При установке операционной системы Вы можете использовать Luks.
Luks - это уровень шифрования на блочном устройстве. Используется модуль ядра dm-crypt, что создает в каталоге /dev/mapper виртуальное блочное устройств, имеющее прозрачное для файловой системы и пользователя шифрование.
Обычно он используется либо на разделе диска, либо на физическом томе LVM, что позволяет использовать несколько разделов в одном зашифрованном контейнере.
LUKS хранит кучу метаданных в начале устройства. Он имеет слоты для нескольких парольных фраз. Каждый слот имеет 256-битную соль, которая отображается в открытом виде вместе с зашифрованным сообщением. При вводе ключевой фразы LUKS по очереди объединяет ее с каждой из солей, хэширует результат и пытается использовать результат в качестве ключей для дешифрования зашифрованного сообщения в каждом слоте. Это сообщение состоит из некоторого известного текста и копии главного ключа. Если он работает для любого из слотов, поскольку известный текст совпадает, мастер-ключ теперь известен, и вы можете расшифровать весь контейнер. Главный ключ должен оставаться не зашифрованным в оперативной памяти, пока контейнер используется.
Знание мастер-ключа позволяет получить доступ ко всем данным в контейнере, но не раскрывает пароли в слотах для паролей, поэтому один пользователь не может видеть пароли других пользователей.
Система не предназначена для того, чтобы пользователи могли видеть главный ключ во время работы, и этот ключ нельзя изменить без повторного шифрования. Однако использование слотов для паролей означает, что пароли могут быть изменены без повторного шифрования всего контейнера, а также позволяет использовать несколько паролей.
Если же у Вас имеется система, файлы которой требуется зашифровать, то в этом случае нет надобности заново переустанавливать систему как с вариантом Luks. В этом случае подойдет
EncryptedHome
Есть два способа зашифровать файлы и каталоги в вашем домашнем каталоге. Вы можете разместить файлы в зашифрованном «личном» каталоге или зашифровать весь домашний каталог.
Зашифрованный Личный каталог
Ubuntu позволяет вам зашифровать «частный» каталог в вашем домашнем каталоге. Это обеспечивает надежную криптографическую защиту ваших самых конфиденциальных данных, таких как ваши документы и ключи. Этот каталог автоматически монтируется при входе в систему и размонтируется при выходе из системы. Когда каталог отключен, злоумышленник имеет доступ только к вашим зашифрованным данным (AES256), но не к файлам или каталогам, хранящимся в нем.
Зашифрованные данные находятся в $ HOME / .Private , а при подключении расшифрованные данные находятся в $ HOME / Private . Некоторая важная информация о конфигурации хранится в $ HOME / .ecryptfs .
Во время процесса установки возникает вопрос о настройке каталога Encrypted Private. Если вы хотите настроить каталог Encrypted Private позже, просто запуститеe
cryptfs-setup-private
Шифрование Home
Ubuntu позволяет настроить шифрование домашней директории с помощью Desktop CD. На экране «Настройка пользователя» после выбора имени пользователя и пароля Вы можете выбрать один из следующих вариантов:
- войти в систему автоматически
- требуется пароль для входа
- требуется пароль для входа и расшифровки вашего домашнего каталога
Пользователи, которым нужен каталог Encrypted Home, должны выбрать третий вариант.
По сути у Вас 2 варианта - либо Вам придется сделать резервную копию ваших данных для повторной установки системы и дальнейшего шифрования диска, либо воспользоваться вариантом EncryptedHome
Есть еще и другие пути решения этого вопроса, но я рассмотрел основные.
