web-dev-qa-db-ja.com

NTFSパーティションのLUKS暗号化

現在、1つのSSDドライブがインストールされているSystem76ラップトップにUbuntu 18.04を新規インストールします。

すぐに、Windows 8.1がインストールされる同じラップトップに2番目のSSDをインストールします。

85%の割合でUbuntuを使用します。ただし、Windowsインストールでは、データファイル(ドキュメント、スプレッドシート、写真、ビデオ、PDF)に簡単にアクセス(読み取りおよび書き込み)できるようにしたいと考えています。

18.04のインストールで、Ubuntuインストーラーのデフォルトのパーティション設定と暗号化+最大のパーティションになるNTFSパーティションの追加を使用することを考えました。そこでデータファイルを配置します。 NTFSパーティションも暗号化する必要があります。

2つの質問:

  1. これは良いアプローチのように聞こえますか?
  2. LuksでNTFSパーティションを暗号化する方法は?または、Luksは各パーティションではなくドライブ全体を暗号化しますか?

ありがとう。

1
Shai

順番に質問に答えてみましょう。まず、LUFSを使用してNTFSパーティションを暗号化するのが良い考えではない理由を説明します。


まず、LUKSはどのように機能しますか?

LUKSは、ファイル(ファイルコンテナー)、パーティション、またはディスク全体の暗号化に使用できます。インストーラーにすべてを暗号化させた場合、実際に行われるのは、ブートパーティション、およびルートディレクトリと/ bootとそのサブディレクトリを除くすべてのサブディレクトリを含むLUKS暗号化パーティションの2つのパーティションが作成されることです。 UEFIを使用する場合、3番目のEFIパーティションもあります。つまり、必要なNTFSパーティションを作成するオプションは提供されません。これは必然的に、手動のパーティション分割を使用する必要があることを意味します。これは複雑なプロセスであり、思っているほど簡単ではありません。 LUKSについて、手動パーティション( with LVMwithout LVM )の2つの回答を書きました。あなたの場合、notWindowsはNTFSパーティションにアクセスできないため、作成したLVMパーティション内にNTFSパーティションを配置しますLVM論理ボリューム。
問題をさらに複雑にするために、WindowsはLUKSパーティションをネイティブに復号化できないため、最終的には LibreCrypt のような別のソフトウェアをインストールする必要がありますが、そのリンクされた回答のコメントからわかるように、LibreCryptは放棄されたように見えるので、おそらく良い選択肢ではありません。したがって、LinuxインストールをLUKSで暗号化することは問題ありませんが、LUKSを使用して、LinuxシステムとWindowsシステム間で共有されるNTFSパーティションを暗号化することはおそらく賢明ではありません。


より良いアプローチは何ですか?

これが私たちに残した疑問は、LinuxとWindowsの両方がそれを解読して、含まれているNTFSパーティションにアクセスできるように、パーティションをどのように暗号化できますか?昔々、私はTrueCryptをお勧めしていました。もちろん、TrueCryptでの開発は突然停止しました。そのため、これはオプションではなくなりました。廃止されると、VeraCryptとして知られるフォークが作成され、現在も維持されています。 VeraCryptは、WindowsとLinuxの両方にインストールでき、両方のOSからVeraCrypt暗号化パーティションにアクセスできます。オープンソースであるため、コードは公開レビューに使用できます。 VeraCrypt が最適なオプションです。
VeraCryptを使用してLinuxシステム全体を暗号化できるとは思いませんが、試したことがないため、不可能とは言いません。あなたが説明したようにデュアルブートシステムをセットアップしようとした場合、おそらく私はそれについてどうやって行くでしょうか...
説明したとおり、手動パーティション分割を使用してUbuntuをインストールします here ですが、既存のディスクに次の物理パーティションを作成します。

  • パーティション1:EFI(UEFIを使用している場合のみ)
  • パーティション2:/ boot
  • パーティション3:LVM(他のすべてのLinux専用パーティションを含む)
  • パーティション4:空のパーティション-形式は関係ありません-VeraCryptでの暗号化用に予約済み(復号化された状態では、NTFSパーティションが格納されます)

Linuxをインストールしたら、 VeraCryptをインストール を使用して、最後のパーティションをVeraCryptで暗号化し、含まれるファイルシステムとしてNTFSを選択できます。


このプロセスが簡単になると主張するつもりはありません。これを試みると、時々イライラする障害にぶつかるかもしれませんが、これはおそらく、私がこの回答を書いているときに現在維持されている既存の暗号化技術で達成したいことを達成する最も簡単な方法です。

3
b_laoshi