NTFS 分区的 LUKS 加密

让我不按顺序回答你的问题，首先解释一下为什么使用 LUKS 加密你的 NTFS 分区不是一个好主意。

---

首先，LUKS 如何工作？

LUKS 可用于加密文件（文件容器）、分区或整个磁盘。如果让安装程序为您加密所有内容，则实际上会创建两个分区，一个启动分区和一个 LUKS 加密分区，其中包含根目录及其所有子目录（/boot 及其子目录除外）。如果您使用 UEFI，还会有第三个 EFI 分区。这意味着您将无法选择创建所需的 NTFS 分区。这不可避免地意味着您需要使用手动分区。这是一个复杂的过程，并不像您想象的那么简单。我在其他地方写过两个关于使用手动分区的 LUKS 的答案（使用 LVM和无 LVM）对于你的情况，不是不想将 NTFS 分区放在您可能创建的任何 LVM 分区内，因为 Windows 无法访问 LVM 逻辑卷内的 NTFS 分区。
更复杂的是，Windows 无法本机解密 LUKS 分区，因此最终您必须安装另一个软件，例如LibreCrypt，但正如您从链接答案中的评论中看到的那样，LibreCrypt 似乎已被放弃，所以这可能不是一个好的选择。因此，虽然使用 LUKS 加密您的 Linux 安装是可以的，但使用 LUKS 加密将在 Linux 和 Windows 系统之间共享的 NTFS 分区可能并不明智。

---

有什么更好的方法吗？

这给我们留下的问题是，我如何加密分区，以便 Linux 和 Windows 都能够解密它以访问包含的 NTFS 分区？曾几何时，我会推荐 TrueCrypt。当然，TrueCrypt 的开发突然停止了。所以这不再是一个选择。一旦停止，就会创建一个名为 VeraCrypt 的分支，并且仍然在维护。VeraCrypt 可以安装在 Windows 和 Linux 上，从而可以从两个操作系统访问任何给定的 VeraCrypt 加密分区。由于是开源的，代码可供公众审查。VeraCrypt可能是你最好的选择。
我怀疑 VeraCrypt 是否可以用来加密你的整个 Linux 系统，但我从未尝试过，所以我不会说这是不可能的。如果我尝试设置双启动系统，如你所述，我可能会这样做...
使用我描述的手动分区安装 Ubuntu这里，但在现有磁盘上创建以下物理分区。

• 分区 1：EFI（仅当您使用 UEFI 时）
• 分区 2： /boot
• 分区 3：LVM（包含所有其他仅限 Linux 的分区）
• 分区 4：空分区 - 格式无关紧要 - 保留用于使用 VeraCrypt 加密（在解密状态下，这将容纳您的 NTFS 分区）

安装 Linux 后，您可以安装 VeraCrypt并使用 VeraCrypt 加密您的最后一个分区，选择 NTFS 作为包含的文件系统。

---

我不会声称这个过程会很容易。如果你尝试这样做，有时可能会遇到一些令人沮丧的障碍，但这可能是利用我写这个答案时当前维护的现有加密技术实现你想要实现的目标的最简单方法。