我不认为我的要求太特殊,但我的搜索确实没有得到太多结果,所以我仍然有一些问题没有得到解答。
基本上,我购买了新硬件,并将对我的系统进行完全重新安装。由于我的新主板具有 UEFI(现在所有主板都具有 UEFI),所以我想切换 - 但似乎没有任何简单的方法可以满足我的要求:
- 我需要双启动 Windows 和 Linux。最好是 Windows 7 (x64) Professional 和基于 Debain 的系统 (*ubuntu),但我也可以访问 Windows 8.1,任何发行版都可以(虽然这应该不会有太大区别)
- 我需要全系统加密。也就是说,Linux 系统分区、Windows 系统分区和所有数据分区都必须完全加密。
- 我有共享数据分区,需要两个系统都可以读取和写入
无需让 TPM/安全启动工作,我的主板本来就没有 TPM 功能。
作为奖励,如果可能的话,我只想输入一次加密密码
我当前的系统使用 LUKS 进行 Linux 系统加密,使用 Truecrypt 进行 Windows 系统加密和共享分区。这样,我在 Windows 系统启动时只需输入一次密码(truecrypt 称之为预启动身份验证),在 Linux 中也只需输入一次密码(对于 LUKS - 密码存储在内核密钥环中,并用于我添加到 upstart 的 truecrypt 脚本中,一旦脚本运行起来,它就会像魔法一样工作)
不幸的是,Truecrypt 引导程序还不能处理 GPT。因此有 3 个替代方案
- 使用 Legacy Boot 和我当前的设置
- 不加密 Windows 系统分区(我们不想这样做,因为它会将敏感文件存储在 AppData 或 ProgramData 中,或者 Windows 隐藏未加密文件的任何其他地方)
- 使用 Bitlocker + LUKS。
最后的设置看起来可以工作,但目前对 Linux 的 Bitlocker 支持还处于测试阶段,而且似乎没有简单的方法来自动安装 Bitlocker 加密分区。因此,唯一真正有效的解决方案是 Windows 系统的 Bitlocker、Linux 系统的 Luks 和共享分区的 Truecrypt,但这需要在 Windows 中第二次输入密码才能安装 Truecrypt 卷,而且设置起来很麻烦。
我是否遗漏了什么?