Я нашел несколько решений полного шифрования диска (FDE) для ОС Linux. В частности, я посмотрел на решения, которые работают на Linux Mint или Ubuntu, так как это то, что я склонен использовать. Но я уверен, что этот вопрос относится и к другим дистрибутивам.
Я ищу решение с полным диском, которое работает так же легко для пользователя, как и с FileVault на macOS.
FileVault выглядит следующим образом:
- FileVault шифрует весь диск. Это можно сделать одним щелчком на панели prefs для Security.
- FV предоставляет среду предварительной загрузки, которая разблокирует Mac-эквивалент модуля Trusted Platform (на самом деле это может быть TPM, но я не думаю, что это так), что блокирует ключ (-ы), которые фактически сделали шифрование диска
- Когда вы входите в систему, вы фактически входите в среду предзагрузки. Это разблокирует ключи FV. Только тогда диск ОС разблокируется.
- Пароль пользователя ОС синхронизируется с паролем FV; для конечного пользователя это все без проблем (за исключением нескольких случаев использования)
В Windows BitLocker работает с доверенным платформенным модулем почти так же, как описано выше для FileVault.
В Linux, однако, даже с установленными инструментами TPM, каждая схема полного шифрования диска, с которой я столкнулся, требует загрузочного пароля в дополнение к имени пользователя и паролю для входа.
Например, это (очень хорошо написанный и подробный) пример Linux Mint:
https://community.linuxmint.com/tutorial/view/2026
В этом примере (что похоже на миллион простых в обращении шагов интерфейса командной строки, кстати), FDE готово, но вы можете видеть, что пользователь должен вводить парольную фразу для расшифровки в приглашении Grub при загрузке.
Кто-нибудь взломал этот орех для Linux?
Требования
- Пользовательский опыт таков, что пользователь вводит свой логин и пароль только один раз
- Полное шифрование диска (включая загрузочный раздел)
- (Приятно иметь) Настройка проста, или, по крайней мере, Simple (TM)