目標:
ブートCDと機密情報を含むマルチブートUSBドライブの完全暗号化
問題:
使用できるマルチブートUSBフラッシュドライブを作成するために、XBoot( https://sites.google.com/site/shamurxboot/download )を試しています。仕事(さまざまなOSとブートCDを持ち歩く)。
XBootに精通していない場合は、さまざまなISOをフラッシュドライブにコピーし、SyslinuxまたはGrub4dosのフロントエンドとしてブートローダーを作成します。または、ブートローダーを使用しないように設定できます。
会社情報がプリロードされた起動可能なCDを持ち運び、ファイルをドライブに保存できるようにしたいと思います。
私が持っているもののいくつかに保存されている情報に関連する理由から、理想的にはドライブ全体を暗号化したいと思います。
編集:
ISOファイルとデータが保存されるパーティション。
私が調べた可能な解決策:
TrueCrypt( http://www.truecrypt.org/ )は、ドライブを起動する前に復号化するために、独自のブートローダーを使用できることを理解しています。私は以前にこれを使用し、理論的には、複数のオペレーティングシステムを起動しているドライブを暗号化する方法を理解しています。
編集:TrueCryptはEXTファイルシステムをサポートしていないことは知っていますが、ドライブはFAT32/NTFSとしてフォーマットされ、すべてのブートCDがISOとして存在します
TrueCryptをドライブにインストールして、あるブートローダーを別のブートローダーに向ける方法はありますか(これは最もクリーンなアプローチではありませんが、私の考えでは、動作する可能性が最も高いです)。
望ましい結果を達成するためのよりクリーンで効率的な方法はありますか?
編集2:
理想的には、ハードウェアソリューションではなく、ソフトウェアソリューションを探しています。
編集3:
TrueCryptを使用してドライブ全体を暗号化することができましたが、フロントエンドブートローダーは実際にはgrubタイプのメニューローダーのように使用するためのものではありません。メニューを編集した経験のある人はいますか?
編集4:
レスポンダーの1人であるEasy2Bootによって提案された別のプログラムを使用してみました。機能面では、ISOファイルのgrub4dosブートメニューフロントエンドを作成するという点で、XBootと非常によく似ています。同じ問題が発生しました。これを設定すると、truecryptブートローダーをこのブートローダーに正しく向けることができませんでした。では、どうすればこれを達成できますか? Easy2Bootからでも、HirensのようなライブCDを起動すると、Grub4DOSブートローダーからHirenのブートローダーに移行するため、それが可能であることはわかっています。
まず、ブータブルCDを使用する場合、マルチブートは必要ないので、これは私には理解できない部分です。
次に、起動元のOSから開くことができる1つの暗号化されたtruecryptパーティションにすべての機密データを入れてみませんか。
第三に、これが保護している会社のデータである場合は、 Apricorn Aegis Secure Key または Imation Defender F200 Biometric Flash Drive などのハードウェア暗号化を購入することを正当化できます。
ソフトウェア暗号化を使用する場合、ISOファイルが暗号化されていると、ほとんどのLinuxISOを起動できません。この場合に起動できる唯一のISOは、すべてをinitramfsにロードするISO(1つの例は RIPLinux ;残念ながら、開発が停止しているようです)、または暗号化サポートを追加するために変更したISOです。 initramfs。
問題は、TrueCrypt(または他のソフトウェア暗号化プログラム)で使用されるブートローダーがBIOS INT 13hハンドラーをセットアップして、次のブートローダーに暗号化されたデータへのアクセスを提供できることですが、このINT13hハンドラーはLinuxカーネルが開始しました。ただし、ほとんどのLinux ISOは、Linuxの起動後にISOコンテンツにアクセスできる必要があり、そのようなアクセスを取得するために必要なものはすべて、initramfsイメージ(Linuxカーネルを起動する前にBIOS INT 13h呼び出しを使用してブートローダーによってロードされる)に存在する必要があります。もちろん、通常のLinuxISOのinitramfsではTrueCryptのサポートは見つかりません。
実際、Linux ISOからinitramfsコードを作成しても、USBからの起動時にISOコンテンツを検出するには、いくつかのハックが必要です。 Easy2Bootで使用されるISOブートプロセスの説明 を読むと、USBドライブのパーティションテーブルが変更され、ISOイメージファイルで使用されるセクター範囲に対応するパーティションが追加されていることがわかります(連続している必要があります。つまり、断片化されていない必要があります。次に、initramfsコードは、ISOコンテンツにアクセスするために、このパーティションをマウントする必要があります。明らかに、ISOイメージが暗号化されている場合、使用されている暗号化をサポートするようにinitramfsコードが変更されない限り、これは機能しません。
したがって、次のオプションがあります。
機密データをISOイメージに含めないでください。 USBドライブに2つのパーティションを作成します。1つは機密データ用(TrueCryptまたは選択したもので暗号化)、もう1つは起動用(暗号化なし)です。
TrueCryptパーティション内に使用可能なブートローダーをインストールする方法を理解してから、initramfsベースのISOのみを使用するか、initramfsイメージを変更してTrueCryptサポートを追加します。この方法を選択する場合は、最初にSYSLINUXを使用することをお勧めします。これは、GRUBとは異なり、MBRへのインストールが試行されないためです(TrueCryptブートローダーが使用するため、最初のパーティションの前にMBRと埋め込み領域を使用しないようにする必要があります。そこにインストールされます)。
ソフトウェアなしでロックを解除できるハードウェア暗号化を備えたUSBドライブを購入します。たとえば、 その他の回答 で提案されているドライブの1つです。ただし、購入する前に注意深く確認してください。そうしないと、問題が発生する可能性があります。たとえば、Apricorn Aegis Secure Key Amazonのレビューの1つ は次のように述べています。
ほんの少しの停電でも嫌いなようです。 OSを起動する前に接続すると、WindowsまたはLinuxの起動中にUSBデバイスが検出されると、USB接続が一時的に中断されるため、接続が切断されます。手を伸ばしてPINをもう一度入力する必要があります。
注:これは、動作するように宣伝されているシナリオではありませんが、以前のピンパッドでこれを行うことができました-問題なくUSBドライブを持っています...ドライブにLinuxをインストールして起動可能にしました、しかしLinuxを起動しようとすると、USBデバイスを検出するフェーズでLinuxが切断されます。手を伸ばしてドライブのロックを解除すると起動し続けますが、それは苦痛です。
また、Imation Defender F200生体認証ドライブは、そのような場合にもリセットされると、起動に使用できなくなる可能性があり、BIOSの初期化中にロックを解除するには遅すぎることが判明します。 サポート記事 生体認証のみが有効になっている場合はLinuxとの互換性が確認されるため、成功する可能性はありますが…
必要なソフトウェアソリューションに関しては、LVMとLUKSを使用して、さまざまな方法でドライブをパーティション分割および暗号化できます。
単一のSanDiskExtreme 3.0(50Mb/s)からTailsとKaliを実行すると、十分なパフォーマンスが得られます。
私は3つの論理ボリューム(LV)テール、カーリー、および共有を持っています。
スティック全体の単一のLUKSパスワード暗号化。
共有ボリュームは、USB上の何かの間を流れるデータや他の場所からアクセスされるデータ用のDropboxを保持します。
実際、USBドライブがあり、ハードウェア暗号化を使用しない場合は、他の誰かがUSBドライブにマルウェアを注入することを心配していないと言っています。それで、ブートパーティションを暗号化する理由はありません。
データパーティションを除くすべてのパーティションを暗号化しないでください。 OSがマウントできる方法である限り、データパーティションを必要に応じて暗号化します。
または、TrueCryptなどのソフトウェア暗号化を使用してUSBドライブ全体を暗号化します。それに関する主な問題は、ドライブを復号化するために起動する必要があることです何か起動すると、起動中にそれを存続させ続けることになります何か他の。そのため、最初の選択肢としてハードウェア暗号化を使用し、2番目の選択肢としてデータパーティション暗号化を使用します。