NTFS 分区的 LUKS 加密

NTFS 分区的 LUKS 加密

我将在我的 System76 笔记本电脑上全新安装 Ubuntu 18.04,目前该笔记本电脑上已经安装了一个 SSD 驱动器。

我很快将在安装有 Windows 8.1 的同一台笔记本电脑上安装第二块 SSD。

我将有 85% 的时间使用 Ubuntu。但是,我希望 Windows 安装能够轻松访问(读取和写入)我的数据文件(文档、电子表格、图片、视频、pdf)。

在 18.04 安装中,我考虑使用 Ubuntu 安装程序默认分区设置并加密 + 添加 NTFS 分区,这将是最大的分区;那是我放置数据文件的地方。我还希望加密 NTFS 分区。

2个问题:

  1. 这听起来是个好方法吗?
  2. 如何使用 LUKS 加密 NTFS 分区?或者 LUKS 加密整个驱动器,而不是每个分区?

答案1

让我不按顺序回答你的问题,首先解释一下为什么使用 LUKS 加密你的 NTFS 分区不是一个好主意。


首先,LUKS 如何工作?

LUKS 可用于加密文件(文件容器)、分区或整个磁盘。如果让安装程序为您加密所有内容,则实际上会创建两个分区,一个启动分区和一个 LUKS 加密分区,其中包含根目录及其所有子目录(/boot 及其子目录除外)。如果您使用 UEFI,还会有第三个 EFI 分区。这意味着您将无法选择创建所需的 NTFS 分区。这不可避免地意味着您需要使用手动分区。这是一个复杂的过程,并不像您想象的那么简单。我在其他地方写过两个关于使用手动分区的 LUKS 的答案(使用 LVM无 LVM)对于你的情况,不是不想将 NTFS 分区放在您可能创建的任何 LVM 分区内,因为 Windows 无法访问 LVM 逻辑卷内的 NTFS 分区。
更复杂的是,Windows 无法本机解密 LUKS 分区,因此最终您必须安装另一个软件,例如LibreCrypt,但正如您从链接答案中的评论中看到的那样,LibreCrypt 似乎已被放弃,所以这可能不是一个好的选择。因此,虽然使用 LUKS 加密您的 Linux 安装是可以的,但使用 LUKS 加密将在 Linux 和 Windows 系统之间共享的 NTFS 分区可能并不明智。


有什么更好的方法吗?

这给我们留下的问题是,我如何加密分区,以便 Linux 和 Windows 都能够解密它以访问包含的 NTFS 分区?曾几何时,我会推荐 TrueCrypt。当然,TrueCrypt 的开发突然停止了。所以这不再是一个选择。一旦停止,就会创建一个名为 VeraCrypt 的分支,并且仍然在维护。VeraCrypt 可以安装在 Windows 和 Linux 上,从而可以从两个操作系统访问任何给定的 VeraCrypt 加密分区。由于是开源的,代码可供公众审查。VeraCrypt可能是你最好的选择。
我怀疑 VeraCrypt 是否可以用来加密你的整个 Linux 系统,但我从未尝试过,所以我不会说这是不可能的。如果我尝试设置双启动系统,如你所述,我可能会这样做...
使用我描述的手动分区安装 Ubuntu这里,但在现有磁盘上创建以下物理分区。

  • 分区 1:EFI(仅当您使用 UEFI 时)
  • 分区 2: /boot
  • 分区 3:LVM(包含所有其他仅限 Linux 的分区)
  • 分区 4:空分区 - 格式无关紧要 - 保留用于使用 VeraCrypt 加密(在解密状态下,这将容纳您的 NTFS 分区)

安装 Linux 后,您可以安装 VeraCrypt并使用 VeraCrypt 加密您的最后一个分区,选择 NTFS 作为包含的文件系统。


我不会声称这个过程会很容易。如果你尝试这样做,有时可能会遇到一些令人沮丧的障碍,但这可能是利用我写这个答案时当前维护的现有加密技术实现你想要实现的目标的最简单方法。

相关内容