标签: disk-encryption

我的机器有一个 SSD，我在其中安装了系统和一个 HDD，我将其用作大文件和/或不常使用的文件的存储。两者都是加密的，但我选择对它们使用相同的密码。SSD 安装在 at/和 HDD at /usr/hdd（每个用户都有一个目录，可以从主目录中根据需要进行符号链接）。

当系统启动时，它会立即询问 SSD 的密码，几秒钟后为 HDD 询问密码（它是自动安装的）。鉴于两个密码短语相同，有没有办法将系统配置为只询问一次？

我想知道为什么，在加密并在驱动器上安装之前， Kali ：

1. 擦除了整个驱动器
2. 用 0 填充驱动器
3. 用 1s 填充驱动器
4. 用随机数据填充驱动器
5. 再次擦拭驱动器

我知道 Kali 不是用来安装的，但这不是重点。

那么，在安装之前，例如在全新的硬盘驱动器上，这有什么用？我习惯于在移除硬盘时看到这一点，而不是安装。

研究硬盘加密。转到解决方案似乎是使用密码使用 LUKS 的 dm-crypt。我使用安装到磁盘池中的多个独立硬盘进行读取。在这种情况下，我必须多次输入密码。

有没有办法让我用密钥文件加密硬盘，也许把它放在一个 USB 驱动器上，必要时插入它？

位腐烂如何影响 LUKS 容器及其内部文件系统？

假设您有一个非常适合处理位腐烂的文件系统。现在将其放入 LUKS 容器中。如果位腐烂损坏了容器，我假设解密的文件系统将遭受大量损坏的原始字节/块。

LUKS 如何防范这种情况？

我想在 GParted 中创建一个新的加密 LUKS 分区。

我搜索了 UI 和帮助，但我唯一能找到的是如何打开和关闭现有的LUKS 分区以及如何复制和粘贴现有的分区。

但是，我找不到创建新的方法。我可以为 btrfs 创建一个新分区，但它从未加密。

因此，似乎对于创建新分区的唯一任务，我必须求助于其他工具，例如GNOME 磁盘（GNOME 磁盘实用程序），它可以在创建新分区时轻松允许此操作，或者回退到命令行，这是我想要的以避免。\n或者有什么方法可以创建新的加密分区吗？

更广泛的用例

实际上，我想做 GParted 帮助中描述的操作：复制加密分区并 \xe2\x80\x9e 在新磁盘上维护加密\xe2\x80\x9d 分区。但是，要做到这一点（即在复制时不解密数据），我必须将其粘贴到现有的开放LUKS加密分区xe2x80x9d中，即我需要首先有一个加密分区。

那么，最后，有什么方法可以在 GParted 中创建新的加密分区吗？

使用LUKS全盘加密时，你会如何防范邪恶女仆？

邪恶女仆攻击是当有人在您离开时物理访问您的计算机并破坏未加密的 /boot 分区以在您下次启动计算机时捕获您的 FDE 密码

解决方案之一是将 /boot 分区留在随身携带的 USB 记忆棒上（女仆无法访问它），但是我应该在其上使用哪个文件系统，以及如何配置我的系统以优雅地处理删除USB 记忆棒（以及 /boot 分区本身）？

我正在使用 CentOS，但当然欢迎通用的、与发行版无关的答案。谢谢。

当我安装操作系统时，我没有加密。现在有没有办法在不格式化且不丢失任何数据的情况下对其进行加密？我阅读了一些如何加密的指南，每个指南都说我需要备份所有数据，因为我会丢失它。现在有没有办法加密它而不会丢失数据？

KVM 的 qcow2 映像文件格式可以使用 AES 加密。加密应用于集群级别：

每个簇内的每个扇区都使用 AES 密码块链接模式独立加密，使用小端格式的扇区偏移量（相对于设备的开头）作为 128 位初始化向量的前 64 位。

所述簇的大小可以设置从512个字节至2M（64K似乎是默认值）。

使用 qcow2 加密的主要问题之一是 CPU 的性能损失 - 每个磁盘写入或非缓存读取都需要加密或取消加密。

我想知道的是 QEMU/KVM 是否使用Intel AES 指令来减轻主机 CPU 具有的性能损失？如果是这样，使用情况或性能是否在很大程度上取决于集群大小？

英特尔® AES 指令是一组新指令，从基于 32 纳米英特尔® 微架构代号 Westmere 的全新 2010 英特尔® 酷睿™ 处理器家族开始。这些指令使用 FIPS 出版物编号 197 定义的高级加密标准 (AES) 实现快速、安全的数据加密和解密。 由于 AES 目前是主要的分组密码，并且用于各种协议，因此新指令很有价值用于广泛的应用。

我在 256Gb SSD 上有一个未加密的 Windows10/Manjaro 双引导，外加一个 1Tb HDD，我在那里存储了大部分数据。

分区组织如下：

1Tb HDD :    
 |_ sda1 : exFAT partition, readable by both W$ and Linux

256 Gb SSD : 
 |_ sdb1 : EFI system boot partition
 |_ sdb2 : Microsoft reserved partition
 |_ sdb3 : NTFS Windows system partition
 |_ sdb4 : NTFS Windows recovery partition
 |_ sdb5 : ext4 / partition for Linux
 |_ sdb6 : ext4 /home partition for Linux
 |_ sdb7 : linux swap

引导加载程序是 GRUB，允许我在两个系统之间进行选择。

我正在寻找的是一种加密两个硬盘驱动器的方法，并通过在 GRUB 之前输入密码来解密它们。当然，我想保留现有的分区，事实是两个系统都可以读取 …

我有一个 128GB Somnambulist SSD。我知道这个品牌是最糟糕的品牌之一。我使用 GNOME 磁盘实用程序测量了速度，它显示读/写速度为 420/340。

使用 Debian 12 加密 SSD 后，通过 GNOME Disk Utility 测量的读取速度下降至 13.5 MB/s！

这种速度下降是否正常，或者问题可能与 SSD 本身有关？