我想在启动时使用 AES 加密 UEFI/UFI 磁盘,可以吗?如果可以,该怎么做?
答案1
一般来说,让系统固件处理磁盘解密是比较棘手的。在某些时候,操作系统会接管驱动器数据的处理,并且它本质上需要知道如何独立于固件加密和解密磁盘上的数据。这意味着您的固件必须有一些特殊的驱动程序来处理加密和解密,其工作方式与您的操作系统相同。
如果您询问如何使用内置驱动器固件进行加密,一般来说这不是一个好主意。人们发现各种硬盘固件在生成密钥和 IV 的方式、使用的分组密码模式以及派生密钥的方式方面都存在大量漏洞。除非您对所使用的特定固件进行过审核,否则应避免使用基于硬件的磁盘加密。
最好的办法是使用操作系统的内置磁盘加密。在 Linux 上,使用 LUKS2(如果没有,则使用 LUKS)。