Исходная информация
Я новичок в Linux, недавно отученный от Windows. В настоящее время я использую Ubuntu 11.04 без полного шифрования диска. Только мой домашний каталог зашифрован, и с eCryptFS. В последнее время я начал замечать, что шифрование не так прозрачно, как должно быть. Например, VMWare иногда сталкивается с проблемами для виртуальных машин, хранящихся в моем зашифрованном домашнем каталоге, поэтому я просто переместил виртуальные машины в незашифрованное место и связался с ним из моего зашифрованного домашнего каталога. Но это не главное: я понял, что на самом деле не очень безопасно оставлять систему незашифрованной, поскольку операционную систему с открытым исходным кодом, такую как Ubuntu, очень легко изменить, чтобы разглашать информацию, которую предполагается хранить в секрете.
Цель
Я хотел бы иметь возможность работать с полным шифрованием диска вместе с ключевым устройством и паролем для аутентификации перед загрузкой.
Требования / Детали
- Весь диск должен быть зашифрован. Как минимум, диск состоит из отдельных разделов, которые все зашифрованы. Если есть возможность скрыть даже разделы с шифрованием, я пойду на это. Чем прозрачнее шифрование, тем лучше; Я не должен использовать свой компьютер по-другому или настраивать что-либо еще.
- Устройство, используемое для разблокировки и загрузки зашифрованного раздела, должно быть небольшим внешним портативным устройством. Это служит двум целям: гораздо менее вероятно, что загрузчик будет изменен в злонамеренных целях, поскольку он останется со мной, когда он не используется; и файлы ключей для дешифрования диска нигде не будут найдены на самом зашифрованном диске в любой форме.
- Файлы ключей должны быть зашифрованы паролем. В случае потери компьютера и USB-устройства данные и операционная система будут в безопасности. Если я потеряю USB-ключ или он скомпрометирован, я могу создать еще один чистый из резервной копии. В обоих случаях информация не разглашается. Конечно, если я потеряю свой компьютер, это несущественно.
Да, я смотрел на руководства из многих мест, но проблема в том, что они не отвечают всем требованиям (особенно номер 3). Я почти уверен, что мои требования достаточно распространены, чтобы кто-то уже пытался и успешно реализовал такую настройку. Я был бы признателен, если бы любой профессионал Linux мог поделиться решением.