>

듀얼 부트 SSD 드라이브를 완전히 암호화하는 솔루션을 찾고 있습니다 (아직 비어 있고 새 것이기 때문에 암호화를 설정하고 싶습니다)

웹에이 질문에 대한 혼란이 많지만, TrueCrypt가 추가 부트 디스크에 부트 로더가 필요할 수 있지만이 작업을 수행 할 수있는 것으로 보입니다. 내가 읽고있는 내용에서 일부 Linux 도구 (일부 수정 된 GRUB2 포함)도 그렇게 할 수 있습니다.

그러나 의심의 여지가 있지만 읽지 않은 기사는 기본 질문에 대답 할만 큼 깊이 들어 가지 않았습니다. 전체 디스크가 암호화되어 있고 일부 사전 부팅 도구가 사용자에게 디스크를 해독 할 키를 요구하면 그렇지 않습니다. '이 도구는 부팅 할 OS 아래에서 실행되어야한다는 의미가 아닙니까? 다시 말해, 디스크가 실제로 암호화되어 있다는 사실을 OS가 인식하지 못하는 도구가 있습니까?

그러한 도구가 없다면, 암호 해독 도구가 부팅시 OS에 암호 해독 정보를 전달해야한다는 의미가 아닙니까? 이것이 크로스 플랫폼을 수행하기 어렵다고 상상할 수 있습니다.

  • 답변 # 1

    와이즈 비즈

    그렇습니다. 하드웨어 기반의 전체 디스크 암호화는 다음을 수행합니다. 암호화는 장치 (하드 디스크/플래시) 또는 체인을 따라 컨트롤러에서 물리적 장치로 이끄는 컨트롤러에서 전적으로 처리되며 OS에 "보이지"않습니다.
    이를 통해 OS는 암호화되지 않은 일반 장치를 처리하는 경우와 마찬가지로 I/O를 정확히 수행합니다. 마술은 하드웨어 (및/또는 펌웨어-어떤 경우에도 OS 아래에 있음)에서 발생합니다.

    와이즈 비즈

    실제로 위와 같이 또는 가상화 기술을 사용하여 OS에서 "암호화"를 수행 할 수없는 경우 실제로는 어떤 형태의 정보 전송이 있어야하지만 두 개 이상의 OS를 실행해야합니다. ). 그렇습니다. 교차 OS가 어렵다는 것을 의미합니다.
    또한 하드웨어/펌웨어 지원이없는 경우 부 스트랩 코드 (최소한 부트 로더)를 암호화 해제해야합니다.

    위키 백과 디스크 암호화 기사에 대한 자세한 내용이 있습니다.

  • 답변 # 2

    암호화 된 드라이브에 대한 하드웨어 (또는보다 정확하게 펌웨어, 즉 BIOS) 지원이있는 경우 펌웨어로 전체 디스크를 암호화 할 수 있습니다. 디스크 암호화를 지원하는 컴퓨터가 많지 않으며 특정 펌웨어에 연결되어 있습니다 (또는 컴퓨터에 TPM이 있고 암호화 키가 TPM에있는 경우 더 나빠질 수 있습니다). 스토리지 암호화 키를 백업하지 않은 경우이 특정 마더 보드).

    운영 체제가 암호화를 수행하는 경우 암호화되지 않은 디스크에는 운영 체제의 초기 부분이 저장되는 작은 공간이 있어야합니다. 리눅스의 일반적인 구성은 별도의 일반 텍스트

    If the whole disk is encrypted, and some pre-boot tool asks the user for a key to decrypt it, doesn't that mean this tool has to run beneath the OS that's going to boot?

    를 갖는 것입니다  파티션 및 다른 모든 파티션을 암호화합니다. "전체 디스크 암호화"는 약간의 오해입니다. 일반적으로 볼륨은 일반적으로 디스크가 아닌 파티션 인 "전체 볼륨 암호화"를 의미하는 데 사용됩니다. 전체 디스크 암호화는 모든 파일 (또는 최소한 디렉토리 트리)을 개별적으로 암호화하지 않는 경우입니다.

    Linux에서 전체 디스크 암호화를위한 표준 도구는 dmcrypt입니다. 모든 주요 배포판에서 사용할 수 있으며 많은 설치 프로그램에 통합되어 있습니다.

  • 답변 # 3

    예, Grub2와

    If there's no such tool, doesn't that mean the decryption tool somehow has to pass decryption information to the OS on boot?

     LUK는 파티션을 암호화 할 수 있습니다 :

    /boot   /boot 의 폴더로  LUKs 암호화 파티션

    /boot  파티션에서 암호화 된 LUK에서

    그리고 리눅스는 정렬되지 않은 차단 목록을 장치로 사용할 수 있고 루트가 될 수 있기 때문에 (initramfs는 정렬되지 않은 차단 목록을 구성하는 것은 매우 복잡하지만 수행 할 수는 있지만 편집증적인 방법입니다) )

    나는 또한 / 를 암호화하는 편집증 방법을 테스트했습니다  (파티션 인 경우) 레이어가 둘 이상인 경우 :

    <올>

    /boot  디스크에서 유일한 논리 파티션으로 (확장 파티션이 두 개인 MBR /boot  그리고 /dev/sda5 )

    위즈 비즈 이상  나는 /boot 에 매핑 된 LUKs 레벨 1을 넣습니다.

    위즈 비즈 이상  나는 / 에 매핑 LUKs 레벨 2를 넣어

    위즈 비즈 이상  나는 /dev/sda5 에 매핑 LUKs 레벨 3을 넣어

    등, /dev/mapper/level_0001 이상  나는 LUKs 레벨 /dev/mapper/level_0001 를 넣어 , /dev/mapper/level_0002 에 매핑

    위즈 비즈 이상  나는 /dev/mapper/level_0002 에 매핑 LUKs 레벨 3437을 넣어

    위즈 비즈 이상  나는 /dev/mapper/level_0003 로 장착 Ext4를 넣어

    위즈 비즈 이상   /dev/mapper/level_#### 를 실행 한 후 Grub2를 설치합니다

    위즈 비즈 이상  나는 ####+1 를 넣어  한 수준의 LUK만으로

    부팅시 3437 개의 다른 비밀번호를 묻는 메시지가 표시 될 때마다 32 자 이상을 사용합니다.

    개념 증명 일뿐입니다. 부팅 시간이 끔찍합니다.

    하지만 /dev/mapper/level_####+1 에서 동일한 작업을 수행하면  모든 시스템 읽기/쓰기 속도도 끔찍하지만 최소한 Linux는 작동합니다. 또한 10 만 개 이상의 레벨로 테스트했습니다. CPU가 부분적으로 작동하고 읽기/쓰기가 CPU에서 10KiB/s (예, 정말 끔찍한)로 내려 가고 부팅에 하루 종일 걸리며 온라인 액세스 (서핑 등)를 수행 할 때 디스크 시간 초과로 인해 응용 프로그램이 많이 중단되는 경향이 있습니다. .

    따라서 LUK를 3 개 또는 fout 수준으로 올리는 것도 수용 가능하며 10 개도 CPU와 DISK, 3D 렌더 대 거대한 데이터 스크램블 등에 사용하는 CPU에 따라 크게 좌우됩니다.

    P.D .: LUK의 각 레벨에서 다른 해시 함수와 알고리즘을 사용할 수 있으며 /dev/mapper/level_3436 를 사용할 수도 있습니다.  마운트 시간을 더 크게 만들기 위해 (경고 : Grub2 사전 부팅시 마운트 시간이 10,000보다 큰 값을 사용하여 부팅 전 30 초 근처에서 마운트 시간이 3-4 배 더 큼)

    /dev/mapper/level_3436

  • 이전 text processing - sed 또는 다른 도구를 사용하여 파일에서 숫자를 추출하려면 어떻게해야합니까?
  • 다음 linux - 스왑을 사용하지 않을 때 메모리 부족 충돌에 대한 시스템 보호