※ 引述《HamalAri (哈馬‧阿里)》之銘言:
: ※ 引述《filiaslayers (司馬雲)》之銘言:
: : 本來想回文,不過怕以後找不到,開新標題好了
: : 在這篇文章代碼(AID): #1K0hPZkW (Storage_Zone) 裡有稍微說明
: : 原文一樣是我寫的,不過當初沒寫好,漏了說明為什麼bitlocker需要多一個100MB磁區
: : win7在分割會多這100MB磁區,是因為要放開機資料(bootloader)
: : 開機資料裡就是在告訴電腦我要怎麼把系統打開
: : 電腦的開機順序為BIOS->MBR->bootloader->system
: : 而一般來說,開機資訊不需要特別獨立一個磁區來放,只要MBR知道你放在哪就好
: : 不過對有bitlock的電腦來說就不一樣了
: : bitlocker的功用就是針對磁碟做加密
: : 如果你把系統加密了(一般來說就是你的c槽),那MBR就不知道去哪找你的開機資料
: : 就算找到了,也無法解密,MBR無法存放那麼多的資料
: : 所以才需要先分出那100MB的磁區放你開機用的資料
: : 以免你的系統加密之後,找不到你的開機資料,然後你就進不了windows
: 這就是 bitlocker 最大的敗筆
: 和為什麼 truecrypt (請改用 veracrypt) 比較好一點點的原因
: /boot 沒加密代表什麼? 代表我今天可以隨便放個有 keylogger 的假 bootloader
: 然後你一打密碼就 gg 了
這東西明明就是防你筆電或隨身碟萬一不見的情況下的解決方案
如果你要塞keylogger,我們來討論一下要怎麼塞
1.遠端:我都能遠端在bootloader塞keylogger了,幹麻不直接放木馬幹你資料就好
2.小偷趁你不在的時候在你筆電上塞了keylogger,然後等你下次輸入完密碼再偷你筆電
一樣,我能塞keylogger我幹麻不塞木馬
3.小偷偷了筆電,發現有加密,只好塞keylogger後還你,等你輸入過密碼再偷走...
這個....嗯....我是不知道啦....
: "truecrypt bootloader" 可以直接裝在 mbr ,這樣才是真正的全碟加密
: : 這東西不只windows有,mac也有,只是mac只有在你要做加密才會建立
: : windows則是一開始就先建好
: 錯! grub 已經支援 dmcrypt 很久了。 /boot 可以不用另外切出來
到底在錯啥?mac是跑grub嗎?不然到底哪裡錯?我看半天還是看不出來我哪裡說錯?
: 然而 grub 或 truecrypt 的 bootloader 還是可以放木馬進去
: 所以該怎麼辦呢? 真正安全的方法是這樣:
: 流程是這樣的:
: grub >>> 使用密碼 A 加密的 /boot >>> 使用密碼 B 加密的系統碟
: grub 解開 /boot 載入 initramfs 後,initramfs 檢查 checksum 是否正確
: 若 grub 或 /boot 被修改,則報警並中斷開機程序
: 這樣才能保證系統安全 (當然這無法防止可以在執行過程中修改 initramfs 的木馬)
: 也無法處理無法信認的硬體 (比如在虛擬機中跑,或假設 intel cpu 的 AMT 有後門的話)
: 要是你沒有這樣兩段式開機,那麼多切一個分割區只是你用的軟體設計不良而已
到底是設計不良還是沒有需要?
這種磁碟加密最重要的功能就是避免你電腦被偷的時候,除了心血不見之外
還有資料外洩的麻煩
要防keylogger真的有需要?