我正在寻找一种在单个硬盘上双启动 Ubuntu 和 Windows 10 的方法:
Ubuntu 上的 LUKS + TPM,带有预启动密码
Windows 10 上的 BitLocker + TPM,带有预启动 PIN/密码
这可能吗?
答案1
这是一个很棒的问题,事实上我已经考虑这个问题有一段时间了。
最后终于下定了决心,而且看来效果不错。
(我使用了最新版本的Ubuntu 桌面和Windows 10 v.1903为了这。)
虽然我不确定 BitLocker 的系统驱动器加密是否能与 Linux 的 dm-crypt/LUKS 加密很好地兼容,VeraCrypt可能是 BitLocker 更理想的替代方案,因为它是开源的。我个人更喜欢 VeraCrypt 而不是 BitLocker,但理论上无论你使用哪种方式,过程都应该相同。
请记住,必须禁用 UEFI 安全启动才能实现此功能。如果您选择使用 BitLocker,则可能必须在 gpedit.msc 中启用预启动身份验证,以允许您使用 PIN 或密码解锁 BitLocker 加密的系统。这可能意味着不使用 TPM。(老实说,这对我来说没问题;我会尝试看看是否可以使用 TPM,但我对当前的设置很满意。)
无论如何,经过一番研究并亲自尝试后,我发现一个帖子由 baderaj 在 linuxquestions.org 论坛上发布... 唯一的警告是启动分区将不加密。在大多数情况下,这应该没问题。(Baderaj 引用了 TrueCrypt,但是由于它早已被 VeraCrypt 淘汰,不再开发,因此我建议在这里改用 VeraCrypt。)
基本上,他们的解决方案是让 Grub 引导加载程序具有指向 LUKS 加密的 Linux 分区的启动菜单项,以及指向 Windows 分区上的 VeraCrypt 引导加载程序。
TL;DR:逐步地,这将涉及以下内容:
- 将未加密的 Windows 安装到单个分区(在驱动器上留出一些空间用于 Linux 的第二个分区)。
- 使用磁盘剩余的可用空间将 Linux 安装为 LUKS 加密分区。
- 使用 VeraCrypt(替代 grub 的 MBR)加密 Windows 系统分区。
- 复制包含新安装的 VeraCrypt 引导加载程序的 MBR。
- 将 grub 重新安装到 MBR(替换您复制的 VeraCrypt 的 MBR)。
- 添加指向先前复制的 TrueCrypt 引导加载程序的 grub 引导加载程序菜单项。
- 此时,您应该能够使用 grub 启动 LUKS 加密的 Linux 分区或 VeraCrypt 加密的 Windows 分区。
绝对给予Baderaj 的帖子如果您有兴趣遵循此方法,请通读一遍。
如果您确实成功使用 BitLocker 而不是 Veracrypt,请发布您的成功故事。:)