Ubuntu 的双因素身份验证的全盘加密：如何？

Question

背景资料

我是一个 Linux 新手，最近刚离开了 Windows。我目前使用的是没有全盘加密的 Ubuntu 11.04。只有我的主目录是加密的，并且使用 eCryptFS。最近，我开始注意到加密并不像它应该的那样透明。例如，VMWare 有时会遇到存储在我的加密主目录中的虚拟机的问题，所以我只是将虚拟机移动到一个未加密的位置并从我的加密主目录链接到它。但这不是重点：我意识到让系统不加密实际上并不是很安全，因为像 Ubuntu 这样的开源操作系统很容易修改以泄露它应该保密的信息。

---

目标

我希望能够将全盘加密与密钥设备和用于预启动身份验证的密码结合使用。

---

要求/细节

1. 整个磁盘必须加密。磁盘至少由全部加密的单个分区组成。如果可以隐藏加密的分区，我会去的。加密越透明越好；我不应该以任何不同的方式使用我的计算机或配置任何其他东西。
2. 用于解锁和启动加密分区的设备必须是小型外部便携式设备。这有两个目的：引导加载程序被恶意更改的可能性要小得多，因为它在不使用时会留在我身边；并且在加密磁盘本身的任何地方都不会以任何形式找到用于解密磁盘的密钥文件。
3. 密钥文件应使用密码加密。如果我丢失了计算机和 USB 设备，数据和操作系统仍然是安全的。如果我丢失了 USB 密钥或它被盗用，我可以从备份中创建另一个干净的。在这两种情况下都不会泄露任何信息。当然，如果我丢失了我的电脑，那也无关紧要。

---

是的，我看过很多地方的指南，但问题是它们没有满足所有要求（尤其是第 3 点）。我很确定我的要求足够普遍，以至于有人已经尝试并成功实施了这样的设置。如果任何 Linux 专业人士可以分享解决方案，我将不胜感激。

Answer 1

我知道 TrueCrypt 可用于 OSX、Windows 和 Linux。您可以对整个驱动器进行两级加密。我在 Debian 上使用它并使用 AES 全盘加密。它需要启动时的密码才能访问硬盘上的数据。