如果我将驱动器移至另一块主板(例如从 PC 移至笔记本电脑),我是否可以在那里顺利运行我的 Luks 加密系统?
如果该驱动器上有多个系统怎么办? 没有区别吗?
这样的游戏会不会有什么问题。例如,我将驱动器移除,然后将其放回原来运行的旧电脑中。会不会发生由于某些“设置”发生变化而无法启动的情况?
答案1
主板不进行加密;操作系统完全通过软件进行加密。只要您记住密码,就可以解锁卷。
一个例外是当您使用 TPM 来实现自动解锁时,该解锁在设计上与特定的 TPM 设备绑定,但通常此类卷仅将 TPM 作为常规密码的替代,而不是唯一方法。
如果您使用的是 UEFI 固件,新主板将不会具有旧主板所具有的 NVRAM 启动项,并且会期望磁盘在“默认”位置具有某种引导加载程序 - 但这个问题与 LUKS 的存在或不存在无关。
如果你使用的是 UEFI 固件,和你选择使用“EFISTUB 加载程序”(即 NVRAM 启动条目直接指向 Linux 内核),和如果启动项包含对解锁 LUKS 至关重要的内核命令行参数,那么系统将不知道要启动什么以及要解锁什么 - 但如果您有这样的设置,您可能就会知道这一点,并且不会询问。这不是默认发生的设置。
答案2
简短的回答是“这取决于 - 但最有可能的是你可以迁移磁盘”。
LUKS 支持多种解密驱动器的方法(它有一个标头,可以从内存中接受最多 8 个不同的密码/密码短语/密钥,然后依次解密主密码短语)。只要您知道其中任何一种,就可以解锁驱动器。
虽然技术上可行(我已经这样做了),但驱动器通常不与主板上的 TPM 配对。(在 Ubuntu 22.04 上,如果您使用 FDE,它默认使用启动时输入的密码来解锁驱动器。这很常见)
即使驱动器确实依赖 TPS,通常也可以使用密码替代方法。如果没有,添加密码很难,但并非不可能。说明位于https://access.redhat.com/solutions/1543373关于如何操作主密钥文件以及在您拥有开放的 LUKS 设备的情况下添加其他密钥。