采用全硬盘加密和预引导身份验证的多重引导

Question

如何设置一个支持全硬盘加密和预引导认证的多引导系统。

我有一个Ubuntu，Windows 7，Windows的系统，我想安装Red。我使用grub 2引导加载程序。什么软件会支持这一设置，为全驱动器加密与启动前认证？有TrueCrypt for Windows的预引导身份验证，但是它会对grub 2很好吗？我还能为Linux端使用什么其他磁盘加密软件？

Answer 1

Necro需要更新：

现在，这已经变得容易得多了；最新版本的TrueCrypt是Linux支持的，并且允许涉及多个分区和GRUB的双重引导方案。

完整指令这里。

Answer 2

可以通过两种方式向您提供预引导身份验证(PBA)：

1. 通过软件

如果您希望完全依赖软件，并且需要预引导身份验证，即有一个软件执行加密(在安装OSes之前)并安装和管理预引导身份验证环境(PBA)，则可以找到此类设置和软件名称的示例这里。正如这篇文章所述，

FDE系统需要一些处理器(因此也是电源)开销来执行实时加密和解密，其影响取决于单个应用程序所需的磁盘I/O数量。对于执行典型的电子邮件和办公效率活动的用户来说，性能影响不太可能明显--但对于非常数据密集型的活动(如视频处理)来说，这可能很重要，除非计算机的主处理器和FDE产品都支持Intel的AES-NI硬件加速加密和解密指令。

因此，另一个解决方案是使用硬件加密。

。2.通过硬件

在这里，您可以使用自加密驱动器( SED )，并使用ATA安全特性(允许像TPM模块一样的预引导身份验证)，也可以使用TCG的OPAL (2.0)兼容的SED，并使用其中一个(主要是Windows)能够利用它们的软件。微软制定了有关这类驱动器的规范，请参阅这里，因此如果您升级到Windows8并满足了要求，BitLocker将初始化驱动器并在其上安装一个PBA，同时管理加密密钥。

例如，您可以在关键的Windows上复制/重新安装OSes，并使用WinMagic的SecureDoc独立软件，或者升级到Windows8 BitLocker。然后，您可以按照您想要的任何方案安装您的其他OSes。

但是要小心，因为硬件加密是一种黑匣子，您必须信任实现它的制造商。对于非libre软件也是如此，因为没有libre软件能够管理OPAL兼容的驱动器。

Answer 3

Linux可以安装在扩展分区内的逻辑分区上(windows是拒绝从扩展内的逻辑分区启动的窗口)。

如何在不触及主分区内容的情况下从扩展的逻辑内部启动：

假设:扩展分区内有未分区空间)，并从LiveCD (如SystemRescueCD )启动来完成工作，完成后，HDD将从扩展分区内的逻辑分区启动.技巧是通过Grub2引导程序来完成的，它可以从扩展分区引导。

• 引导具有LiveCD和GParted (用于创建分区时的GUI界面)的任何Grub2和GParted，如SystemRescueCd
• 在扩展分区内创建(我使用GParted)具有ext4格式的逻辑分区(或Grub2支持的任何其他分区)。
• 现在从控制台挂载/boot这样的分区，然后用: grub2-install /dev/sda#安装grub2 (其中#是分区的编号)
• 使用文本编辑器创建/boot/grub/grub.cfg (示例参见internet )
• 重新启动，解压LiveCD
• PC将从MBR启动(我们正在讨论扩展分区，GPT在这里没有任何意义)，它将从扩展内的逻辑分区加载Grub2，并从那里加载Linux /驻留在扩展分区内的另一个逻辑分区上。

此外，如果您没有窗口(最好说，如果您只有一个或多个Linux)，则不需要任何主分区，您可以在逻辑分区中拥有所有Linux，其中只有一个扩展分区，占用100%的HDD。

注意:也许BSD和其他操作系统也可以在逻辑分区内，我对它们没有经验，对不起！

最大的窍门是: Grub2引导程序可以从具有0、1、2或3个主分区的逻辑分区启动，如果存在第二个硬盘，也可以将其链接到第二个硬盘，还可以使第二个硬盘在操作系统中显示为第一个(带有drivemap命令)，等等。

不好的一面: TrueCrypt / VeraCrypt安装的Windows很难理解它的引导方式.它强制磁盘的轨道0与它自己的数据，所以它是不兼容的两个或更多的视窗或Grub2，为什么他们不使用PBR轨道而不是MBR轨道编程？所以我们可以用加密的窗口进行多引导(每个磁盘多一个窗口)！