web-dev-qa-db-ja.com

FileVault(macOS)またはBitLocker(Windows)のシームレスなユーザーエクスペリエンスを備えたLinuxフルディスク暗号化は可能ですか?

Linux OS用のフルディスク暗号化(FDE)ソリューションをいくつか見つけました。具体的には、Linux MintまたはUbuntuで動作するソリューションを検討しました。これは、私がよく使用するソリューションだからです。しかし、この質問は他のディストリビューションにも当てはまると確信しています。

MacOS上のFileVaultと同じように、ユーザーエクスペリエンスにシームレスに機能するフルディスクソリューションを探しています。

FileVaultエクスペリエンスは次のとおりです。

  • FileVaultはディスク全体を暗号化します。これを行うには、セキュリティの設定パネルでワンクリック操作を行います。
  • FVは、信頼できるプラットフォームモジュールに相当するMacのロックを解除するプリブート環境を提供します(実際にはTPMである可能性がありますが、そうではないと思います)。これは、実際に実行したキーをロックするものです。ディスクの暗号化
  • ログインすると、実際には起動前の環境にログインします。これにより、FVのキーのロックが解除されます。その後、OSディスクのロックが解除されます。
  • OSユーザーのパスワードはFVパスワードと同期されます。エンドユーザーにとって、これはすべてシームレスです(いくつかのユースケースを除く)

Windowsでは、BitLockerは上記のFileVaultの場合とほぼ同じ方法でTPMと連携します。

ただし、Linuxでは、TPMツールがインストールされている場合でも、遭遇したすべてのフルディスク暗号化スキームには、ログインユーザー名に加えてブートパスワードが必要です。とパスワード。

たとえば、この(非常によく書かれていて詳細な)LinuxMintの例:

https://community.linuxmint.com/tutorial/view/2026

この例では(これは、100万の簡単に暗号化できるCLIステップのようなものです)、FDEは実行されますが、ユーザーが起動時にGrubプロンプトに復号化パスフレーズを入力する必要があることがわかります。

誰かがLinuxのためにこのナットをクラックしましたか?

要件

  • ユーザーエクスペリエンスは、ユーザーがログインとパスワードを一度だけ入力するようなものです。
  • フルディスク暗号化(ブートパーティションを含む)
  • (持っていてよかった)セットアップは簡単です、または少なくともSimple(TM)
6
JDS

ブートパーティションからプリブート環境をブートする必要があるため、ブートパーティションを暗号化することはできません。ブートパーティションを暗号化しても何の役にも立ちません。

多くの標準的なLinuxインストール(Ubuntuを含む)では、起動時に「フルディスク暗号化」を選択でき、GUIの一部としてgrubパスワードを必要としません。これは、RAMディスクから「プリブート」環境をロードし、これとLUKSを使用してパーティションのロックを解除することを購入します。

起動したら、通常、パスワードを使用して特定のユーザーとしてログインするための2番目の手順がありますが、 GUIへの自動ログインを設定 。もちろん、コンピュータから離れてそのままにしておくと、システムは完全にオープンになります。

どうやら(しかし私はテストしていません)、Ubuntu TPM 2.0をサポート ネイティブ。 (私はこれが自動的に構成されることに懐疑的であることを告白しますが、私はそれを試していません)

2
davidgo

Windowsでも、システムパーティション(Microsoftによって名前が付けられており、ユーザーには表示されません。ディスクマネージャーを使用して表示されます)は暗号化されていません。初期ブートファイルをロードするには、暗号化されていない部分が必要です。 Linuxの場合、このパーティションは/ bootです。

この欲求に対処するgithubプロジェクトがあります: https://github.com/fox-it/linux-luks-tpm-boot

0
WhoCares