Cifrado de disco completo en sistema de arranque dual (Truecrypt / Veracrypt)

Navega tus respuestas
3

Estoy buscando ejecutar mi sistema de computadora portátil con una configuración de arranque dual (Fedora + Windows) con cifrado completo del disco.

Tengo una computadora portátil que llevaré conmigo mientras viajo, tanto en el país como en el extranjero. Por razones obvias, me gustaría cifrar el disco duro. El sistema en cuestión tiene un SSD de 128 GB con Fedora 27 y Windows 7 instalados en una configuración de arranque dual.

En esta configuración, el disco duro está particionado de la siguiente manera:

  • sda1 (500MB): Windows Bootloader (sistema reservado)
  • sda2 (73.8GB): sistema de Windows (C :)
  • sda3 (250MB): Grub Bootloader (/ boot)
  • sda4 (39.8GB): Sistema Linux (/)
  • sda5 (5GB): Linux Swap (/ swap)

El proceso de arranque procede de la siguiente manera: 

 UEFI
  |
  V
 Grub -> Fedora
  |
  V 
 WinBootloader -> Windows 7

En un mundo ideal, me gustaría presentar un tercer cargador de arranque, cargado antes que Grub, que maneja el descifrado de las particiones del sistema. De esta manera, todas las particiones del sistema, incluida Grub, se pueden descifrar con una contraseña.

Algunas notas:

  • Si bien describí un sistema totalmente instalado y configurado, puedo formatear y reinstalar si es necesario
  • El arranque dual es una necesidad, ya que necesito Fedora para el trabajo y Windows para los programas CAD.
  • Aparte de las aplicaciones específicas de la plataforma, los datos personales del usuario (archivos, meta, etc.) serán prácticamente idénticos en ambos sistemas operativos, ya que todo está sincronizado con los servicios en la nube.
  • Me gustaría evitar el uso de soluciones de código cerrado (es decir, Bitlocker)
  • Preferiría encriptar ambos sistemas operativos utilizando una solución en lugar de tener una solución independiente para cada uno
  • El cifrado de hardware mediante BIOS / UEFI no es aceptable ya que no quiero arriesgarme a perder datos si muere mi placa base
  • El asistente de encriptación del volumen del sistema Vera / Truecrypt (bajo Windows, no está disponible en Linux) afirma que no admite la encriptación del volumen del sistema en sistemas con más de un gestor de arranque
  • Vera / Truecrypt son las posibles soluciones que he encontrado, pero si hay otras mejores, me complace aprenderlas

La (s) pregunta (s):

¿Es posible lo que estoy intentando? Si es así, ¿cuáles son algunos recursos que podrían ayudarme a implementarlo? Independientemente de si es posible o no, ¿existe una mejor solución?

    
pregunta enpaul 18.01.2018 - 18:48
fuente

1 respuesta

1
  

En un mundo ideal, me gustaría presentar un tercer cargador de arranque, cargado antes que Grub, que maneja el descifrado de las particiones del sistema

Como esta sería una buena solución, el problema es que un cargador de arranque no pasa una partición montada (descifrada) a un sistema operativo. Está cargando el kernel en la memoria, iniciándolo y pasándole algunos parámetros. Sin embargo, puede cifrar su partición de arranque Grub e incrustar una clave criptográfica en initramfs para Linux y LUKS (función de disco criptográfico temprano de GRUB [1]). Probablemente podrías implementar una solución similar para grub & VeraCrypt & Windows, por ejemplo, grub carga un archivo de clave criptográfica de la partición de inicio cifrada en la memoria y VeraCrypt lo usa más adelante. En esa solución, solo tiene que introducir una contraseña durante el arranque. Que yo sepa, esto no existe. Y si ha montado su partición de arranque, sus claves sin cifrar se encuentran en la partición. Por lo tanto, su solución ideal solo sería posible con el cifrado de hardware / BIOS / UEFI en la actualidad.

Alternativamente, podría dejar que una parte haga el cifrado para ambos sistemas operativos, pero esto solo funciona con la virtualización. Por ejemplo, puede instalar Fedora y Windows en un hipervisor Xen y dejar que Xen haga el cifrado del disco. Probablemente necesite hardware no virtualizado en Windows para ejecutar programas CAD, pero esto ya no es un problema con el paso de PCI [2]. Es bastante complejo de configurar y requiere un conocimiento más profundo de Xen, pero tiene la ventaja de que ambos sistemas pueden ejecutarse simultáneamente. La sobrecarga de rendimiento con la virtualización de hardware es bastante pequeña hoy en día. Un buen punto de partida es [3].

[1] enlace
[2] enlace
[3] enlace

    
respondido por el sven.to 09.02.2018 - 14:53
fuente

Lea otras preguntas en las etiquetas

¿Cómo ocultar las solicitudes dns del ISP? OAuth2 vs API Key