Han*_*etz 6 dual-boot encryption
我正在寻找一种解决方案来完全加密我的双启动 SSD 驱动器(它仍然是新的和空的,我想在我放任何东西之前设置加密)。
虽然网络上关于这个问题有很多混乱,但 TrueCrypt 似乎能够做到这一点,尽管我可能需要在额外的引导盘上安装它的引导加载程序。根据我的阅读,一些 Linux 工具(包括一些经过修改的 GRUB2)也可能能够做到这一点。
然而,我有我的怀疑,我读过的文章都没有真正深入到足以回答一个基本问题:如果整个磁盘都被加密,并且一些预启动工具要求用户提供一个密钥来解密它,不是吗?意味着这个工具必须在要启动的操作系统下运行?换句话说,是否有工具让操作系统不知道它看到的磁盘实际上是加密的?
如果没有这样的工具,那是不是意味着解密工具必须在启动时以某种方式将解密信息传递给操作系统?我可以想象这很难跨平台。
如果整个磁盘都被加密,并且一些预启动工具要求用户提供密钥来解密它,这是否意味着该工具必须在将要启动的操作系统下运行?
是的,差不多。基于硬件的全盘加密是这样做的:加密完全由设备(硬盘/闪存)处理,或者可能在连接到物理设备的链上的控制器中处理,并且对操作系统“不可见”。
有了这个,操作系统执行 I/O 就像它处理一个普通的、未加密的设备一样,神奇发生在硬件(和/或固件 - 在任何情况下都“低于”操作系统)。
如果没有这样的工具,那是不是意味着解密工具必须在启动时以某种方式将解密信息传递给操作系统?
如果加密不能在操作系统“下方”完成(如上所述,或者可能使用虚拟化技术——但是你可能有两个(或更多)操作系统在运行),那么确实必须有某种形式的信息传输。是的,这意味着跨操作系统很难。
如果您没有硬件/固件帮助,您还需要未加密的 boostrap 代码(至少是引导加载程序)。
维基百科磁盘加密文章有更多关于这方面的内容。