Ваш вопрос, вероятно, слишком широк для ответа разумной длины, но вот несколько советов:
Вы хотите пойти с Linux. Windows не любит пересаживаться на другие машины. Вы также захотите использовать загрузку UEFI, а не загрузку BIOS. Это самое портативное решение на данный момент.
Используйте LUKS для полного шифрования диска в корневом разделе (/), хранящемся на SSD. Поместите незашифрованный /boot раздел на флешку. В любом случае, ваш ключ находится на одном устройстве, поэтому нет смысла шифровать любые данные, хранящиеся там. ESP (системный раздел EFI) также должен храниться на флэш-накопителе. Установите GRUB на него; это будет точка входа в загрузку.
ESP и /boot являются элементами цепочки загрузки, поэтому никогда не оставляйте флешку без присмотра. Как только это произойдет, вы должны будете считать цепочку загрузки скомпрометированной - возможно, ESP и /boot были подделаны. /boot может быть зашифрован с помощью дополнительного пароля, чтобы предотвратить это, но ESP не может быть зашифрован. Поэтому, если вы подозреваете, что флешка может быть взломана, но SSD находится в безопасном месте, вам необходимо:
- Найдите доверенную машину Linux.
- Nuke ESP и
/boot , а затем воссоздать их из безопасной резервной копии или восстановить с нуля.
- Генерация новых ключей шифрования и
cryptsetup-reencrypt SSD.
Незашифрованная проблема ESP может быть смягчена с помощью:
- Подписание загрузочных файлов с вашим закрытым ключом
- UEFI, защищающий паролем, чтобы предотвратить подделку баз данных сигнатур
- Обновление баз данных сигнатур UEFI, содержащих только ваш открытый ключ
- Включение безопасной загрузки для предотвращения загрузки из неподписанных двоичных файлов
- Подписание ядра и initrd
- Создание автономного двоичного файла GRUB со встроенной конфигурацией и принудительной подписью ядра
Вы не можете сделать это, потому что вы хотите, чтобы ваши настройки не были ограничены какой-либо физической машиной.
