web-dev-qa-db-ja.com

Ubuntu 14.04 LTSで暗号化された/ bootを使用したUEFIブート

DOSパーティションテーブルを使用してMBR/BIOSシステムでFDE(フルディスク暗号化)をうまく機能させることができました。スワップコンテナとルートLUKSコンテナにはそれぞれ/ dev/sda1と/ dev/sda2しかありません。これは、2014年初頭、grub2がMBRに書き込まれるブートローダーの一部でネイティブにdm-cryptをサポートすることにより、暗号化された/ bootパーティションをサポートするために機能します。大丈夫です。

しかし、UEFIでは、grubx64.efiバイナリはdm-crypt/luksコンテナを処理できますか?これを機能させることに喜びはありませんでした。私が見たすべての例は、暗号化された/ bootでMBR/BIOSを使用するか、UEFIで暗号化されない/ bootのいずれかです。

署名されたカーネルとUEFIセキュアブートの問題ではないことはわかっていますが、何らかの形の改ざん(initramfsの変更-またはその署名?、grubモジュールの置き換えなど)の可能性はまだ残されています。

回答に注意してくださいhave 16.04などではなく14.04 LTSに適用します。grubx64.efiがdm-cryptパーティを逃した場合14.04では、MBR/BIOSを使用できます。これが実際に可能かどうかを調べようとしています。

事前に感謝します、

ジョン。

3
John Hobbins

EFI +セキュアブートを使用して、ルートの次にブートを暗号化する可能性についての更新があるかどうか疑問に思っていました。

見つけました https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Encrypted_boot_partition_.28GRUB.29

しかし、私はこの例をFedora 28に適合させることができませんでした(これまでubuntu 18.04を試していませんでした)。

1
Tim Banchi