我想在 1 个 SSD 上双启动 Windows 10 和 Arch Linux。SSD 为 465GB,我想使用 Veracrypt 加密硬盘并启用预启动身份验证。
我还没有尝试这样做,因为我在 Veracrypt 网站上找不到有关此问题的任何信息。
我是否必须擦除驱动器,将其分成两个分区,然后在其分区上安装相应的操作系统?之后呢?例如,当我登录到 Windows 操作系统时,我可以使用 Veracrypt 加密系统,但这也会加密 Linux 分区吗?
他们会使用相同的预启动密码吗?我是否可以从 Veracrypt 的引导加载程序中选择要启动的操作系统?
此外,如果我对非系统分区进行加密,而该分区与安装操作系统的硬盘位于不同的硬盘上,我是否能够从两个操作系统顺利访问该加密分区?
答案1
无需擦除。操作系统始终位于其自己的分区上。Veracrypt 只能加密 Windows 系统,并且只能使用 BIOS 而不是 UEFI。开发人员表示没有计划支持 *nix 系统。如果您希望加密 Linux 系统,请查看 dm-crypt 和 LUKS。此外,您似乎误解了 Veracrypt 的系统加密功能。它不支持全盘加密;仅支持 Windows 系统分区本身。恢复和恢复分区未加密。
如果您有多个 Windows 分区(正常或隐藏和正常),引导加载程序应该只显示一个密码输入字段。您有责任记住密码并知道它解锁哪个操作系统。每个可引导分区都会使用自己的密码。不知道如果您选择为不同的系统设置相同的密码会发生什么。
只要您在两者上都安装了 Veracrypt,您将能够访问所连接的任何驱动器上的 Veracrypt 加密分区。
答案2
我使用 truecrypt 做过类似的事情,使用 veracrypt 应该也可以。
- 安装窗口
- 给它整个磁盘
- 安装后使用 veracrypt 加密并告知它,windows 是驱动器上“唯一的”。
- 之后,重新启动你的电脑,缩小你的驱动器,创建一个额外的分区
- 再次重启并安装 Linux 和 Windows
- 确保 Windows 引导加载程序能够存活,因此将 Linux 引导加载程序放入新分区而不是 MBR!
- 唯一剩下的应该是 Windows 引导加载程序中指向 Linux 引导加载程序的条目。
上次我用 truecrypt 做这个的时候,它成功了。如果 veracrypt 是后继者,它也应该能工作。
但请注意,这两个系统都可以在引导加载程序中看到。因此不可能有“合理的否认”。因此,根据您所在的国家/地区,这可能不是您正在寻找的解决方案。
答案3
VeraCrypt 系统分区仅适用于 Windows 系统分区。
这并不意味着其他分区也可以被加密,请在 VeraCrypt 中搜索收藏夹,以便使用系统加密分区自动安装您的 DATA 分区。
VeraCrypt 还可以加密 Windows 和 Linux 分区并挂载它们,但要注意以下几点:
- Windows 版本不太喜欢在容器文件内有分区
- Windows 版本需要 FAT32 或 NTFS 作为加密格式(容器内文件或分区)
- Linux 版本可以加密分区,并且使用文件容器,您还可以在其中执行 fdisk,并将其划分为多个分区,并使用任何 Linux 文件系统对每个分区进行格式化
- Linux 版本没有预启动,因此无法加密(实际上是无法启动)系统分区
概念:
- 预启动仅适用于 Windows 系统分区
- 在 Windows 上安装容器(文件或分区)假设它将只包含一个格式为 FAT32 或 NTFS 的文件系统。
- 在 Linux 上挂载一个容器(文件或分区)就像拥有一个新的块设备一样,挂载后您可以使用 fdisk 创建分区。是的,在 Linux 上,您可以拥有一个由 VeraCrypt 加密的物理分区,当您挂载它时,例如,
/mny/MyVeraCryptPartition/您可以对该路径执行 fdisk 并在其中创建分区
为了更好地阐明这一点:Linux 上的 VeraCrypt 将容器挂载为块设备,大多数人都会mkfs在挂载点上执行此操作,但是我们中的一些人也会执行完整的 fdisk 将其划分为分区。
我没有在 Windows 上使用命令行进行测试,但恐怕在 Windows 上它非常有限。
进一步解释一下:在 Linux 上您可以mkfs这样做,/dev/sdb/但这并不常见,大多数用户也不认为这是可能的,但 Linux 允许您这样做。
这正是大多数用户在挂载加密容器(文件和分区)后所做的,在整个块设备上创建文件系统,但 Linux 也允许您使用 fdisk 进行分区。
我需要帮助:如何使用 VeraCrypt 保护多窗口,即/dev/sda1WindowsA、/dev/sda2WindowsB /dev/sdaXGrub2 等!我没有找到任何关于如何操作的信息。
关于“私人数据”的另一件事是,如果你没有对 PC 上的所有硬盘进行 100% 加密,你就不能确定私人数据是否保存在某个“纯文本”中... SoureCode 并不总是适用于所有应用程序,那么在哪里和什么可以保存某些应用程序?更多的内存转储? SWAP?所有都必须加密,否则你将让数据以纯文本形式保存。
最糟糕的是,越来越多的现代磁盘(大多数是 SSD)使用内部转换扇区,以便尽可能少地重写扇区,因此在写入之后您无法覆盖它,因为磁盘硬件会将数据保存在较少使用的另一部分,等等。
对于 100% 安全的系统只有一个解决方案:
- 将 Grub2 放在 USB 上,从它启动,然后挂载
/dev/sda/(是的,整个块设备)作为动态加密卷,然后从其中挂载分区,弹出 USB,并从动态加密的分区进行启动...所以磁盘的所有字节都被加密了。 - 步骤 2:用随机文件填充所有可用空间,然后删除它,这是为了写入所有剩余数据,因此不存在任何空白部分(需要完全填充它,因此请成为 root 并强制不使用 % 进行保留)
是的,我可能被视为偏执狂!但不是,主要的想法是:我不知道所有应用程序将数据保存在哪里,也不知道它们保存了什么数据,在 Windows 上不可能确定任何事情,无论是否有可用 RAM,它总是使用页面文件,如果没有虚拟内存,某些应用程序会拒绝运行。有些应用程序绕过文件系统,直接将数据保存在第一个柱面上。
示例:一个文字处理应用程序崩溃了,重新运行时会显示您写过但从未保存过的内容,那么它将这些数据保存在哪里?有些应用程序将这些数据保存在临时文件夹中,有些则保存在安装应用程序的文件夹中,等等,这仅取决于作者编写的代码。
只以否定形式看待 LUK!
答案4
您听说过 2 个 U 盘解决方案吗?
以下是我采取的步骤:
- 在硬盘上创建两个系统分区:a) Linux MX – ext4 文件系统 b) Windows 10 – NTFS 文件系统。
- 在具有 ext4 文件系统的系统分区上安装 Linux。
- 在安装 Linux 时,我选择了系统加密选项
和 U 盘上的引导加载程序位置(这是可能的),这是 Linux 操作系统内置的功能。完成设置过程后,系统分区已使用 LUKS 加密系统完全加密,但我可能在安装后使用 VeraCrypt 对其进行加密。 - Linux 已安装,但是,如果不使用引导加载程序 pendrive
(GRUB),则无法启动。 - 在 BIOS 中,我们将启动顺序设置为 a) 闪存驱动器 b) cd/dvd rom c) 硬盘驱动器
- 现在,插入带有 Linux 引导加载程序的闪存驱动器后,我们可以启动系统并解密系统分区。
- 关闭系统并插入 Windows 10 安装介质(CD 或可启动闪存驱动器)。
- 安装 Windows,然后在其上安装 Veracrypt 并启动加密过程。
- 完全加密后,重新启动系统。现在只显示 Veracrypt bootlader(Windows 10)。
- 我们输入密码,就进入解密的 Windows 10。
- 要启动 Linux,请将 U 盘与引导程序 (GRUB) 一起放入,然后启动计算机。我们的计算机应该会启动到 Linux 引导程序中。
- 然而,就我而言,这并没有发生,我不知道为什么,但是 VeraCrypt 停止从 pendrive 启动 GRUB。
- 我通过使用 SuperGrub2 程序创建第二个可启动闪存驱动器解决了这个问题。(我创建了一个带有 Linux 的可启动 USB 闪存驱动器,
超级Grub2使用鲁弗斯)。 - 然后我连接了 GRUB Linux 闪存盘和第二个 SuperGrub2 闪存盘。现在 BIOS 识别了引导加载程序。在 SuperGrub2 菜单中,我选择了检测计算机上的引导加载程序。
我们将看到Linux引导程序/ GRUB和Windows 10引导程序。现在我们可以选择解密后要启动的系统。
现在我们的 Linux 系统受到双重保护(LUKS + VeraCrypt 或 VeraCrypt + Veracrypt)+ 2 个闪存驱动器可供运行。摘自:https://hacker-tips.com/language/en/dual-boot-veracrypt-windows-linux-2/