因此,正如标题所示,我正在寻找一种方便的方式来保护我的数据,同时实现合理的否认。我读过关于这个主题的 archwiki。如果可以避免,我宁愿不加密整个根系统,但我需要加密 /var 。
dm-crypt 提供了两种可信否认选项:纯文本模式和分离的 LUKS 标头,但这两种方式都非常不方便,因为它们需要输入很长且难以记住的 cryptoopen 命令。我也不喜欢将 LUKS 标头存储在非加密的 USB 驱动器中,因为如果泄露了这些信息,那么整个目的就失败了。
另一方面,VeraCrypt(TrueCrypt 的继任者)非常方便,因为它可用于在外部加密卷(充当诱饵)内创建隐藏的加密分区。可以编写一个 veracrypt 安装脚本,一旦启动,它只会要求输入密码,并且可以使用两个不同的密码来安装两个不同的分区(诱饵或隐藏分区)。
对于 Windows,它还存在一个 veracrypt 引导程序,可用于启动完全加密的系统。就我而言,我不一定想加密整个系统,但我想加密 /var,那么我仍然需要某种方式在启动时挂载加密的 /var。据您所知,在 Linux 中是否有某种(方便/快捷)的方法可以在启动时运行 veracrypt 以便在需要之前挂载 /var?
或者,你能想到用 dm-crypt 实现相同结果的其他方法吗?结果应该是:加密 /var 和 /home + 合理的可否认性 + 启动时快速轻松挂载。
谢谢您的帮助
答案1
我在这方面有以下几点想法:
- 在完全加密的磁盘上,将只读的 liveCD 作为“合理的”分区 - 也许是 TAILS?
- 声称你将可读文件保存在你没有带在身上的 U 盘上/你丢失了
- 使用磁盘的其余部分作为包含整个系统的“可否认”分区
- 将可拒绝的分区标记为“加密交换”,因此预计它会 1) 更改且 2) 不可读/不可安装
- 出于同样的原因,使用名为 /swap 的文件作为“可拒绝分区”