加密 SSD + 需要 USB 介质来解密

加密 SSD + 需要 USB 介质来解密

我想在外部 SSD(三星 T5)上安装 Windows 或 Linux,并将其用作可以在包括 MacBook 在内的多种设备上使用的外部启动介质。

我想知道加密整个 SSD 的最佳和最安全的方法。要解密它,我的计划不是使用密码,而是使用带有密钥/证书的 USB 记忆棒。

所以我需要 SSD 和 USB 才能读取数据。

编辑:如果可以同时使用密码和密钥文件来解密就更好了。

答案1

您的问题可能过于宽泛,无法用合理的长度来回答,但这里有一些提示:

您想使用 Linux。Windows 不喜欢移植到其他机器。您还想使用 UEFI 启动,而不是 BIOS 启动。这是目前最便携的解决方案。

/使用 LUKS 对存储在 SSD 上的根分区 ( ) 进行全盘加密。将未加密的/boot分区放在闪存驱动器上。您的密钥无论如何都在同一设备上,因此没有必要加密存储在那里的任何数据。ESP(EFI 系统分区)也应存储在闪存驱动器上。在其上安装 GRUB;它将是启动入口点。

ESP/boot是启动链的元素,因此切勿让闪存驱动器无人看管。一旦发生这种情况,您必须考虑引导链已被破坏 - ESP/boot可能已被篡改。/boot可以使用额外的密码加密以防止这种情况发生,但 ESP 无法加密。因此,如果您怀疑闪存驱动器可能受到损害,但 SSD 位于安全的位置,您必须:

  1. 找到一台可信赖的 Linux 机器。
  2. Nuke ESP 和/boot,然后从安全备份中重新创建它们或从头开始重建。
  3. 生成新的加密密钥和cryptsetup-reencryptSSD。

未加密的 ESP 问题可以通过以下方式缓解:

  1. 使用你的私钥对启动文件进行签名
  2. 密码保护 UEFI,防止篡改签名数据库
  3. 更新 UEFI 签名数据库以仅包含您的公钥
  4. 启用安全启动以防止从未签名的二进制文件启动
  5. 签名内核和 initrd
  6. 构建具有嵌入式配置和内核签名强制功能的独立签名 GRUB 二进制文件

但是,您不能这样做,因为您希望您的设置不局限于任何物理机器。

相关内容