是否存在一种工具/方法,可以加密 Windows 7 系统卷,同时提供在启动阶段通过 ssh 远程解锁的可能性?Windows 7 是否也可以做到这一点(我想应该可以)?
在 Linux 上,使用 LUKS 加密的 rootfs可以通过 ssh 解锁在启动阶段(也请参见/usr/share/doc/cryptsetup/README.remote.gzDebian)。
这DiskCryptor 项目带有一个强大的引导程序,允许通过 USB 或 LAN 解锁加密的系统卷(自动提供先前硬编码的密码)来启动它。但是,我发现无法通过 ssh 连接输入所需的解锁密码,而且我绝对不想在某个地方硬编码密码(即使在我(希望)安全的 LAN 中)。
因此,与 LUKS 方法类似的解决方案很可能涉及带有 ssh 服务器的单独未加密的启动分区,以及一些启动魔法它负责解锁并允许使用 Windows 7 链式加载加密的系统分区。
是否存在类似的东西或者正在开发中吗?
答案1
我终于找到了一个解决这个问题的廉价方法将 Raspberry Pi Zero W 变成可远程访问的 USB 键盘。
脚步:
- 使用局域网唤醒远程启动具有加密 Windows 系统分区的计算机
- 使用 SSH 远程访问通过 USB 连接到计算机的 Pi
- 通过 USB 将解锁加密 Windows 分区的密码从 Pi 发送到计算机
- 继续启动
例如,使用 VeraCrypt 加密的 Windows 10 系统分区即可完美运行。
答案2
实现此目的的唯一方法是购买网络 KVM 适配器,根据您选择的适配器,价格可能相当昂贵。与大多数 BIOS 类似,除非您拥有联网的 KVM(本质上将您的键盘、鼠标和显示器置于网络上),否则您无法远程访问它。
在此示例中,我将使用 Truecrypt 的引导加载程序:
引导加载程序应该做一件事(而且只能做一件事),那就是解密您的 Windows 系统分区,以便解密后的 Windows 可以开始启动。出于这个原因,引导加载程序非常轻量,以加快从按下电源按钮到引导加载程序屏幕(在引导加载程序屏幕上要求您输入密码进行解密)所需的时间。因此,任何对引导加载程序的 SSH 实现都是不现实的。