我可以加密我的整个 GPT 双启动系统驱动器吗?

我可以加密我的整个 GPT 双启动系统驱动器吗?

我有一个双启动 GPT 系统驱动器,其中既有 Windows 10 又有 Linux,我想知道是否有任何方法可以加密整个驱动器(我说的是预启动安全)?

提前致谢

答案1

通常不需要,除非您将加密支持破解到系统固件中。UEFI 需要访问 EFI 系统分区中的明文引导加载程序,BIOS 需要访问明文引导扇区等。

然而,加密引导加载程序并不是很有用——它是完全公开的数据。你只需要确保它的正直,可以通过其他方式实现,例如代码签名(UEFI 安全启动)或 TPM 测量。例如,BitLocker 已经使用标准安全启动设置来验证引导加载程序的密码提示未被恶意替换;它还使用 TPM 来确保只有在验证引导文件合法的情况下磁盘才会自动解锁。

有一个例外——某些 SSD 上的 OPAL“自加密磁盘”功能。如果启用 OPAL 硬件加密,磁盘将首先显示一个“假”覆盖启动分区,然后解锁真正的磁盘内容。缺点是您需要信任磁盘能够正确实施加密(即您此时不再使用 LUKS),而且总体而言,我觉得它有点脆弱。

BitLocker 可以与 OPAL 硬件加密集成以对整个磁盘进行加密(而不是对各个分区使用自己的软件加密),但我真的不知道它如何与同一磁盘上的其他操作系统交互。

相关内容