我有一个双引导 GPT 系统驱动器,有 Windows 10 和 Linux,我很想知道是否有任何方法可以加密整个驱动器(我说的是预引导安全)?
提前致谢
AskOverflow.Dev
我有一个双引导 GPT 系统驱动器,有 Windows 10 和 Linux,我很想知道是否有任何方法可以加密整个驱动器(我说的是预引导安全)?
提前致谢
通常不会,除非您将加密支持破解到系统固件中。UEFI 需要访问 EFI 系统分区中的明文引导加载程序,BIOS 需要访问明文引导扇区等。
然而,加密引导加载程序并不是很有用——它完全是公共数据。您只需要确保其完整性,这可以通过代码签名(UEFI 安全启动)或 TPM 测量等其他方式来实现。例如,BitLocker 已经使用标准的安全启动设置来验证引导加载程序的密码提示没有被恶意提示替换;它还使用 TPM 确保只有在验证引导文件合法时磁盘才会自动解锁。
有一个例外——在某些 SSD 上发现的 OPAL“自加密磁盘”功能。如果启用 OPAL 硬件加密,磁盘将首先呈现“假”覆盖引导分区,然后解锁真实磁盘内容。缺点是您需要信任磁盘才能正确实施加密(即此时您不再使用 LUKS),总的来说,这对我来说似乎有点脆弱。
BitLocker 可以与整个磁盘的 OPAL 硬件加密集成(而不是对单个分区使用自己的软件加密),但我真的不知道这如何与同一磁盘上的其他操作系统交互。