※ 引述《filiaslayers (司马云)》之铭言:
: 本来想回文,不过怕以后找不到,开新标题好了
: 在这篇文章代码(AID): #1K0hPZkW (Storage_Zone) 里有稍微说明
: 原文一样是我写的,不过当初没写好,漏了说明为什么bitlocker需要多一个100MB磁区
: win7在分割会多这100MB磁区,是因为要放开机资料(bootloader)
: 开机资料里就是在告诉电脑我要怎么把系统打开
: 电脑的开机顺序为BIOS->MBR->bootloader->system
: 而一般来说,开机资讯不需要特别独立一个磁区来放,只要MBR知道你放在哪就好
: 不过对有bitlock的电脑来说就不一样了
: bitlocker的功用就是针对磁盘做加密
: 如果你把系统加密了(一般来说就是你的c槽),那MBR就不知道去哪找你的开机资料
: 就算找到了,也无法解密,MBR无法存放那么多的资料
: 所以才需要先分出那100MB的磁区放你开机用的资料
: 以免你的系统加密之后,找不到你的开机资料,然后你就进不了windows
这就是 bitlocker 最大的败笔
和为什么 truecrypt (请改用 veracrypt) 比较好一点点的原因
/boot 没加密代表什么? 代表我今天可以随便放个有 keylogger 的假 bootloader
然后你一打密码就 gg 了
"truecrypt bootloader" 可以直接装在 mbr ,这样才是真正的全碟加密
: 这东西不只windows有,mac也有,只是mac只有在你要做加密才会建立
: windows则是一开始就先建好
错! grub 已经支援 dmcrypt 很久了。 /boot 可以不用另外切出来
然而 grub 或 truecrypt 的 bootloader 还是可以放木马进去
所以该怎么办呢? 真正安全的方法是这样:
流程是这样的:
grub >>> 使用密码 A 加密的 /boot >>> 使用密码 B 加密的系统碟
grub 解开 /boot 加载 initramfs 后,initramfs 检查 checksum 是否正确
若 grub 或 /boot 被修改,则报警并中断开机程序
这样才能保证系统安全 (当然这无法防止可以在执行过程中修改 initramfs 的木马)
也无法处理无法信认的硬件 (比如在虚拟机中跑,或假设 intel cpu 的 AMT 有后门的话)
要是你没有这样两段式开机,那么多切一个分割区只是你用的软件设计不良而已