Возможно ли полное дисковое шифрование Linux с беспроблемным пользовательским интерфейсом, например FileVault (macOS) или BitLocker (Windows)?

2253
JDS

Я нашел несколько решений полного шифрования диска (FDE) для ОС Linux. В частности, я посмотрел на решения, которые работают на Linux Mint или Ubuntu, так как это то, что я склонен использовать. Но я уверен, что этот вопрос относится и к другим дистрибутивам.

Я ищу решение с полным диском, которое работает так же легко для пользователя, как и с FileVault на macOS.

FileVault выглядит следующим образом:

  • FileVault шифрует весь диск. Это можно сделать одним щелчком на панели prefs для Security.
  • FV предоставляет среду предварительной загрузки, которая разблокирует Mac-эквивалент модуля Trusted Platform (на самом деле это может быть TPM, но я не думаю, что это так), что блокирует ключ (-ы), которые фактически сделали шифрование диска
  • Когда вы входите в систему, вы фактически входите в среду предзагрузки. Это разблокирует ключи FV. Только тогда диск ОС разблокируется.
  • Пароль пользователя ОС синхронизируется с паролем FV; для конечного пользователя это все без проблем (за исключением нескольких случаев использования)

В Windows BitLocker работает с доверенным платформенным модулем практически так же, как описано выше для FileVault.

В Linux, однако, даже с установленными инструментами TPM для каждой схемы шифрования полного диска, с которой я сталкивался, требовался загрузочный пароль в дополнение к имени пользователя и паролю для входа.

Например, это (очень хорошо написанный и подробный) пример Linux Mint:

https://community.linuxmint.com/tutorial/view/2026

В этом примере (что похоже на миллион простых в обращении шагов интерфейса командной строки, кстати), FDE готово, но вы можете видеть, что пользователь должен вводить парольную фразу для расшифровки в приглашении Grub при загрузке.

Кто-нибудь взломал этот орех для Linux?

Требования

  • Пользовательский опыт таков, что пользователь вводит свой логин и пароль только один раз
  • Полное шифрование диска (включая загрузочный раздел)
  • (Приятно иметь) Настройка проста, или, по крайней мере, Simple (TM)
3

2 ответа на вопрос

1
davidgo

Вы не можете зашифровать загрузочный раздел, так как вам нужно загрузить из него предзагрузочную среду. Шифрование загрузочного раздела не помогает ни с чем.

Многие стандартные установки Linux (включая Ubuntu) позволяют вам выбирать «полное шифрование диска» при загрузке и не требуют пароля grub как части графического интерфейса. Он делает это, загружая среду «pre-boot» с RAM-диска и используя это и LUKS для разблокировки раздела.

После его загрузки обычно есть второй шаг для входа в систему под конкретным пользователем с паролем, однако вы можете настроить автоматический вход в GUI . Конечно, если вы отойдете от своего компьютера и оставите его, ваша система будет широко открыта.

Очевидно (но я не проверял это), Ubuntu изначально поддерживает TPM 2.0 . (Признаюсь, что скептически настроен автоматически, но я не пробовал)

Нет, «автоматический вход» никогда не будет работать в моей среде. во втором абзаце, что на самом деле шифруется? т.е. `/ boot` зашифрован? JDS 6 лет назад 0
/ boot не зашифрован, но корневой раздел есть. Я не могу представить, что fde будет работать без отдельного шифрования диска и входа в систему, так как fde должен быть установлен до ОС davidgo 6 лет назад 0
Я могу представить fde, включая `/ boot` - он называется« FileVault »или« Bitlocker ». Спасибо за ответы! JDS 6 лет назад 0
@JDS Если вы перейдете в раздел «Работа» по адресу https://en.m.wikipedia.org/wiki/BitLocker, вы увидите, что для загрузчика требуется среда предварительной загрузки, аналогичная / boot. Filevault также имеет среду предварительной загрузки. Все эти программы выполняют шифрование разделов, а не шифрование всего диска, содержащего среду предварительной загрузки, несмотря на название. davidgo 6 лет назад 1
Круто, спасибо, я должен был прочитать это сам. По какой-то причине я решил, что предзагрузочная среда расшифровывает загрузочный раздел NTFS, а затем загружается с него. У меня все еще складывается впечатление, что именно так работает FV, но я не видел технического описания FV, чтобы знать JDS 6 лет назад 0
@JDS - это совершенно верно - предзагрузочная среда расшифровывает раздел, на котором находится большая часть ОС. Для этого требуется минимальная часть ОС, которая хранится в загрузочном разделе, который не зашифрован. Как только эта среда получит то, что ей необходимо для расшифровки, диск можно будет смонтировать и передать для завершения загрузки ОС. (Кстати, так же работает и в мобильных телефонах) davidgo 6 лет назад 0
0
WhoCares

Даже в Windows системный раздел (названный Microsoft и невидимый для пользователей. Используйте диспетчер дисков, чтобы увидеть его) не зашифрован. Там должна быть незашифрованная часть для загрузки начальных загрузочных файлов. Для linux этот раздел / boot

Есть проект GitHub, который решает эту проблему: https://github.com/fox-it/linux-luks-tpm-boot

Похожие вопросы