TrueCrypt - 无需预启动身份验证的系统分区或驱动器加密

TrueCrypt - 无需预启动身份验证的系统分区或驱动器加密

我似乎找不到方法来加密我的整个系统分区或整个驱动器并能够跳过预启动身份验证。

我需要能够将机器启动到正常的加密系统分区,而无需预启动身份验证,这样我的妹妹就可以使用她的 Windows 登录来使用计算机。但如果她试图将硬盘作为可移动驱动器放在另一台计算机上,我需要加密...

我可以使用文件容器,但我们还想加密 windows/system32/drivers/etc 文件夹中的“hosts”之类的文件。

有谁知道如何做到这一点?

谢谢

PS:我同时使用Linux和Windows,因此无论哪个答案,我都可以尝试。

编辑:我原本想在某个地方保存我的密码哈希,以供 TrueCrypt 引导加载程序使用。我知道有可能找到这个哈希,甚至在一定时间内反转这个哈希,但我需要一些东西让这一切变得比仅仅将我的硬盘插入另一台计算机并浏览我的文件稍微困难一些...

抱歉,我遗漏了一条重要信息。我妹妹想看看并使用我做的程序,这样她就可以更多地了解计算机。我认为这是一件好事,所以我想这样帮助她。顺便说一句,我很少见到她,因为我们学习的时间不同,所以总是在她想要的时候输入密码并不是一个真正可行的选择。

答案1

如果您使用 Windows'加密文件系统但是你可以加密你的敏感文件夹请务必备份解密证书并将其存储在计算机之外的某个东西上(USB 密钥或其他计算机)。它被称为延时回收箱,如果您不备份证书并且没有使用正常的更改密码方法(输入旧密码,输入新密码两次)更改密码,您将永远无法获取文件。

如果你重新安装 Windows(即使你使用相同的用户名和密码),你将需要备份证书才能恢复文件,如果你在重新安装之前没有备份证书你将无法取回你的文件)。

我使用全大写加粗字体是因为我知道你会认为“我很小心,我永远不需要它”无论如何都要这么做!!!


修复 Hosts 文件问题
您可以使用 windows 修复 Hosts 文件问题自动代理设置。创建一个 .pac 文件,使用 EFS 对其进行加密,然后告诉您的 Web 浏览器使用该文件中的自动配置设置。

以下是文件中应包含的内容的示例

function FindProxyForURL(url, host)
{
    if (0
    || dnsDomainIs(host, ".cn")
    || dnsDomainIs(host, ".doubleclick.com")
    || dnsDomainIs(host, ".doubleclick.net")
    || shExpMatch(host, "205.180.85.*")
    || shExpMatch(host, "66.40.16.*")
    || (dnsDomainIs(host, ".overstock.com") && shExpMatch(url, "*/linkshare/*"))
    || (dnsDomainIs(host, ".amazonaws.com") && shExpMatch(url, "*/udm_img/mid*"))
    || dnsDomainIs(host, ".gator.com")
    ) {
        return "PROXY 127.0.0.1:80";
    }
    else
    {
    return "DIRECT";
    }
}

该示例相当不言自明。它将把所有列出的项目重定向到本地主机端口 80。


原始答案,谈论 TrueCrypt 和 TPM。不再是我推荐的解决方案

你想要的可以通过可信平台管理, 但TrueCrypt 不支持 TPM。如果哈希值没有存储在与计算机绑定的硬件中,驱动器如何知道它在另一台计算机中并愉快地自动解密数据?

你还需要问问自己,你要保护自己免受什么侵害。预启动加密只能保护你免受一些非常具体的事情的侵害:

  • 有人走到你的电脑前,开始在关机状态下使用它
  • 将驱动器从计算机中取出并在另一台计算机上使用,或者复制驱动器然后放回驱动器。
  • 在非加密部分运行的操作系统会看到加密部分中的关闭操作系统。

什么不做如果操作系统已经在运行,则可以保护您免受他人查看/复制您的文件(想象一下病毒/姐妹在窥探)。

请记住:一旦您进入加密信封,对于操作系统和任何使用操作系统的人来说,所有内容看起来都像普通的未加密数据。解释您要保护什么,以及您要保护它免受谁的侵害,我们可能会为您提供更好的解决方案。


编辑:当您说I just want to make it a little harder to be able to browse through my files您想让谁的浏览变得更加困难以及他们将以何种方式进行浏览时?

答案2

由于上述原因,Truecrypt 不提供此功能。

请注意,仅当密钥或受密码保护的密钥的访问权限存储在系统之外时,全盘加密才能保护您的数据免遭硬盘盗窃。

任何密钥与加密数据位于同一系统上的加密都可能(并且通常会)被破解。Xbox、Wii、PS3、Xbox 360 都曾尝试使用其固件和软件密钥进行这种尝试,但最终都失败了。这只不过为他们争取了时间。

听起来你希望允许你的妹妹正常使用系统,但又希望你对系统的使用保密。我会使用 Truecrypt 创建一个加密文件容器,然后使用 VMWare Player 在该文件容器内创建一个虚拟硬盘,并从中安装/运行你自己的“独立”且完全加密的操作系统。性能会有所损失,但隐私会有所提升;你必须决定什么更重要。

或者,您可以在虚拟机内运行 Truecrypt 全盘加密。

答案3

没有预启动身份验证的加密文件系统只是一个缓慢的未加密磁盘。身份验证是系统如何知道加密密钥

答案4

如果您只想在一台特定机器上解密,则加密必须由该机器上的硬件完成,而另一台机器上不存在硬件。然后他们需要使用硬盘以外的其他设备来访问数据。truecrypt 是基于软件的,所以不行。

对于引导加载程序,问题是它如何知道它是在这台机器上而不是另一台机器上。硬盘是唯一的永久内存,如果你在那里输入密码,它们就会带走硬盘并让它自动工作,就像在你的机器上一样,从而违背了目的。不管有没有散列。

如果您正在考虑设置引导加载程序以从您的机器读取某些特定内容并将其用作密码。序列号、主板型号、mac 地址或存储在另一个硬盘驱动器上的密码等。我不会推荐它,原因如下。

首先,根据你所说的,他们会很容易地破解它。而且这甚至不值得付出努力。而且这也不能解决姐姐的问题。她可以很容易地弄清楚。我不知道如何设置 truecrypt 加载器来从硬件规格中读取密码,该密码需要像序列号一样对于这台机器是唯一的。

你可以发挥创造力,但这不值得。

相关内容