Linux OS用のフルディスク暗号化(FDE)ソリューションをいくつか見つけました。具体的には、Linux MintまたはUbuntuで動作するソリューションを検討しました。これは、私がよく使用するソリューションだからです。しかし、この質問は他のディストリビューションにも当てはまると確信しています。
MacOS上のFileVaultと同じように、ユーザーエクスペリエンスにシームレスに機能するフルディスクソリューションを探しています。
FileVaultエクスペリエンスは次のとおりです。
Windowsでは、BitLockerは上記のFileVaultの場合とほぼ同じ方法でTPMと連携します。
ただし、Linuxでは、TPMツールがインストールされている場合でも、遭遇したすべてのフルディスク暗号化スキームには、ログインユーザー名に加えてブートパスワードが必要です。とパスワード。
たとえば、この(非常によく書かれていて詳細な)LinuxMintの例:
https://community.linuxmint.com/tutorial/view/2026
この例では(これは、100万の簡単に暗号化できるCLIステップのようなものです)、FDEは実行されますが、ユーザーが起動時にGrubプロンプトに復号化パスフレーズを入力する必要があることがわかります。
誰かがLinuxのためにこのナットをクラックしましたか?
要件
ブートパーティションからプリブート環境をブートする必要があるため、ブートパーティションを暗号化することはできません。ブートパーティションを暗号化しても何の役にも立ちません。
多くの標準的なLinuxインストール(Ubuntuを含む)では、起動時に「フルディスク暗号化」を選択でき、GUIの一部としてgrubパスワードを必要としません。これは、RAMディスクから「プリブート」環境をロードし、これとLUKSを使用してパーティションのロックを解除することを購入します。
起動したら、通常、パスワードを使用して特定のユーザーとしてログインするための2番目の手順がありますが、 GUIへの自動ログインを設定 。もちろん、コンピュータから離れてそのままにしておくと、システムは完全にオープンになります。
どうやら(しかし私はテストしていません)、Ubuntu TPM 2.0をサポート ネイティブ。 (私はこれが自動的に構成されることに懐疑的であることを告白しますが、私はそれを試していません)
Windowsでも、システムパーティション(Microsoftによって名前が付けられており、ユーザーには表示されません。ディスクマネージャーを使用して表示されます)は暗号化されていません。初期ブートファイルをロードするには、暗号化されていない部分が必要です。 Linuxの場合、このパーティションは/ bootです。
この欲求に対処するgithubプロジェクトがあります: https://github.com/fox-it/linux-luks-tpm-boot