web-dev-qa-db-ja.com

デュアルブートシステムでのフルディスク暗号化(Truecrypt / Veracrypt)

フルディスク暗号化を使用したデュアルブート構成(Fedora + Windows)でラップトップシステムを実行したいと考えています。

私は、国内および海外の旅行中に持参するラップトップを持っています。明らかな理由で、ハードディスクを暗号化したいと思います。問題のシステムには、デュアルブート構成でFedora 27とWindows 7の両方がインストールされた128GB SSDが1つあります。

この構成では、ハードドライブは次のようにパーティション分割されます。

  • sda1(500MB): Windowsブートローダー(システム予約)
  • sda2(73.8GB): Windowsシステム(C :)
  • sda3(250MB): Grubブートローダー(/ boot)
  • sda4(39.8GB): Linuxシステム(/)
  • sda5(5GB): Linuxスワップ(/ swap)

起動プロセスは次のように進行します。

 UEFI
  |
  V
 Grub -> Fedora
  |
  V 
 WinBootloader -> Windows 7

理想的な世界では、Grubの前にロードされ、システムパーティションの復号化を処理する3番目のブートローダーを紹介します。このように、Grubを含むすべてのシステムパーティションは、1つのパスワードを使用して復号化できます。

いくつかのメモ:

  • 完全にインストールおよび構成されたシステムについて説明しましたが、必要に応じてフォーマットおよび再インストールできます
  • CADプログラムにはFedoraとWindowsが必要なので、デュアルブートは必須です。
  • プラットフォーム固有のアプリケーションは別として、すべてがクラウドサービスと同期されるため、個人ユーザーデータ(ファイル、メタなど)は両方のOSで実質的に同一になります。
  • クローズドソースソリューション(Bitlockerなど)の使用を避けたい
  • それぞれに独立したソリューションを用意するのではなく、1つのソリューションを使用して両方のOSを暗号化したい
  • BIOS/UEFIを使用したハードウェア暗号化は、マザーボードが故障した場合にデータを失う危険を冒したくないため、受け入れられません。
  • Vera/Truecryptシステムボリューム暗号化ウィザード(WindowsではLinuxでは使用不可)は、複数のブートローダーを備えたシステムでシステムボリュームの暗号化をサポートしないと主張しています
  • Vera/Truecryptは私が見つけた潜在的な解決策ですが、より良い解決策があれば、私は学びたいです

質問:

私が試みていることは可能ですか?もしそうなら、それを実装するのに役立つかもしれないいくつかのリソースは何ですか?それが可能か不可能かに関わらず、より良い解決策はありますか?

windowslinuxdisk-encryptiontruecryptboot
4
enpaul

理想的な世界では、システムパーティションの復号化を処理する、Grubの前にロードされる3番目のブートローダーを紹介します

これは素晴らしい解決策となるので、問題は、ブートローダーがマウントされた(復号化された)パーティションをオペレーティングシステムに渡さないことです。カーネルをメモリにロードして起動し、いくつかのパラメータを渡します。ただし、Grubブートパーティションを暗号化して、LinuxおよびLUKSのinitramfsに暗号キーを埋め込むことができます(GRUB初期暗号ディスク機能[1])。おそらく、grubとVeraCryptとWindowsに同様のソリューションを実装できます。たとえば、grubは暗号化されたブートパーティションからメモリに暗号キーファイルをロードし、後でそれを使用してVeraCryptをロードします。そのソリューションでは、起動時にパスワードを1つ入力するだけで済みます。私の知る限りでは、これは存在しません。ブートパーティションをマウントしている場合、暗号化されていないキーはパーティションにあります。したがって、理想的なソリューションは、今日のハードウェア暗号化/ BIOS/UEFIでのみ可能になります。

または、一方の当事者に両方のオペレーティングシステムの暗号化を許可することもできますが、これは仮想化でのみ機能します。たとえば、XenハイパーバイザーにFedoraとWindowsをインストールして、Xenにディスクの暗号化を行わせることができます。 CADプログラムを実行するには、Windowsで非仮想化ハードウェアが必要になる可能性がありますが、これはPCIパススルー[2]の問題ではなくなりました。これは設定がかなり複雑で、より深い知識が必要ですXenでは、両方のシステムを同時に実行できるという利点があります。ハードウェア仮想化によるパフォーマンスのオーバーヘッドは、今日では非常に小さくなっています。良い出発点は[3]です。

[1] https://wiki.archlinux.org/index.php/GRUB#Boot_partition
[2] https://wiki.xen.org/wiki/Xen_PCI_Passthrough
[3] https://wiki.xenproject.org/wiki/Xen_Project_Beginners_Guide

2
sven.to