Я хотел бы знать, есть ли способ зашифровать систему Linux, для которой не требуется небольшой незашифрованный / загрузочный раздел.
Кроме того, я хотел бы знать, может ли шифрование быть реализовано в существующей незашифрованной системе таким образом, чтобы оно шифровалось «на лету», пока пользователь использует систему. Таким образом, не требуется переустановка ОС.
Сейчас решение, которое я использую для Linux, - luks. Обычно я переустанавливаю ОС (резервное копирование и восстановление любых данных, которые необходимо сохранить), создаю небольшой раздел / boot для загрузки, а все остальные разделы зашифровываются, включая своп. Я использую либо кикстарт для redhat, либо предварительную загрузку для систем на базе debian. Установка, зашифрованная или нет, полностью автоматизирована.
Я понимаю, что для всех практических целей этот метод шифрования безопасен, и нет способа (если пароль действительно не сохранен там или что-то подобное глупое) найти информацию о том, как расшифровать разделы с помощью небольшого незашифрованного / загрузочного раздела, а не иметь незашифрованный раздел подкачки, который потенциально может раскрыть данные, помогающие расшифровать раздел. Причина, по которой я ищу подобное решение, более практична.
Я предполагаю, что что-то подобное нужно будет запустить из загрузочного блока диска (mbr или иначе) или, возможно, загрузить в цепочку. Вероятно, потребуется добавить в загрузчик некоторую функциональность, например grub, чтобы запрашивать пароль и использовать его для открытия разделов, чтобы их можно было прочитать.
Я провел небольшое исследование, пытаясь найти решения, но я еще не нашел того, который работает, или даже если он может работать, это вообще непрактично (особенно с базой более 100 пользователей).
В конце концов вам нужно будет запустить систему с заглушки с открытым текстом. Если эта заглушка непонятна на диске, следующая опция будет в прошивке; возможно, однажды все материнские платы UEFI будут поддерживать полное шифрование диска.
Тем не менее, с маленьким загрузочным разделом с открытым текстом важно не иметь конфиденциальность (потому что обычно он содержит только общедоступные загрузочные данные), но иметь целостность. Вы не хотите, чтобы злоумышленник захватил вашу машину, пока вы спите, и заменил код монтирования вредоносным, который захватит ваш пароль, когда вы его введете, и сохранит его в какой-то скрытой области диска.
Это проблема, которую решает безопасная загрузка, и вы можете (теоретически) использовать ее в Linux, если загрузочная прошивка позволяет использовать пользовательские ключи. Аппаратный компонент (TPM) будет гарантировать (используя криптографию), что система будет жаловаться при загрузке, если раздел открытого текста был изменен.
Существует базовая, неполная и устаревшая процедура для Gentoo, что дает общее представление о том, что можно сделать.