V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yfang
V2EX  ›  问与答

Win 和 Linux 双系统,可以分别启用全盘加密吗?

  •  
  •   yfang · 2023-09-21 09:05:23 +08:00 · 820 次点击
    这是一个创建于 448 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Win 下边就是 bitlocker
    Linux 下面还没有研究,但记得过名词 luk 之类的

    bitlocker 加密 C 盘,关闭安全启动
    EFI 公用
    这样 OK 吗?

    THX~
    4 条回复    2023-09-21 14:49:13 +08:00
    sky96111
        1
    sky96111  
       2023-09-21 09:23:09 +08:00 via Android
    可以。Linux luks2 ,Windows bitlocker 。
    Linux 选择有引导器签名的发行版如 Fedora ,安全启动不用关。有 tpm 的话 Linux 可以上 systemd-cryptsetup 注册密钥,体验和 Windows 一致(但降低了安全性)
    linuxgo
        2
    linuxgo  
       2023-09-21 10:21:19 +08:00
    双系统做全盘加密,那一个系统加密了,另一个系统就访问不了硬盘了呀
    yfang
        3
    yfang  
    OP
       2023-09-21 13:19:05 +08:00
    @linuxgo 确切是想 Window 系统分区用 bitlocker ,Linux 分区用 luks2
    我不清楚 EFI 分区要怎么处理……

    @sky96111 THX ,我虚拟机试一下~,这里的降低安全性( ystemd-cryptsetup 注册密钥)是指哪方面/场合的?
    sky96111
        4
    sky96111  
       2023-09-21 14:49:13 +08:00 via Android   ❤️ 1
    @yfang Windows 默认加密磁盘后通过 TPM 解密磁盘,然后通过用户登录密码来阻止非法侵入。
    磁盘已经解密,解密的密钥在内存中。而系统登录的过程很脆弱,可能存在漏洞,也可能受到雷电或 PCI 设备替换造成 DMA 攻击,导致解密密钥泄漏。

    Linux 加密磁盘后默认不会通过 TPM 解密,你需要输入两个密码才能开机(解密磁盘、用户登录)。
    systemd-cryptsetup 将密钥注册到 TPM ,就把上述的安全问题引入进来了。

    所以更推荐不要使用 TPM 来释放密钥,而是设置 gdm 自动登录。这样开机只要输入一个磁盘解密的密码,避免了多次输入密码也保障了安全性。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3207 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:35 · PVG 12:35 · LAX 20:35 · JFK 23:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.