente o S/MIME difere da abordagem de chave pública/privada do PGP...

Estou tentando instalar o servidor Ubuntu 22.04 com instalação automática principalmente seguindo este artigo . Consigo obter o cloud-init e usar meus dados de usuário para a instalação, mas não consigo fazer a criptografia funcionar. Aqui está minha configuração de dados do usuário.

#cloud-config
autoinstall:
  version: 1
  packages:
    - ubuntu-desktop
  snaps:
    - name: firefox
    - name: gnome-3-38-2004
    - name: gtk-common-themes
    - name: snap-store
    - name: snapd-desktop-integration
  identity:
    hostname: hostname
    password: [SHA-512 PASSWORD]
    username: username
  storage:
    layout:
        name: lvm
        password: [SHA-512 PASSWORD] 

O que estou fazendo de errado aqui?

Preciso de algo - portátil - para ser montado como unidade para mostrar seu conteúdo criptografado. Emprestei-me um sistema Ubuntu 22.04 Desktop por algumas semanas, pois não estou em casa e gostaria de salvar o arquivo de uma maneira que faça com que, quando eu o devolver, não seja acessado facilmente se "recuperado ". Eu gostaria que, enquanto estou usando o sistema, o conteúdo fosse salvo facilmente dessa maneira, que montá-lo como uma unidade parece a maneira mais fácil. Como estou prestes a devolver o sistema, gostaria que o arquivo ou diretório contendo meu conteúdo criptografado fosse salvo em um pendrive e excluído do sistema. Espero que o conteúdo recém-adicionado do stick USB possa ser descriptografado em meu sistema, não precisando de criptografia separada, cujo sistema operacional é o Windows 10; se necessário, posso instalar uma VM nela para executar o Ubuntu para fazer a cópia de descriptografia (do pendrive).

Alguém pode pensar que posso deixar meu stick e salvar o conteúdo não criptografado, mas

1. está escondido e prefiro só retirá-lo quando estou saindo e
2. Às vezes, compartilho esse stick (não com os que estou vendo no momento) e prefiro que o conteúdo que em breve não seja salvo seja "recuperado" e acessado facilmente.

Para minha necessidade atual, não preciso de criptografia forte, apenas não algo superfácil de descriptografar (ou seja, aponte o arquivo/diretório criptografado para um programa e <1 hora com um sistema médio, pode-se ler seu conteúdo). Se algo como uma escala de criptografia de 1 a 10 puder ser feita/imaginada, gostaria de algo em torno de 3/10.

Você poderia me indicar algo que poderia atingir meu objetivo (no primeiro parágrafo)?

Obrigado

Estou pensando em instalar o Ubuntu no meu computador. Estudei as instruções de instalação e descobri que uma das etapas é selecionar se o sistema Ubuntu será criptografado. Eu entendo que a criptografia aumenta a segurança. Se um computador sem criptografia for roubado, o ladrão poderá acessar os dados simplesmente usando um disco de inicialização para burlar o login do Linux. No entanto, li que também existem algumas desvantagens possíveis na criptografia, mas o que li não ficou totalmente claro para mim. Gostaria de saber se alguém poderia por favor esclarecer esta questão.

Um artigo sobre os prós e contras da criptografia está em

https://www.makeuseof.com/tag/4-reasons-encrypt-linux-partitions/

Conforme observado neste artigo, uma desvantagem óbvia é que os dados em um computador ficam inacessíveis se o usuário esquecer sua chave de criptografia. Eu escolheria uma chave de criptografia que nunca esqueceria. Então, isso não deve ser um problema para mim. O artigo observa que outra desvantagem é que a criptografia pode tornar um computador lento, mas isso não é um grande problema para as máquinas atuais.

O artigo também afirma que, caso algo dê errado com um sistema operacional, a criptografia pode dificultar a recuperação de dados. Achei a explicação deste ponto confusa, e queria saber se alguém poderia por favor elaborar sobre isso.

Entendo que se pode optar por criptografar um disco rígido inteiro, apenas o diretório inicial ou apenas algumas partes do diretório inicial. Eu estaria interessado em criptografar todo o disco rígido ou o diretório inicial e queria saber como essas duas opções se comparam em prós e contras.

Eu entendo que criptografar todo o disco rígido só é possível ao instalar o Ubuntu, mas é possível criptografar o diretório inicial a qualquer momento. Isso é correto?

Como todos os meus dados estariam no diretório inicial, não vejo necessidade de criptografar todo o disco rígido. Estou certo de que não há vantagem em fazer isso e criptografar o diretório inicial é suficiente para proteger os dados de um ladrão de computadores?

Se eu criptografasse apenas o diretório inicial, a recuperação de dados de um sistema Ubuntu corrompido seria mais fácil do que se eu criptografasse todo o disco rígido? A recuperação de dados também pode ser um problema se apenas o diretório inicial estiver criptografado?

Suspeito que uma máquina com apenas um diretório inicial criptografado funcionaria mais rápido do que um computador com um disco rígido totalmente criptografado. Isso é correto?

O artigo observa que um disco de recuperação pode ser necessário se algo der errado com o sistema operacional Linux e que a recuperação será impossível se o disco tiver sido criptografado e a chave for esquecida. Não vejo motivo para criptografar um disco de recuperação, pois ele não conteria dados pessoais. A recuperação em um sistema com um disco rígido criptografado ou diretório inicial ainda seria difícil, mesmo que o disco de recuperação não tenha sido criptografado?

Entendo que devo fazer backups regulares dos meus dados. Ainda assim, gostaria que a recuperação de dados fosse o mais fácil possível. Também entendo que a criptografia de um computador só protege a privacidade no caso de alguém roubar fisicamente a máquina e que sempre são necessárias medidas de segurança adicionais.

Finalmente, se houver algum problema em potencial que eu tenha deixado passar, gostaria que alguém me indicasse isso.

Obrigado pela ajuda.

Depois de criptografar o diretório inicial por meio da ferramenta ecryptfs, o idioma da interface do usuário especificado não é aplicado após a reinicialização do sistema.

Se o usuário no sistema apenas um, toda a interface do usuário do sistema pode ser alterada para o necessário. Mas o que fazer se houver mais de dois usuários e os idiomas para eles devem ser diferentes?

Fundo:

• Eu tenho um sistema sem cabeça colocado em um lugar público. Instalei o Chrome Remote Desktop nele, para que ele possa iniciar automaticamente vários aplicativos de desktop após a inicialização, e eu possa me conectar remotamente para verificar o status.
• Como o sistema é acessível por pessoas não autorizadas, quero criptografar /home diretamente para segurança primitiva (eu sei que criptografar /home only não é VERDADEIRO seguro, mas é bom o suficiente para eu parar apenas com um olhar casual).
• Eu segui os guias aqui para criptografar /home com eCryptfs. No entanto, a criptografia quebrou o serviço de área de trabalho remota, que funcionava perfeitamente antes da criptografia.
• O motivo é que o serviço de área de trabalho remota do Chrome não pode acessar os arquivos de configuração antes do login, que fica em ~/.config/. Então, ele falha no início.

Minha pergunta:

É possível permitir que a Área de Trabalho Remota do Chrome (ou, mais geralmente, qualquer serviço executado com o privilégio de um usuário específico) acesse o diretório /home criptografado antes do login do usuário? Eu não insisto em eCryptfs. Qualquer ferramenta mais leve (menos segura) também é aceitável.

Mais algumas informações:

1. O sistema localiza-se atrás de algum gateway NAT e não tenho controle sobre o gateway. Então não consigo acessar com ssh.
2. Eu preciso reiniciar o sistema remotamente de tempos em tempos, então a criptografia de disco completo não é uma opção.

Boa tarde a todos,

Acabei perdendo minha senha para acessar minha chave GPG, mas como usei a versão mais atual ao criá-la, foi gerado um arquivo de recall ID.rev na pasta openpgp-revocs.d Ao pesquisar como revogar a chave, vi que um arquivo .asc é usado (o que não posso gerar porque não tenho mais a senha da chave). Então gostaria de saber como faço para transformar este arquivo .rev em um arquivo .asc para enviar ao servidor e revogar minha chave

Eu tenho um PC Lenovo e estou executando o Ubuntu 20.04 LTS.

Eu gostaria de criptografar um arquivo ou diretório em um HDD externo conectado ao pc via porta USB (para armazenar dados que devem ser MUITO SEGUROS).

Como se faz isso?

Estou usando o Ubuntu 20.04 há alguns meses no meu computador. Instalado usando o instalador padrão com Full Disk Encryption habilitado. Agora, quando desligo meu computador, o systemd-shutdown produz essas duas mensagens:

systemd-shutdown[1]: Could not detach DM /dev/dm-0: Device or resource busy
systemd-shutdown[1]: Failed to finalize DM devices ignoring

Eles aparecem de forma consistente, também após uma instalação limpa. Eu experimentei isso com o Ubuntu e o Pop_OS!. Sem criptografia, não há mensagens exibidas durante o desligamento. No meu log de desligamento do systemd, vejo as seguintes mensagens aparecendo entre outras:

mrt 26 19:24:52 user systemd-cryptsetup[13215]: Device nvme0n1p3_crypt is still in use.
mrt 26 19:24:52 user systemd-cryptsetup[13215]: Failed to deactivate: Device or resource busy
[......]
mrt 26 19:24:52 user systemd[1]: systemd-cryptsetup@nvme0n1p3_crypt.service: Control process exited, code=exited, status=1/FAILURE
mrt 26 19:24:52 user systemd[1]: systemd-cryptsetup@nvme0n1p3_crypt.service: Failed with result 'exit-code'.
mrt 26 19:24:52 user systemd[1]: Stopped Cryptography Setup for nvme0n1p3_crypt.

Eu procurei por um tempo e vi pessoas com diferentes tipos de distribuições linux recebendo essas mensagens. A única 'solução' real que vi foi suprimir as mensagens. Minha pergunta é: esse é um comportamento normal em que a unidade criptografada acabará sendo desmontada após os avisos iniciais ou está sinalizando que a desmontagem não foi concluída? Estou preocupado principalmente com a possível corrupção de dados causada pela desmontagem inadequada. As mensagens em si não me incomodam.

Log do Journalctl do último desligamento (substituí meu nome de usuário e UUIDs, também estão faltando os snappackages desmontando):

mrt 26 19:24:52 user systemd[1]: Unmounting /boot/efi...
mrt 26 19:24:52 user systemd-cryptsetup[13215]: Device nvme0n1p3_crypt is still in use.
mrt 26 19:24:52 user systemd-cryptsetup[13215]: Failed to deactivate: Device or resource busy
mrt 26 19:24:52 user systemd[1]: Unmounting Mount unit for core18, revision 1988...
mrt 26 19:24:52 user systemd[1]: Unmounting Mount unit for gnome-3-34-1804, revision 66...
mrt 26 19:24:52 user systemd[1]: Unmounting Mount unit for gtk-common-themes, revision 1514...
mrt 26 19:24:52 user systemd[1]: systemd-cryptsetup@nvme0n1p3_crypt.service: Control process exited, code=exited, status=1/FAILURE
mrt 26 19:24:52 user systemd[1]: systemd-cryptsetup@nvme0n1p3_crypt.service: Failed with result 'exit-code'.
mrt 26 19:24:52 user systemd[1]: Stopped Cryptography Setup for nvme0n1p3_crypt.
mrt 26 19:24:52 user systemd[1]: boot-efi.mount: Succeeded.
mrt 26 19:24:52 user systemd[1]: Unmounted /boot/efi.
mrt 26 19:24:52 user systemd[1]: Unmounting /boot...
mrt 26 19:24:52 user systemd[1]: systemd-fsck@dev-disk-by\x2duuid-xxxxx\xxxxxx.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Stopped File System Check on /dev/disk/by-uuid/xxxx-xxxx.
mrt 26 19:24:52 user systemd[1]: Stopped target Swap.
mrt 26 19:24:52 user systemd[1]: Deactivating swap /dev/disk/by-id/dm-name-vgubuntu-swap_1...
mrt 26 19:24:52 user systemd[1]: boot.mount: Succeeded.
mrt 26 19:24:52 user systemd[1]: Unmounted /boot.
mrt 26 19:24:52 user systemd[1]: systemd-fsck@dev-disk-by\x2duuid-xxxxxxxxxxxxxxxxxxxxxxxx.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Stopped File System Check on /dev/disk/by-uuid/xxxxxxxxxxxxxxxxxxxx.
mrt 26 19:24:52 user systemd[1]: Removed slice system-systemd\x2dfsck.slice.
mrt 26 19:24:52 user systemd[1]: dev-disk-by\x2did-dm\x2dname\x2dvgubuntu\x2dswap_1.swap: Succeeded.
mrt 26 19:24:52 user systemd[1]: Deactivated swap /dev/disk/by-id/dm-name-vgubuntu-swap_1.
mrt 26 19:24:52 user systemd[1]: dev-vgubuntu-swap_1.swap: Succeeded.
mrt 26 19:24:52 user systemd[1]: Deactivated swap /dev/vgubuntu/swap_1.
mrt 26 19:24:52 user systemd[1]: dev-disk-by\x2duuid-xxxxxxxxxxxxxxxxxxxxxxxx.swap: Succeeded.
mrt 26 19:24:52 user systemd[1]: Deactivated swap /dev/disk/by-uuid/xxxxxxxxxxxxxxxxxxxxxxxxxxxd.
mrt 26 19:24:52 user systemd[1]: dev-disk-by\x2did-dm\x2duuid\x2dLVM\xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.swap: Succeeded.
mrt 26 19:24:52 user systemd[1]: Deactivated swap /dev/disk/by-id/dm-uuid-LVM-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
mrt 26 19:24:52 user systemd[1]: dev-dm\x2d2.swap: Succeeded.
mrt 26 19:24:52 user systemd[1]: Deactivated swap /dev/dm-2.
mrt 26 19:24:52 user systemd[1]: dev-mapper-vgubuntu\x2dswap_1.swap: Succeeded.
mrt 26 19:24:52 user systemd[1]: Deactivated swap /dev/mapper/vgubuntu-swap_1.
mrt 26 19:24:52 user systemd[1]: Stopped target Local File Systems (Pre).
mrt 26 19:24:52 user systemd[1]: Reached target Unmount All Filesystems.
mrt 26 19:24:52 user systemd[1]: Stopping Monitoring of LVM2 mirrors, snapshots etc. using dmeventd or progress polling...
mrt 26 19:24:52 user systemd[1]: systemd-tmpfiles-setup-dev.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Stopped Create Static Device Nodes in /dev.
mrt 26 19:24:52 user systemd[1]: systemd-sysusers.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Stopped Create System Users.
mrt 26 19:24:52 user systemd[1]: systemd-remount-fs.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Stopped Remount Root and Kernel File Systems.
mrt 26 19:24:52 user lvm[13235]:   2 logical volume(s) in volume group "vgubuntu" unmonitored
mrt 26 19:24:52 user systemd[1]: lvm2-monitor.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Stopped Monitoring of LVM2 mirrors, snapshots etc. using dmeventd or progress polling.
mrt 26 19:24:52 user systemd[1]: Reached target Shutdown.
mrt 26 19:24:52 user systemd[1]: Reached target Final Step.
mrt 26 19:24:52 user systemd[1]: systemd-reboot.service: Succeeded.
mrt 26 19:24:52 user systemd[1]: Finished Reboot.
mrt 26 19:24:52 user systemd[1]: Reached target Reboot.
mrt 26 19:24:52 user systemd[1]: Shutting down.
mrt 26 19:24:52 user systemd-shutdown[1]: Syncing filesystems and block devices.
mrt 26 19:24:52 user systemd-shutdown[1]: Sending SIGTERM to remaining processes...
mrt 26 19:24:52 user systemd-journald[733]: Journal stopped

Desde já, obrigado!

Então eu detonei meu laptop e carreguei o Ubuntu MATE 21.04 diariamente. Durante a instalação, escolho ZFS + criptografia. Porque eu poderia ;).

Então o que eu acabei de fazer? Alguém pode me dar alguns detalhes sobre como isso funciona por baixo? Obtive a criptografia nativa ZFS? Ou é Luks + ZFS? E o que está tudo criptografado agora? Root, boot, swap?

Além disso, meu laptop tem um SSD e um disco rígido. É possível obter criptografia ZFS + no disco rígido também, sem colocar uma senha o tempo todo. Talvez com um arquivo de chave? Ou existem opções melhores?