Ubuntuはインストールの際にホームフォルダを暗号化するオプションがあります。「暗号化すればなんとなく安全そうだけど、覚えるパスワードが増えるなら面倒だな」そんな疑問をもつLinux初心者は少なくないと思います。この記事ではホームフォルダの暗号化のメリット・デメリットについて解説したいと思います。
ホームフォルダの暗号化とは?
Linuxではオペレーティングシステム(OS)とは別にユーザーごとにホームディレクトリと呼ばれるフォルダにドキュメント、写真、音楽などのデータが保存されます。そのフォルダを暗号化、つまりパスワードを入力しなければ中身が確認できないようにするとことで、他人から個人データを盗み見られにくくなります。
アカウントにログインパスワードを設けるのと同じように思えますが、用途が違います。ログインパスワードはパソコン全体、特にOSの部分を勝手に変更されないようにする鍵で、ホームフォルダの暗号化はユーザーデータの保護のみです。例えば、Ubuntuがインストールされたパソコンが盗まれた場合、ログインパスワードがなければ、そのパソコンをそのまま使われる心配はありません。
しかし、ハードディスクを取り出して他のパソコンに接続されると、OSを動かすことはできなくてもデータは見られてしまいます。この場合、あらかじめホームフォルダを暗号化しておけば、フォルダがあることは確認できても、暗号を解除できなければデータの内容を盗み見られることはありません。また、パソコンを共有している他のユーザからフォルダの内容を見られることも防げます。
逆にホームフォルダが暗号化されていても、インターネットを通してのOSへの攻撃に対しては効果がありません。つまり、勝手にパソコンにソフトウェアをインストールしたり、入力文字をログするような攻撃を防ぐのには役にたちません。あくまでも、保存したデータを読み取られにくくすることが目的です。
パスワードの管理
ホームフォルダの暗号解除のためのパスワードは設定の際に自動で生成されて、アカウントのログインパスワードにひも付けされます。ユーザがログインすると、自動で暗号解除パスワードが入力されて、ホームフォルダが表示されます。全てが自動で行われるので、基本的にはホームフォルダを暗号化していない場合と同様に使えます。
ただし、OSが壊れたなどの理由で手動でデータにアクセスしなければならない場合は、このパスワードが必要になります。
パスワードを表示させるには、ターミナルに以下のコマンドを入力後、ログインパスワードを入力します。表示されたパスワードは印刷するか、書き留めて保存しておくといいでしょう。
<ターミナル入力コマンド>
ecryptfs-unwrap-passphrase
デメリット
デュアルブート(1つのパソコンに2つのOS)では共有フォルダを通して異なるOSの間でデータのやり取りすることが少なくありません。しかし、ホームフォルダを暗号化するとそのアカウントにログインしていなければ、基本的には保存データにアクセスできません。
したがって、他のOSからUbuntuの共有フォルダへアクセスする場合は、不可能ではないにしろ困難が伴います。また、SSH(リモートログインの一種)を使った他のパソコンからのログインも別の設定をしなければできなくなります。
古いシステムではパソコンの処理速度に多少の影響がでるというのも、人によっては見逃せないデメリットです。
Ubuntuをメインのパソコンとして使う場合は、保存するデータも大きくなるのでホームフォルダの暗号化のメリットは大きくなります。デメリットも設定が面倒なだけで、処理速度の影響以外は解決可能です。
しかし、デュアルブートや仮想デスクトップでUbuntuをサブ機として触る程度であれば、メリットよりもデメリットの方が大きい場合も考えられます。インストール後にホームフォルダを暗号化することも、暗号化されたホームフォルダを元に戻す事も両方可能ですが、前者の方が簡単です。
初心者はインストールの際には暗号化を選択せずに、その後必要と感じた時に設定するのが良いかもしれません。