Att kryptera eller inte kryptera sin laptop

Beror lite på dist men du kommer få valet att spara en backup nyckel på nått sätt.

Personligen tycker jag att alla mobila enheter bör vara krypterade, om inte annat så löser det problemet den dagen den ska säljas/ges bort/slängs.

Lite förenklat så om du har tpm/t2 så krypteras din disk nyckel med privata nyckel som finns där. Och avkrypteras med tpm/t2 när du bootar datorn. Hur backupnyckel hanteras beror lite på antar jag. Vilket dist är det du tänker på?

Kryptera Kryptera Kryptera

Finns ingen anledning idag att inte göra det.
Spara dina viktiga filer på extern hårddisk, krypterad eller inte (Ligger den bara hemma spelar det mindre roll, även om jag skulle rekommendera att man krypterar den också).
En extern hårddisk är en extremt billig försäkring, oavsett om du krypterar eller inte.

Du kan spara recovery i en vanlig USB-sticka som man lägger på ett säkert ställe.

om det är bitlocker så kan du generera en backupnyckel och tex skriva ut det på ett papper (säkrare än att lägga det på en USB-sticka som inte längre fungerar den dagen du behöver den.). Nycken ser ut som en 'CD-nyckel' ungefär med en rad med hex-värden i grupper.

Den nyckeln går in först efter sörjan med TPM-chip etc. och är kopplad till volymen och inte mot hårdvaran - dvs - disken kan öppnas på annan dator med hjälp av nyckeln.

Tänk på att om din windows är kopplad till konto hos Microsoft så är din nyckel inte längre privat utan MS har en kopia av den och som du inte har någon kontroll på i hur den hanteras - MS kan forceras att ge nyckeln till NSA med hjälp av den amerikanska FISA-lagen även på datorer utanför USA:s gränser (och självklart är det tvärkrock med våran GDPR-lag) och enda sättet att komma undan den lagen för MS är att upphöra med all verksamhet i USA och avregistrera företaget där... rätt liten risk att det händer...

Vill du ha din hårdisk-kryptering verkligen privat, privat så blir det att använda veracrypt (i linux-världen luks-crypt).

till detta är det som redan sagt - det är ännu viktigare med regelbunden backup på filnivå än tidigare när du kör disken ej krypterad - hela iden med kryptering är ju att det minsta det skiter sig så blir allt oläsligt vilket också tar bort det mesta i datarobusthet och små missar ger katastrofal verkan.

Edit: missade att det var i en linux-tråd:

- det var pratet om TPM som lurade mig då linux använder inte någon TPM-chip alls i sin hanterande av password liksom veracrypt heller inte gör det. De använder istället rejäl keystretching som gör det CPU/GPU-intensivt att prova password och ändå bara göra det i väldigt låg takt då när man initierar LUKS-crypt med cryptsetup så brukar keystrechingen anpassas så att det är 1 eller 2 sekunder rehashing innan vidare progress på den datorn som filsystemets skapas i.

Med cryptsetup kan man få ut nyckeln som matas till ciphern i diskkryptering och precis som med bitlocker bör den skrivas ut på papper och gömmas väl då flashlagring oavsett sort är inte att lita på att det håller över tid.

Normalt sett är olika Linux-krypteringar inte kopplad till någon hårdvara utan volymerna kan öppnas på annan maskin. Det är både för och nackdelar med detta, men för min del är valet enkel - för vem litar på att TPM-chipet inte har en bakväg in när det är en amerikansk design - NSA skulle helt enkelt inte tillåta att det inte finns någon bakväg in...

Jag kör lukscrypt på nästan allt och framförallt på externa medier och det fins också system (keyring) som håller reda på password för olika diskar för automatisk inloggning när man ansluter externa krypterade diskar om man vill.

Du kan prova i typ Virtualbox eller motsvarande (eller direkt på datorn, kan vara lite mer risky beroende på vad exakt du gör), men är inte så svårt att öppna en LUKS-device från command line om du behöver hämta ut data eller reparera OS.

Någon typ av recovery kan du få genom att ta en backup av LUKS-headern, har inte tyckt det behövts själv men den här sidan brukar ha bra tips: https://www.cyberciti.biz/security/how-to-backup-and-restore-...

LUKS har flera keyslots så du kan lägga till extra lösenord eller key file(s) om du vill.

Det går att göra en luksHeaderBackup med cryptsetup - och den vägen reparera en sönderkörd början av partitionen - givetvis måste du fortfarande komma ihåg dina egna passord i alla lägen.

Det är troligen precis som i veracrypt att det är passorden som är inlagda som gäller för headern när man gör backup - byts passorden i senare skede och man laddar in en gammal headerbackup igen så är det dess gamla passord som också gäller, inte dom senare passorden.

luks-crypt kan ha flertal olika password på samma volym - det är 8 keyslot för en volym

det går också göra med luksDump --dump-master-key för att få ut chiper-nyckeln och även här måste du kunna dina använda password för att få ut dessa.

det står ganska mycket på https://man7.org/linux/man-pages/man8/cryptsetup.8.html

---

Varken Linux eller veracrypt litar på TPM-chipet och använder den inte. Istället har man andra lösningar som är lika jobbiga att göra attack på som lösningar med TPM-chip. Men grunden i både windows-världen och linux/veracrypt att inloggningen är inte starkare än användarens password/passfras - vilket ofta är den svagaste länken i kedjan.

Nvm, jag tänkte fel och var i Bitlocker världen.
Finns ingen recovery nyckel för LUKS, men det finns till VeraCrypt. Kan förlite om krypteringen i sig för att säga något för/emot VeraCrypt vs LUKS men har kört VeraCrypt på alla mina enheter i flera år med gott resultat (PC + Linux)
(Jag gillar att ha möjligheten att rädda/ dekryptera mina filer ifall att, därav VC istället för LUKS)

https://veracrypt.eu/en/VeraCrypt%20Rescue%20Disk.html