我需要在 Linux 上加密磁盘/卷/文件系统,但在重启时不需要输入密码。
虽然这并不能防止整个系统被窃取时的数据被盗,但至少可以确保当磁盘被放置在不同的系统上时,数据的机密性。
该系统有一个TPM芯片。
我研究了几种解决方案 -
LUKS-dmCrypt:无论我遵循哪种指南,启动时都需要密码。此外,加密过程需要 FS /volume 格式。现有的非加密卷加密似乎是一个复杂的过程,可能难以以自动化和无人监督的方式进行。有以下解决方案:这,它通过存储来绕过启动密码提示,TPM但我无法验证使用这种没有太多评论或意见的东西的有效性和风险。Veracrypt:Veracrypt 有TPM支持,我想这可以省去提供启动密码的麻烦,但是Veracrypt 发行说明只表示TPM支持Windows,而不是Linux。自加密磁盘:SED SSD 是一种可行的选择,但即使它们也需要设置 ATA 密码
BIOS并会提示输入密码。我不确定是否可以存储 SED,AK以及TPM这是否可能解决问题。我还没有找到任何制造商证实这一点的文档,在网上搜索也是徒劳的。将密码/密钥存储在未加密的可移动磁盘(如 U 盘)中:不是一种选择
将文件系统更改为允许类似以下操作的另一个文件系统:不是一个选项。仅
ext4或xfs...
我知道BitLocker可以Windows启用驱动器级加密并用于TPM静默启动,但不确定什么在 上有效Linux。想使用SEDSSD,但可以TPM解决启动时输入密码的问题吗?
有没有什么方法可以使用 SED 或 LUKS 来省去TPM重启时输入密码的需要?