Crittografia completa del disco su sistema dual-boot (TrueCrypt / Veracrypt)

3

Sto cercando di eseguire il mio sistema portatile con una configurazione dual boot (Fedora + Windows) con crittografia completa del disco.

Ho un laptop che porterò con me mentre viaggio, sia a livello nazionale che all'estero. Per ovvi motivi, vorrei crittografare il disco rigido. Il sistema in questione ha un SSD da 128 GB con Fedora 27 e Windows 7 installati in una configurazione dual boot.

In questa configurazione, il disco rigido è partizionato come segue:

  • sda1 (500 MB): bootloader di Windows (sistema riservato)
  • sda2 (73,8 GB): Sistema Windows (C:)
  • sda3 (250 MB): Grub Bootloader (/ boot)
  • sda4 (39,8 GB): Sistema Linux (/)
  • sda5 (5 GB): Linux Swap (/ swap)

Il processo di avvio procede come segue:

 UEFI
  |
  V
 Grub -> Fedora
  |
  V 
 WinBootloader -> Windows 7

In un mondo ideale, vorrei introdurre un terzo caricatore di avvio, caricato prima di Grub, che gestisce la decodifica delle partizioni di sistema. In questo modo tutte le partizioni di sistema, incluso Grub, possono essere decifrate usando una sola password.

Alcune note:

  • Mentre ho descritto un sistema completamente installato e configurato, posso formattarlo e reinstallarlo se necessario
  • Il doppio avvio è una necessità poiché ho bisogno di Fedora per il lavoro e di Windows per i programmi CAD.
  • A parte le applicazioni specifiche della piattaforma, i dati utente personali (file, meta, ecc.) saranno praticamente identici in entrambi i sistemi operativi, poiché tutto è sincronizzato con i servizi cloud
  • Vorrei evitare l'uso di soluzioni closed-source (cioè Bitlocker)
  • Preferirei crittografare entrambi i sistemi operativi utilizzando un'unica soluzione anziché avere una soluzione indipendente per ogni
  • La crittografia hardware con BIOS / UEFI non è accettabile in quanto non voglio rischiare di perdere dati se muore la scheda madre
  • La procedura guidata di crittografia del volume del sistema Vera / Truecrypt (in Windows, non è disponibile sotto Linux) afferma di non supportare la crittografia del volume di sistema su sistemi con più di un bootloader
  • Vera / Truecrypt sono le potenziali soluzioni che ho trovato, ma se ce ne sono di migliori sono felice di imparare

Le domande:

È ciò che sto tentando di fare? Se lo è, quali sono alcune risorse che potrebbero aiutarmi a implementarlo? Indipendentemente dal fatto che sia o non sia possibile, esiste una soluzione migliore?

    
posta enpaul 18.01.2018 - 18:48
fonte

1 risposta

1

In an ideal world, I would like to introduce a third boot loader, loaded before Grub, that handles the decryption of the system partitions

Poiché questa sarebbe una buona soluzione, il problema è che un bootloader non passa una partizione montata (decodificata) su un sistema operativo. Sta caricando il kernel in memoria, avviandolo e passando alcuni parametri ad esso. Tuttavia, è possibile crittografare la partizione di avvio di Grub e incorporare una chiave di crittografia nell'initramfs per Linux e LUKS (funzionalità di GREP early crypto disk [1]). Probabilmente potresti implementare una soluzione simile per grub & VeraCrypt & Windows, ad esempio, grub carica un file chiave crittografico dalla partizione di avvio crittografata in memoria e VeraCrypt lo utilizza in un secondo momento. In questa soluzione, è sufficiente inserire una password durante l'avvio. Per quanto ne so, questo non esiste. E se hai montato la tua partizione di avvio, le tue chiavi non cifrate si trovano sulla partizione. Quindi la tua soluzione ideale sarebbe possibile solo con la crittografia hardware / BIOS / UEFI oggi.

In alternativa, è possibile consentire a una parte di eseguire la crittografia per entrambi i sistemi operativi, ma ciò funziona solo con la virtualizzazione. Ad esempio, è possibile installare Fedora e Windows su un Xen Hypervisor e lasciare che Xen esegua la crittografia del disco. Probabilmente hai bisogno di hardware non virtualizzato in Windows per eseguire programmi CAD, ma questo non è più un problema con PCI pass-through [2]. Questo è piuttosto complesso da configurare e richiede una conoscenza più approfondita in Xen, ma ha il vantaggio che entrambi i sistemi possono funzionare contemporaneamente. Il sovraccarico delle prestazioni con la virtualizzazione dell'hardware è piuttosto ridotto oggi. Un buon punto di partenza è [3].

[1] link
[2] link
[3] link

    
risposta data 09.02.2018 - 14:53
fonte

Leggi altre domande sui tag