Шифрование мультизагрузочного USB-накопителя

Question

Цель:
Полное шифрование мультизагрузочного USB-накопителя, содержащего загрузочные компакт-диски и конфиденциальную информацию

Проблема:
Я экспериментировал с XBoot (https://sites.google.com/site/shamurxboot/download), чтобы создать мультизагрузочную флешку, которую я мог бы использовать для работы (для переноса различных ОС и загрузочных компакт-дисков).

Для тех, кто не знаком с XBoot, он копирует различные ISO-образы на флэш-диск и создает загрузчик в качестве внешнего интерфейса в Syslinux или Grub4dos. Или может быть установлен, чтобы не использовать любой загрузчик.

Я хотел бы иметь возможность носить с собой некоторые загрузочные компакт-диски с предварительно загруженной на них информацией о компании, а также хранить файлы на диске.

По причинам, относящимся к информации, хранящейся в том, что я несу, в идеале я бы хотел, чтобы весь диск был зашифрован.
Редактировать:
Файлы ISO, а также раздел, где хранятся данные.

Возможные решения, которые я изучил:
Я понимаю, что TrueCrypt (http://www.truecrypt.org/) может использовать собственный загрузчик для расшифровки диска перед его загрузкой. Я использовал это раньше и теоретически понимаю, как зашифровать диск, на котором я загружаю несколько операционных систем.

Редактировать: я знаю, что TrueCrypt не поддерживает файловые системы EXT, но диск будет отформатирован как FAT32/NTFS со всеми загрузочными дисками, существующими как ISO

Можно ли как-нибудь установить TrueCrypt на диск и направить один загрузчик на другой (это не самый чистый подход, но, на мой взгляд, это лучший шанс для работы)?

Есть ли более чистый / более эффективный способ достижения желаемого результата?

Изменить 2:
В идеале я ищу программное решение, а не аппаратное решение.

Изменить 3:
Мне удалось зашифровать весь диск с помощью TrueCrypt, но внешний загрузчик на самом деле не предназначен для использования в качестве загрузчика меню типа grub. У кого-нибудь есть опыт редактирования меню?

Изменить 4:
Я попытался использовать другую программу, предложенную одним из респондентов, Easy2Boot. С точки зрения функциональности он работает очень похоже на XBoot в том смысле, что он просто создает интерфейс загрузки grub4dos для файлов ISO. Я столкнулся с той же проблемой, когда однажды установив ее, я не смог правильно указать загрузчик truecrypt на этот загрузчик. Так как бы мне это сделать? Я знаю, что это возможно, потому что даже из Easy2Boot, когда я загружаю живой CD, такой как Hirens, он переходит от загрузчика Grub4DOS к загрузчику Hiren.

Answer 1

Во-первых, для использования загрузочных CD вам не нужна мультизагрузка, так что это часть, которую я не понимаю.

Во-вторых, почему бы не поместить все конфиденциальные данные в один зашифрованный раздел truecrypt, который вы можете открыть из любой ОС, с которой вы загружаетесь.

В-третьих, если вы защищаете данные компании, вы можете оправдать покупку аппаратного шифрования, такого как Apricorn Aegis Secure Key или Imation Defender F200 биометрическая флешка.

Answer 2

Если вы хотите использовать программное шифрование, вы не сможете загрузить большинство ISO-файлов Linux, если файлы ISO зашифрованы. Единственные ISO, которые могут загружаться в этом случае, это те, которые загружают все в initramfs (один пример - RIPLinux ; к сожалению, кажется, что его разработка остановлена), или те, которые вы изменили, чтобы добавить поддержку шифрования в свои initramfs.

Проблема в том, что загрузчик, используемый TrueCrypt (или любой другой программой для шифрования программного обеспечения), может настроить обработчик BIOS INT 13h для предоставления следующему загрузчику доступа к зашифрованным данным, но этот обработчик INT 13h нельзя использовать после того, как ядро Linux началось. Однако большинству Linux-ISO необходимо иметь доступ к содержимому ISO после запуска Linux, и все, что нужно для получения такого доступа, должно присутствовать в образе initramfs (который загружается загрузчиком с помощью вызовов BIOS INT 13h перед запуском ядра Linux). Конечно, вы не найдете поддержку TrueCrypt в initramfs любых обычных Linux ISO.

На самом деле, даже создание кода initramfs из ISO-образа Linux позволяет найти содержимое ISO-образа, когда загрузка с USB требует некоторых хаков. Если вы прочтете описание процесса загрузки ISO, используемого Easy2Boot, вы заметите, что он изменяет таблицу разделов USB-накопителя, добавляя раздел, соответствующий диапазону секторов, используемому файлом образа ISO (который должен быть непрерывным - то есть не фрагментировано); Затем код initramfs должен смонтировать этот раздел, чтобы получить доступ к содержимому ISO. Очевидно, это не будет работать, если образ ISO зашифрован, если только код initramfs не изменен для поддержки используемого шифрования.

Итак, у вас есть эти варианты:

1. Избегайте включения любых чувствительных данных в образы ISO. Создайте на USB-накопителе два раздела - один для конфиденциальных данных (зашифрованных TrueCrypt или любым другим способом), другой для загрузки (незашифрованных).

2. Узнайте, как установить используемый загрузчик внутри раздела TrueCrypt, затем либо использовать только ISO-образы на основе initramfs, либо изменить образы initramfs для добавления поддержки TrueCrypt. Если вы выберете этот способ, я бы посоветовал сначала попробовать SYSLINUX, потому что, в отличие от GRUB, он не пытается установить в MBR (и вам нужно избегать использования MBR и области встраивания перед первым разделом, потому что загрузчик TrueCrypt будет быть установленным там).

3. Купите USB-накопитель с аппаратным шифрованием, который можно разблокировать без какого-либо программного обеспечения - например, один из дисков, предложенных в другом ответе. Тем не менее, проверьте внимательно, прежде чем купить, или вы можете столкнуться с некоторыми проблемами - например, для Apricorn Aegis Secure Key один из обзоров на Amazon говорит:

   Кажется, ему не нравятся даже малейшие прерывания питания. Если я подключу его перед запуском ОС, во время загрузки Windows или Linux, когда он обнаружит USB-устройства, он отключится из-за кратковременного прерывания USB-подключения. Я должен буду протянуть руку вниз и снова ввести ПИН-код.

   Примечание. Это не тот сценарий, в котором рекламируется работа или что-то подобное, но я смог сделать это на моем предыдущем USB-накопителе с булавкой для пин-кода без проблем ... Я установил Linux на диск, чтобы он был загрузочным, но когда я пытаюсь загрузить Linux, он отключает его на этапе обнаружения USB-устройств. Продолжается загрузка, если я наклоняюсь вниз и снова разблокирую диск, но это боль.

   Кроме того, биометрический диск Imation Defender F200 может оказаться непригодным для загрузки, если в таких случаях он также перезагружается и оказывается слишком медленным для разблокировки во время инициализации BIOS. Статья о поддержке подтверждает его совместимость с Linux, если включена только биометрическая аутентификация, поэтому есть некоторые шансы на успех, но…

Answer 3

Что касается желаемого программного решения, вы можете использовать LVM и LUKS для разделения и шифрования диска множеством способов.

Я запускаю Tails и Kali с одного SanDisk Extreme 3.0 (50 Мбит / с), мне достаточно производительности.

У меня есть три логических тома (LV), хвосты, Кали и общий.

Одно LUKS-шифрование пароля для флешки в целом.

Общий том содержит Dropbox для передачи данных между чем-либо на USB или доступ к ним в другом месте.

Answer 4

Действительно, если у вас есть USB-накопитель, и вы не собираетесь использовать аппаратное шифрование, вы говорите, что не беспокоитесь о том, что кто-то еще внедрит вредоносное ПО на ваш USB-накопитель. При этом нет никаких оснований для шифрования загрузочных разделов.

Оставьте все разделы незашифрованными, кроме разделов данных. Зашифруйте разделы данных так, как вы хотите, при условии, что это способ, который может быть смонтирован ОС.

В качестве альтернативы используйте программное шифрование, например TrueCrypt, для шифрования всего USB-накопителя. Основная проблема в том , что вы должны загрузить что - то , чтобы расшифровать диск , а затем вы застряли держать , что жив , когда вы загружаете что - то еще. Вот почему я бы выбрал аппаратное шифрование в качестве первого выбора и шифрование разделов данных в качестве второго выбора.