※ 引述《filiaslayers (司馬雲)》之銘言:
: 本來想回文,不過怕以後找不到,開新標題好了
: 在這篇文章代碼(AID): #1K0hPZkW (Storage_Zone) 裡有稍微說明
: 原文一樣是我寫的,不過當初沒寫好,漏了說明為什麼bitlocker需要多一個100MB磁區
: win7在分割會多這100MB磁區,是因為要放開機資料(bootloader)
: 開機資料裡就是在告訴電腦我要怎麼把系統打開
: 電腦的開機順序為BIOS->MBR->bootloader->system
: 而一般來說,開機資訊不需要特別獨立一個磁區來放,只要MBR知道你放在哪就好
: 不過對有bitlock的電腦來說就不一樣了
: bitlocker的功用就是針對磁碟做加密
: 如果你把系統加密了(一般來說就是你的c槽),那MBR就不知道去哪找你的開機資料
: 就算找到了,也無法解密,MBR無法存放那麼多的資料
: 所以才需要先分出那100MB的磁區放你開機用的資料
: 以免你的系統加密之後,找不到你的開機資料,然後你就進不了windows
這就是 bitlocker 最大的敗筆
和為什麼 truecrypt (請改用 veracrypt) 比較好一點點的原因
/boot 沒加密代表什麼? 代表我今天可以隨便放個有 keylogger 的假 bootloader
然後你一打密碼就 gg 了
"truecrypt bootloader" 可以直接裝在 mbr ,這樣才是真正的全碟加密
: 這東西不只windows有,mac也有,只是mac只有在你要做加密才會建立
: windows則是一開始就先建好
錯! grub 已經支援 dmcrypt 很久了。 /boot 可以不用另外切出來
然而 grub 或 truecrypt 的 bootloader 還是可以放木馬進去
所以該怎麼辦呢? 真正安全的方法是這樣:
流程是這樣的:
grub >>> 使用密碼 A 加密的 /boot >>> 使用密碼 B 加密的系統碟
grub 解開 /boot 載入 initramfs 後,initramfs 檢查 checksum 是否正確
若 grub 或 /boot 被修改,則報警並中斷開機程序
這樣才能保證系統安全 (當然這無法防止可以在執行過程中修改 initramfs 的木馬)
也無法處理無法信認的硬體 (比如在虛擬機中跑,或假設 intel cpu 的 AMT 有後門的話)
要是你沒有這樣兩段式開機,那麼多切一個分割區只是你用的軟體設計不良而已