EFI:加密ESP

Question

我想知道是否可以加密EFI系统分区(ESP)？

我想使用EFI作为引导管理器来设置一个虚拟机(VirtualBox)，它是由所使用的OS (archlinux)支持的。是否有一种方法可以使用dm-crypt和LUKS加密引导分区(ESP)？我想使用systemd的引导加载程序来运行内核，而不需要像grub这样的东西。

另一件事:由于加载的内核可能被检查签名，ESP分区应该被加密，这是否有意义？

Answer 1

到目前为止，似乎还没有任何支持加密ESP的固件，但是几乎不需要这样做。

安全引导负责检查您将要加载的任何EFI应用程序的签名，因此处理引导包/rootkit或恶意OSes。

如果您在ESP中确实有机密数据，最好的方法是将机密数据放在一个单独的加密分区中，并将一些EFI应用程序放入ESP中，该应用程序可以理解和解密加密的分区。一个小型的Linux，甚至GRUB，它对LUKS有基本的支持。

Answer 2

ESP不能加密，因为固件(UEFI)本身需要读取它的能力。(efi引导程序只是存储在esp中的普通文件)。

Answer 3

您无法加密整个ESP分区，因为引导加载程序无法解锁dm-crypt容器以继续引导过程。

您可以使用/boot保护GRUB加密分区分区，因为Grub能够解锁LUKS加密的/boot。