Kali Dojo 2.0を実行していますが、ドライブ全体を暗号化したいと思います。
Windows 7 Home PremiumドライブをVeracryptで暗号化しましたが、セットアップは簡単で、このドライブでも同様のことをしたいと思います。
そのドライブでは、ブートファイルを除いてすべてが暗号化されていました。それが、このドライブでもやりたいことです。単なる設定であるVeracryptである必要はありません。
それが私の唯一のオプションでない限り、私は特定のファイルを入れるコンテナを作りたくありません。
Linuxは、Truecrypt/Veracryptと互換性のないLUKSと呼ばれる独自の統合システムを使用して、Veracryptのようなブート/システムボリューム暗号化を長い間サポートしてきました。
Veracrypt(Truecryptのような場合)は、Fuseを介してLinuxに実装されています。 Fuseは、カーネルドライバーを作成せずにファイルシステムを実装する方法であり、そのコストは速度です。 LUKSはカーネルの一部であり、Veracryptよりも高速であるため、Linuxを使用している場合はLUKSが推奨されます。
LUKSはDebianや他のディストリビューションインストーラーで十分にサポートされています。カーネルと初期のRAMディスクを含む小さなブートパーティションを除いて、システム全体またはLinuxパーティション全体を暗号化するのはかなり簡単です。これはBIOS/UEFIが読み取れるように暗号化を解除する必要があるブートローダーを除いて、Truecrypt/Veracryptで暗号化されているすべてのものと同等です。
私はKaliを使ったことがありませんが、標準のDebianインストーラーを使用している場合は、これを行って完全なパーティションを暗号化します( 参照 ):
暗号化されたパーティションを作成するには、最初にこの目的で使用可能なパーティションを割り当てる必要があります。
これを行うには、パーティションを選択し、それを「暗号化用の物理ボリューム」として使用することを指定します。作成する物理ボリュームを含むディスクをパーティション分割した後、「暗号化ボリュームの構成」を選択します。
次に、ソフトウェアはランダムデータで物理ボリュームを初期化することを提案し(実際のデータのローカライズをより困難にします)、「暗号化パスフレーズ」を入力するように求めます。これは、コンピューターを起動するたびに入力する必要があります。暗号化されたパーティションのコンテンツにアクセスするため。
この手順が完了し、パーティショニングツールメニューに戻ると、新しいパーティションが「暗号化されたボリューム」で利用可能になり、他のパーティションと同じように構成できます。
ほとんどの場合、このパーティションはLVMの物理ボリュームとして使用され、スワップパーティションを含む同じ暗号化キーで複数のパーティション(LVM論理ボリューム)を保護します(補足記事SECURITY暗号化されたスワップパーティションを参照)。
注意すべきことの1つは、Truecrypt/Veracryptのように現在実行中のシステムを暗号化/復号化するツールがあるとは思わないことです。
ルートファイルシステムをFuse経由でマウントすることは技術的には可能です。つまり、本当に望めば、Veracryptで暗号化されたパーティションからLinuxをブートすることは可能だと思いますが、LinuxでLUKSに劣る速度を提供するので、誰も持っていなくても驚くことではありません。この方法を開発しました。